Bruxelles, 14 novembre — Il 12 e il 13 novembre le autorità garanti della protezione dei dati del SEE e il Garante europeo della protezione dei dati, riuniti in seno al comitato europeo per la protezione dei dati, hanno tenuto loro quindicesima sessione plenaria. Durante la plenaria è stata discussa un'ampia gamma di argomenti.
Terzo riesame annuale del Privacy Shield
Il Comitato europeo per la protezione dei dati ha adottato la sua relazione sulla terza revisione congiunta annuale dello scudo UE-USA per la privacy. Nella relazione il Comitato accoglie con favore gli sforzi compiuti dalle autorità statunitensi per attuare lo scudo per la privacy, in particolare per quanto riguarda la sorveglianza d'ufficio e le misure attuative connesse agli aspetti commerciali dell’Accordo, nonché le nomine degli ultimi membri mancanti del Privacy and Civil Liberties Oversight Board (PCLOB – Commissione di controllo sulla privacy e le libertà civili) e del Mediatore (Ombudsperson) permanente.
Permangono tuttavia alcuni problemi da risolvere. Il Comitato osserva che sussistono ancora problematiche rispetto a importanti controlli di conformità con la sostanza dei principi dello scudo per la privacy. Altri settori che richiedono maggiore attenzione sono l'applicazione dei requisiti relativi ai trasferimenti ulteriori, ai dati delle risorse umane e ai responsabili del trattamento, nonché al processo di ricertificazione. Più in generale, i membri del gruppo incaricato del riesame troverebbero utile disporre di un più ampio accesso alle informazioni non pubbliche concernenti gli aspetti commerciali e le indagini in corso.
Per quanto riguarda la raccolta di dati da parte delle autorità pubbliche, il Comitato incoraggia la PCLOB a pubblicare ulteriori relazioni, anche per fornire una valutazione indipendente dei programmi di sorveglianza condotti al di fuori del territorio statunitense dal momento che vi sono trasferimenti di dati dall'UE agli Stati Uniti. Il Comitato ribadisce che i suoi esperti in possesso del nulla osta di sicurezza sono pronti a esaminare ulteriori documenti e a discutere ulteriori elementi classificati.
Il Comitato accoglie con favore i nuovi elementi forniti nel riesame di quest'anno, ma non può ancora giungere alla conclusione che il Mediatore sia dotato di poteri sufficienti per accedere alle informazioni e porre rimedio alle inadempienze.
Linee-guida sull'ambito di applicazione territoriale
Il Comitato ha adottato la versione definitiva delle linee-guida sull'ambito territoriale successivamente alla consultazione pubblica. Le linee-guida mirano a fornire un'interpretazione comune del regolamento generale sulla protezione dei dati per le autorità SEE incaricate della protezione dei dati nel valutare se un determinato trattamento da parte di un titolare o di un responsabile del trattamento rientri nell'ambito di applicazione territoriale del regolamento stesso, in conformità dell'articolo 3 di quest’ultimo. Le linee-guida forniscono ulteriori chiarimenti sull'applicazione del regolamento in varie situazioni, ad esempio nel caso in cui il titolare o il responsabile del trattamento sia stabilito al di fuori del SEE, anche per quanto riguarda la designazione e il ruolo di un rappresentante ai sensi dell'articolo 27 del regolamento stesso.
La versione finale delle linee-guida contiene considerazioni e analisi giuridiche ulteriori al fine di rispondere alle osservazioni e ai riscontri ricevuti durante la consultazione pubblica, pur mantenendo l’approccio interpretativo e metodologico della versione iniziale.
Linee-guida sulla protezione dei dati fin dalla progettazione & per impostazione predefinita (‘by design & by default’)
Il Comitato ha adottato Linee-guida sulla protezione dei dati fin dalla progettazione e per impostazione predefinita. Le linee-guida si concentrano sugli obblighi fissati in materia dall'articolo 25 del regolamento generale. L'obbligo fondamentale in questo caso è l'attuazione efficace dei principi di protezione dei dati e dei diritti e delle libertà degli interessati fin dalla progettazione e per impostazione predefinita. Ciò richiede che i titolari del trattamento mettano in atto adeguate misure tecniche e organizzative e le necessarie garanzie, intese ad accertare in modo efficace i principi di protezione dei dati e a proteggere i diritti e le libertà degli interessati. Inoltre, i titolari devono essere in grado di dimostrare l'efficacia delle misure attuate. Le linee-guida saranno sottoposte a consultazione pubblica.
Parere ai sensi dell’Articolo 64 sulle BCR della ExxonMobil
Il Comitato ha adottato il parere sul progetto di decisione relativo alle norme vincolanti d'impresa (BCR) della ExxonMobil, presentatogli dall'Autorità di controllo belga. Il Comitato ritiene che il progetto di BCR per titolari del trattamento fornisca garanzie sufficienti ai sensi dell'articolo 46 (2) (b) e sia conforme all'articolo 47 del regolamento generale.
Lettera di risposta alla commissione LIBE sui sistemi di informazione dell'UE
Il Comitato ha adottato la risposta alla richiesta della commissione per le libertà civili (LIBE) del Parlamento europeo di effettuare una valutazione giuridica delle proposte della Commissione concernenti il regolamento che stabilisce le condizioni per l'accesso agli altri sistemi di informazione dell'UE e il regolamento che stabilisce le condizioni per l'accesso ad altri sistemi di informazione dell'UE ai fini dell'ETIAS. Nella lettera, il Comitato afferma che le proposte dovrebbero essere inquadrate in un contesto più generale, ossia quali strumenti parzialmente attuativi del Quadro di interoperabilità, e ricorda le preoccupazioni espresse in precedenza dal Gruppo di lavoro « Articolo 29 ». Inoltre, la lettera evidenzia preoccupazioni in merito ad alcuni principi fondamentali della protezione dei dati, quali la trasparenza, la protezione dei dati fin dalla progettazione e per impostazione predefinita, e la limitazione delle finalità.
Protocollo addizionale alla convenzione di Budapest sulla criminalità informatica
Il Comitato ha adottato un contributo al progetto di secondo protocollo addizionale alla convenzione del Consiglio d'Europa sulla criminalità informatica (convenzione di Budapest), nel quadro delle consultazioni tenute dal Comitato per la convenzione sulla criminalità informatica del Consiglio d'Europa (T-CY). Il Comitato europeo per la protezione dei dati ricorda che occorre garantire la protezione dei dati personali e la certezza del diritto, contribuendo in tal modo all'obiettivo di definire meccanismi sostenibili per la condivisione dei dati personali con paesi terzi a fini di contrasto che siano pienamente compatibili con i trattati dell'UE e con la Carta dei diritti fondamentali.
Nota per la stampa:
Si prega di notare che tutti i documenti adottati durante la plenaria del comitato europeo per la protezione dei dati sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del Comitato europeo per la protezione dei dati una volta che saranno stati completati.