In alcuni nostri precedenti contributi (disponibili qui, qui e qui), abbiamo parlato dell’annoso problema relativo al trasferimento di dati personali dall’UE verso gli Stati Uniti, sorto a partire dalla nota sentenza della Corte di Giustizia dell’UE “Schrems II” che ha invalidato il c.d. “Privacy Shield” (ovvero la precedente convenzione USA-UE in materia di trasferimento di dati personali). Il tema si era riacceso, in particolare, a seguito dei provvedimenti emanati da Autorità Garanti di diversi Stati membri, ivi compresa l’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”) in merito all’utilizzo del servizio Google Analytics (“GA”) ed al trasferimento dei dati verso gli Stati Uniti, in assenza delle garanzie previste dal Regolamento UE 2016/679 (“GDPR”) (di cui abbiamo parlato qui). A seguito di tali accadimenti, con una risoluzione adottata lo scorso 11 maggio 2023, il Parlamento europeo sosteneva che la Commissione europea non dovrebbe procedere all’adozione della decisione finale di adeguatezza, affermando che gli Stati Uniti non garantiscono un livello adeguato di protezione dei dati personali trasferiti dall’UE alle imprese statunitensi. La risoluzione del Parlamento europeo è stata adottata con 306 voti a favore, 27 contrari e 231 astenuti. Secondo la risoluzione, sebbene il nuovo EU-USA Data Privacy Framework rappresenti un progresso rispetto agli accordi precedenti – in quanto l’Executive Order firmato da Joe Biden lo scorso 7 ottobre contiene definizioni di concetti chiave in materia di protezione dei dati – non offrirebbe garanzie adeguate. L’ordinanza, infatti, consentirebbe, in determinati casi, la raccolta di massa di dati da parte delle agenzie di intelligence governative, in assenza di una preventiva autorizzazione indipendente. Inoltre, non sembrerebbero presenti regole chiare e rigorose sulla conservazione dei dati personali negli Stati Uniti. Ancora, anche se l’Executive Order prevede un nuovo meccanismo di ricorso per gli interessati, il Parlamento europeo sottolinea che le decisioni prese dal Tribunale non sarebbero pubbliche né disponibili al denunciante, che non sarebbe informato sull’esito sostanziale della causa. Inoltre, il Tribunale non sarebbe considerato indipendente poiché i giudici potrebbero essere rimossi dal loro incarico dal Presidente degli Stati Uniti, essendo parte del potere esecutivo. Il Parlamento europeo, in particolare, mette in evidenza il rischio che la decisione di adeguatezza, adottata con le disposizioni statunitensi attuali, potrebbe essere annullata – come già avvenuto in passato – dalla CGUE. Pertanto, al fine di garantire la certezza giuridica ai cittadini e alle imprese europee, il Parlamento europeo ritiene che la Commissione europea non dovrebbe procedere all’adozione della decisione finale di adeguatezza, ma dovrebbe proseguire i negoziati con il governo statunitense per creare un meccanismo di trasferimento che garantisca un livello adeguato di protezione dei dati personali. Ad ogni modo, considerando che la risoluzione del Parlamento europeo non risulta essere vincolante per la Commissione europea, non è possibile determinare a priori se, ed eventualmente quando, tale decisione verrà effettivamente adottata ed entrerà in vigore. La risoluzione del Parlamento europeo è disponibile qui.