Il Trans-Atlantic Data Privacy Framework: eppur si muove

Premessa

La Commissione europea ha annunciato il raggiungimento di un accordo di principio sul nuovo Trans-Atlantic Data Privacy Framework (‘TADPF’), con lo scopo di regolare la cooperazione tra gli Stati Uniti e l’Unione Europea nelle operazioni sui dati personali che prevedono il trasferimento degli stessi tra i territori dei due interlocutori[1].

L’atteso ordine esecutivo, attuativo dell’accordo, non ancora diffuso, sarà alla base della decisione di adeguatezza della Commissione europea, che succederà quella sul Privacy Shield[2] del 2015, invalidato dalla Corte di Giustizia dell’Unione Europea (‘CGUE’) con la celebre sentenza Schrems II[3], sorta dalle ceneri della precedente decisione sul Safe Harbor[4] del 2000 ed invalidata dalla pronuncia della CGUE nel caso Schrems[5].

Il contesto normativo

Per meglio definire cosa aspettarsi dal nuovo TADPF è utile ricostruire il contesto normativo, alla luce delle pronunce e dei desiderata in queste riportati.

Il quadro giuridico di riferimento è rappresentato innanzitutto dal Regolamento UE n. 2016/679 (‘GDPR’)[6] e, in particolare, dal Capo V (artt. 44-50), che si occupa dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali. Una delle basi del trasferimento extra-UE, regolata dal GDPR - assieme alle Standard Contractual Clause (‘SCC’) e alle Binding Corporate Rules (‘BRC’) - è, appunto, la decisione di adeguatezza, attraverso la quale la Commissione può stabilire che il paese terzo, un territorio, o uno o più settori specifici all'interno dello stesso, o l'organizzazione internazionale in questione, garantisca  un livello di protezione adeguato, di talché i trasferimenti possono effettuarsi senza ulteriori autorizzazioni (Considerando n. 103 e art. 45, par. 1, del GDPR).

Il Regolamento definisce anche il quomodo della valutazione, prescrivendo alla Commissione di tenere conto: (a) degli impegni assunti sul piano internazionale, soprattutto in relazione alla protezione dei dati e all’attuazione degli obblighi, (b) di come il potenziale interlocutore rispetti lo stato di diritto, l'accesso alla giustizia, le norme e gli standard internazionali in materia di diritti dell'uomo, nonché la legislazione generale e settoriale riguardante segnatamente la sicurezza pubblica, la difesa e la sicurezza nazionale, come pure l'ordine pubblico e il diritto penale e (c) del funzionamento delle decisioni sul livello di protezione, prevedendo revisioni periodiche (cfr. Considerando nn. 104, 105, 106 e art. 45 del GDPR).

Nel prendere la sua decisione, la Commissione si avvale della consulenza indipendente dell’European Data Protection Board (‘EDPB’), che, nel coadiuvare la prima nell’applicazione coerente del GDPR, fornisce pareri anche sul livello di protezione di paesi esterni all’UE.

Per consentire l’adempimento di tale funzione, la Commissione deve fornire all’EDPB tutta la documentazione necessaria, inclusa la corrispondenza con il Governo del paese terzo (cfr. Considerando n. 139 e art. 70, par. 1, lett. s), del GDPR). Rassegnato il parere, questo viene inviato alla Commissione e ad un comitato ai sensi del Regolamento UE n. 182/2011[7] (cfr. artt. 45, par. 3, e 93, par. 3, del GDPR).

In particolare, le decisioni di adeguatezza

Le decisioni di adeguatezza influiscono altresì sul trasferimento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’UE. Infatti, secondo il Regolamento UE n. 2018/1725[8] - che disciplina le operazioni di trattamento da parte delle entità precedentemente enumerate –, lex specialis rispetto al GDPR (e sicuramente meno nota), il trasferimento verso un paese terzo è consentito sulla base di una decisione di adeguatezza della Commissione ex art. 45, par. 3, del GDPR, ma anche, ratione materiae, di una di quelle adottate ai sensi dell’art. 36, par. 3, della Direttiva UE n. 2016/680[9].

Le istituzioni e gli organi dell’UE conservano, però, la facoltà di informare la Commissione e il Garante europeo della protezione dei dati circa i casi in cui, a loro parere, un paese terzo, un territorio, o uno o più settori specifici all’interno di un paese terzo, o un’organizzazione internazionale in questione, non assicuri un livello di protezione adeguato (cfr. art. 47, Reg. n. 2018/1725).

In realtà, l’istituto della decisione di adeguatezza non nasce con il GDPR, ma risale al suo antesignano: la Direttiva 95/46/CE (‘Direttiva Privacy’)[10]. In tale contesto normativo, la disposizione di riferimento era l’art. 25 e il ruolo dell’EDPB era interpretato dall’Article 29 Working Party (‘A29WP’).

È in tale retroterra che si colloca l’approvazione di svariate decisioni di adeguatezza, tra cui il Privacy Shield. Recita, infatti, l’art. 45, par. 9, del GDPR che “Le decisioni adottate dalla Commissione in base all'articolo 25, paragrafo 6, della direttiva 95/46/CE restano in vigore fino a quando non sono modificate, sostituite o abrogate da una decisione della Commissione adottata conformemente al paragrafo 3 o 5 del presente articolo” (cfr. Considerando n. 106).

L’interpretazione dell’espressione “livello adeguato di protezione” è stato dunque oggetto d’interpretazione sin dai tempi della Direttiva Privacy, quando l’A29WP sottolineava che “il livello di protezione dei dati va valutato con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati”[11], come aveva ritenuto di aver effettuato per il Safe Harbor, all’epoca utilizzato come base giuridica anche per i trasferimenti dei dati relativi ai nomi dei passeggeri dei voli verso gli U.S. allo United States’ Bureau of Customs and Border Protection, attraverso una decisione già all’epoca criticata dal gruppo di lavoro ex art. 29.

Un po’ di storia

Quando infatti l’accordo approdò, come noto, innanzi alla CGUE – dopo la denuncia di Maximiliam Schrems a seguito delle rivelazioni di Edward Snowden in merito alle attività dei servizi di intelligence degli Stati Uniti, e in particolare a quelle della National Security Agency (‘NSA’) –, il collegio giudicante non ebbe remore nel sanzionare una condotta superficiale della Commissione circa la valutazione d’adeguatezza, approfittando dell’occasione per distillare i principi da applicare a tale attività, consistenti in una “constatazione, debitamente motivata, da parte di tale istituzione [la Commissione, ndr], che il paese terzo di cui trattasi garantisce effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione dei diritti fondamentali sostanzialmente equivalente a quello garantito nell’ordinamento giuridico dell’Unione” (p.to 96, CGUE, sent. Schrems).

Ciò che risultava intollerabile era, in particolare, la possibilità di una disapplicazione generalizzata dell’accordo, senza limite alcuno, nel caso in cui gli Stati Uniti avessero autocertificato l’esigenza del trattamento ulteriore dei dati personali trasferiti per motivi di sicurezza nazionale, interesse pubblico o amministrazione della giustizia, che si manifestavano come una chiara ingerenza nel diritto fondamentale al rispetto della vita privata (cfr. p.to 86-87, CGUE, sent. Schrems).

Con la medesima pronuncia, la CGUE stabiliva, inoltre, la sua competenza, in via esclusiva, a dichiarare l’invalidità di una decisione di adeguatezza (p.to 61, CGUE, sent. Schrems), salvo il potere di revoca, comunque spettante alla Commissione.

Anche il processo di adozione del più recente Privacy Shield si sviluppava nel contesto della Direttiva Privacy, pur assistendo al contestuale formarsi del GDPR, medio tempore approvato, che alla data di operatività del nuovo accordo, il 1° agosto 2016, era già in vigore.

E…di critiche

Anche in questo caso l’A29WP non lesinava critiche e perplessità[12], nonostante il riconoscimento di passi in avanti rispetto al Safe Harbor, tuttavia non sufficienti per rendere il piano di protezione dei dati personali effettivamente equipollente a quello europeo.

Considerazioni analoghe sono state avanzate dalla CGUE, che ha recisamente individuato le carenze dello Scudo per la privacy, alcune delle quali perseverantemente sottovalutate dalla Commissione. In particolare, ancora una volta, l’accordo prevedeva che si potessero disattendere i suoi principi “se ed in quanto necessario per soddisfare esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia”, disapplicandoli in chiave generalizzata.

Tornavano nuovamente a far capolino quegli aspetti del caso Snowden sulle ingerenze dell’NSA, attraverso programmi come l’Upstream, volto all’intercettazione telefonica e del traffico di internet direttamente dall’internet backbone , o come il Prism, per la raccolta di dati da alcuni service provider, fondati sulla Section 702 del Foreign Intelligence Surveillance Act (‘FISA’) introdotta dal FISA Amendments Act 2008 (‘FAA’)[13], corroborato dall’Executive Order 12333 (‘E.O. 12333’)[14], tenuti in considerazione dalla Commissione, ma giudicati come non compromettenti un livello di protezione adeguato, in quanto ricalibrati dalla Presidential Policy Directive 28 (‘PPD-28’)[15], che avrebbe limitato le operazioni di intelligence.

Di diverso avviso, come noto, la CGUE nel caso Schrems II, che nel suo reasoning applicava, a differenza della sua pronuncia sul Safe Harbor, i canoni e le disposizioni del GDPR.

La Corte constatava un disallineamento rispetto al livello richiesto dall’art. 45, par. 1, del GDPR letto alla luce del diritto primario, la Carta dei Diritti Fondamentali dell’Unione Europea (‘CDFUE’)[16], ravvedendo non solo la lesione del diritto al rispetto alla vita privata e familiare (art. 8 CDFUE) e del diritto alla protezione dei dati personali (art. 8 CDFUE), ma anche del diritto al ricorso a un giudice imparziale (art. 47 CDFUE),  a nulla valendo la presenza di un Mediatore (‘Ombudsperson’) ritenuto, di fatto, non assimilabile a un giudice.

I Giudici europei rilevavano, inoltre, la carenza del requisito dell'indipendenza rispetto all’esecutivo. Infine, nulla veniva detto circa l’efficacia esecutiva delle decisioni dell’Ombudsperson nei confronti dei servizi di intelligence, mettendo di fatto in dubbio la cogenza di tali provvedimenti.

Per altro, segnali confortanti non erano rinvenibili neppure nell’operato della Corte FISA, che, nell’ambito del FISA 702 basa il suo ambito di cognizione unicamente su programmi di sorveglianza e non sulle singole misure, non potendo così rientrare tra quei presidi volti a soddisfare i requisiti di cui all’art. 47 della CDFUE.

La presenza di un controllo giurisdizionale effettivo è elemento connaturato nello Stato di diritto, osservava infatti la CGUE, richiamando il Considerando n. 104 del GDPR: “una normativa che non prevede alcuna possibilità per il singolo di avvalersi di rimedi giuridici al fine di accedere a dati personali che lo riguardano, oppure di ottenere la rettifica o la soppressione di tali dati, non rispetta il contenuto essenziale del diritto fondamentale ad una tutela giurisdizionale effettiva” (p.to 187, sent. Schrems II).

La Corte notava anche come la Commissione avesse soprasseduto su un vulnus rilevante - che pure aveva constatato (p.to 115, Privacy Shield) - circa la carenza di tutele giurisdizionali che avrebbero consentito all’interessato di ricorrere avverso delle operazioni di sorveglianza basate sul FISA 702 o sull’E.O. 12333.

Tale profilo, intimamente connesso col primo, rimanda all’art. 52, par. 1, della CDFUE, a mente del quale “Eventuali limitazioni all’esercizio dei diritti e delle libertà riconosciuti dalla presente Carta devono essere previste dalla legge e rispettare il contenuto essenziale di detti diritti e libertà. Nel rispetto del principio di proporzionalità, possono essere apportate limitazioni solo laddove siano necessarie e rispondano effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui”; l’ingerenza deve essere proporzionale e la proporzionalità si desume dal contenuto del diritto positivo, che deve recare disposizioni chiare circa la portata della limitazione, onde evitare abusi o applicazioni distorte. Da tali premesse, la CGUE appurava la carenza di un livello di protezione equivalente a quella di cui all’art. 52, par. 1, CDFUE (cfr. p.to 178, sent. Schrems II).

Pertanto, la Corte procedeva invalidando la decisione di adeguatezza sul Privacy Shield e confermava la validità delle SCC di cui alla Decisione 2010/87/UE, oggetto, anche queste, del thema decidendum[17],[18].

Utili chiarimenti

Ad appena una settimana esatta dalla sentenza Schrems II, interveniva l’EDPB per offrire chiarimenti circa alcune questioni conseguenti all’intervenuta pronuncia[19].

Anche oltreoceano si è dovuto porre rimedio interpretativo ai disallineamenti causati dall’invalidità del Privacy Shield; il U.S. Department of Commerce, insieme al Department of Justice e all’Office of the Director of National Intelligence, pubblicavano un White Paper sul trasferimento dei dati tra Europa e Stati Uniti dopo la pronuncia Schrems II[20], accompagnato da una lettera di presentazione del Deputy Assistant Secretary James Sullivan, che sottolineava come si stavano esplorando tutte le opzioni a disposizione, rimanendo impregiudicato l’impegno a collaborare con la Commissione europea per negoziare una soluzione in grado di soddisfare i requisiti della CGUE, proteggendo nel contempo gli interessi degli Stati Uniti[21].

Il libro bianco affronta, inter alia, il tema dell’applicabilità della deroga di cui all’art. 49, par.1, lett d), del GDPR, che prevede, in mancanza di una decisione di adeguatezza, il trasferimento di dati verso un paese terzo, se detto trasferimento è reso necessario da importanti motivi di interesse pubblico, che devono essere riconosciuti dal diritto dell’UE o degli Stati membri[22].

In particolare, le aziende che trasferiscono i dati dell'UE e che hanno ricevuto ordini autorizzati da FISA 702, richiedenti la divulgazione degli stessi alle agenzie degli Stati Uniti per scopi di intelligence, possono considerare l'applicabilità di tale deroga come base per tali trasferimenti. Il White Paper richiama le linee guida dell’EDPB sull’art. 49 del GDPR, secondo cui “a deroga si applica soltanto quando dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento si possa dedurre, in aggiunta, che i trasferimenti in questione sono ammessi per rilevanti finalità di interesse pubblico, anche in virtù della reciprocità per la cooperazione internazionale”, sulla base di accordi o convenzioni sottoscritte da accordi o convenzioni[23].

Tuttavia, sia le linee guida sull’art. 49 che le FAQ sulla sentenza Schrems II enfatizzano come la deroga rappresenti una base giuridica occasionale, da applicare residualmente e non in modo sistematico e ripetitivo.

Conclusioni

Quanto sinora ricostruito contestualizza l’importanza del TADPF, che, a differenza dei suoi predecessori, il Safe Harbor e il Privacy Shield, imporrà la decisione della Commissione attraverso le traiettorie del GDPR e di un più corposo ‘diritto pretorio’ della CGUE. L’accordo dovrà stabilizzare gli squilibri che si sono venuti a creare, conducendo ad una decisione di adeguatezza, auspicabilmente, consapevole del percorso pregresso.

Come anticipato, i dettagli dell’accordo non sono ancora noti, ma sono state svelate alcune anticipazioni riguardanti delle disposizioni, che dovrebbero informare l’accesso ai dati da parte dell’intelligence statunitense al canone della necessarietà, su basi giuridiche ben definite e per finalità di interesse generale. Ci si aspettano, allora, nuove salvaguardie e un quadro normativo che preveda limitazioni dei diritti degli interessati chiare e proporzionate.

L’effettività di tali previsioni sarà accostata dal nuovo sistema di risarcimento a due livelli (‘two-tier redress system’) innestato su un’architettura di risoluzione dei reclami che prevede l’istituzione di un’autorità ad hoc, competente ad indirizzare misure correttive cogenti: la Data Protection Review Court, la cui attività dovrebbe basarsi sui principi di terzietà e indipendenza.

Quanto alle società statunitensi, queste potranno continuare le attività di trasferimento di dati personali, autocertificando l’adesione ai principi distillati dall’accordo, secondo le indicazioni dell’U.S. Department of Commerce.

Sembra che non manchi molto alla condivisione dell’accordo … non resta che attendere.

 

[1] European Commission, Press release, European Commission and United States Joint Statement on Trans-
Atlantic Data Privacy Framework, 25 marzo 2022; U.S. Department of Commerce, Press release, Secretary Raimondo Statement on Announcement of Trans-Atlantic Data Privacy Framework, 25 marzo 2022.

[2] Decisione di esecuzione (UE) 2016/1250 della Commissione, del 12 luglio 2016, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio, sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy [notificata con il numero C(2016) 4176], in OJ L 207, 1.8.2016, p. 1-112, fine validità 12.07.2016.

[3] Sentenza della Corte di Giustizia dell’Unione Europea (Grande Sezione) del 16 luglio 2020, Data Protection Commissioner contro Facebook Ireland Limited e Maximillian Schrems, Causa C-311/18, ECLI:EU:C:2020:559.

[4] Decisione della Commissione 2000/520/CE, del 26 luglio 2000, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull'adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (‘FAQ’) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti [notificata con il numero C(2000) 2441], in OJ L 215, 25.8.2000, p. 7-47, fine validità 25.08.2000.

[5] Sentenza della Corte di Giustizia dell’Unione Europea (Grande Sezione) del 6 ottobre 2015, Maximillian Schrems contro Data Protection Commissioner, Causa C-362/14, ECLI:EU:C:2015:650.

[6] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in OJ L 119, 4.5.2016, p. 1–88.

[7] Regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio, del 16 febbraio 2011, che stabilisce le regole e i principi generali relativi alle modalità di controllo da parte degli Stati membri dell’esercizio delle competenze di esecuzione attribuite alla Commissione, in OJ L 55, 28.2.2011, p. 13–18.

[8] Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE, OJ L 295, 21.11.2018, p. 39–98.

[9] Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio, in OJ L 119, 4.5.2016, p. 89–131.

[10] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, in OJ L 281, 23.11.1995, p. 31-50, fine validità 24.05.2018.

[11] A29WP, Documento di lavoro su un’interpretazione comune dell’articolo 26, paragrafo 1 della direttiva 95/46/CE del 24 ottobre 1995, adottato il 25 novembre 2005, WP 114, p. 4. Cfr. A29WP, Trasferimento di dati personali verso paesi terzi: applicazione degli articoli 25 e 26 della direttiva europea sulla tutela dei dati, approvato il 24 luglio 1998, WP 12; ID, Primi orientamenti relativi al trasferimento di dati personali verso paesi terzi - Possibili progressi nella valutazione dell’adeguatezza, approvato il 26 giugno 1997, WP 4.

[12] A29WP, Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision, adottato il 13 aprile 2016, WP 238.

[13] An Act to amend the Foreign Intelligence Surveillance Act of 1978 to establish a procedure for authorizing certain acquisitions of foreign intelligence, and for other purposes, Public Law 110-261 (110th Congress), 10 luglio 2008.

[14] The White House, Executive Order 12333: United States Intelligence Activities, 40 Fed. Reg. 59,941, 4 dicembre 1981, as amended by Executive Order 13284, 68 Fed. Reg. 4,077, 23 gennaio 2003, and by Executive Order 13355, and further amended by Executive Order 13470, 73 Fed. Reg. 45,328, 30 luglio 2008.

[15] Presidential Policy Directive 28, Signals Intelligence Activities, 17 gennaio 2014.

[16] Carta dei diritti fondamentali dell’Unione europea, in OJ C 202, 7.6.2016, p. 389–405.

[17] Decisione della Commissione 2010/87/UE, del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio [notificata con il numero C(2010) 593], in OJ L 39, 12.2.2010, p. 5–18, fine validità 26.09.2021.

[18] Nella sentenza, infatti, la Corte ha altresì analizzato la validità della Decisione ritenendo le stesse dotate di meccanismi efficaci che consentono un livello di protezione equivalente a quello garantito dal GDPR. La decisione è stata rivista all’esito della sentenza Schrems II, dato che le SCC avrebbero costituito lo strumento elettivo per il trasferimento dei dati verso gli Stati Uniti con la Decisione di esecuzione (UE) della Commissione, del 4 giugno 2021, relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, in OJ L 199, 7.6.2021, p. 31–61.

[19] EDPB, Domande più frequenti in merito alla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 – Data Protection Commissioner contro Facebook Ireland Ltd e Maximillian Schrems, adottate il 23 luglio 2020.

[20] U.S. Department of Commerce - Department of Justice - Office of the Director of National Intelligence, Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, White Paper, settembre 2020.

[21] U.S. Department of Commerce, Letter from Deputy Assistant Secretary James Sullivan on the Schrems II Decision.

[22] Il White Paper, in estrema sintesi, parte dal presupposto che la maggior parte delle aziende statunitensi non trasferisce dati di interesse per le agenzie di intelligence degli U.S. e dunque non sono coinvolte nei trasferimenti di dati che presentano il tipo di rischi per la protezione dei dati che sembrano emergere dalla sentenza Schrems II. Prosegue rilevando che il Governo degli Stati Uniti condivide frequentemente le informazioni di intelligence con gli Stati membri dell'UE, ivi compresi i dati divulgati da società in risposta agli ordini FISA 702, per contrastare alle minacce come il terrorismo, la proliferazione delle armi e l'attività cyber straniera ostile; la condivisione delle informazioni FISA 702, secondo il documento, serve indubbiamente importanti interessi pubblici dell'UE, proteggendo i Governi e le persone degli Stati membri. Infine, il libro bianco rileva che nella pronuncia non sono state considerate una serie di disposizioni relative all'accesso ai dati in possesso del Governo per scopi di sicurezza nazionali; comprese informazioni non riportate e analizzate nella decisione 2016/1250, riportando la presenza di nuovi sviluppi, che si sono verificati dal 2016. Il paper conclude facendo riferimento ad altre garanzie nel settore, non sottoposte al vaglio della CGUE, che garantirebbero la disclosure dei dati delle agenzie di intelligence degli Stati Uniti, attraverso disposizioni chiare per un accesso proporzionato, per scopi legittimi, un controllo del rispetto di tali norme tramite una supervisione indipendente e multistrato e rimedi efficaci per violazioni dei diritti.

[23] EDPB, Linee guida 2/2018 sulle deroghe di cui all’articolo 49 del regolamento 2016/679, adottate il 25 maggio 2018, p. 11.