Comitato europeo per la protezione dei dati

Trentaquattresima sessione plenaria del comitato europeo per la protezione dei dati Schrems II, interazione PSD2 e RGPD, nonché lettera all’onorevole europarlamentare Ďuriš Nicholsonová, deputata al Parlamento europeo, sul tracciamento dei contatti, l’int

Monday, 20 July, 2020

Bruxelles, 20 luglio - Durante la sua 34a sessione plenaria, l’EDBP ha adottato una dichiarazione in merito alla sentenza della CGUE nella causa Facebook Ireland contro Schrems. Il comitato ha attuato orientamenti sull’interazione tra la seconda direttiva sui servizi di pagamento (PSD2) e il regolamento generale sulla protezione dei dati (RGPD), nonché una lettera di risposta all’onorevole europarlamentare Ďuriš Nicholsonová sul tracciamento dei contatti, l’interoperabilità delle app e le valutazioni d’impatto sulla protezione dei dati.

L’EDPB ha adottato una dichiarazione in merito alla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 - Data Protection Commissioner contro Facebook Ireland e Maximillian Schrems, che rende nulla la decisione 2016/1250 sull’adeguatezza della protezione offerta dallo scudo UE-USA per la privacy e considera valida la decisione 2010/87 della Commissione relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.

Per quanto riguarda lo scudo per la privacy, l’EDPB sottolinea che l’UE e gli Stati Uniti dovrebbero creare un quadro esaustivo ed efficace che garantisca un livello di protezione dei dati personali negli Stati Uniti sostanzialmente equivalente a quello garantito nell’UE, in linea con la sentenza. L’EDPB intende continuare a svolgere un ruolo costruttivo nel garantire un trasferimento transatlantico dei dati personali che sia favorevole ai cittadini e alle organizzazioni del SEE ed è pronto a fornire assistenza e orientamenti alla Commissione europea per contribuire a sviluppare, insieme agli Stati Uniti, un nuovo quadro che rispetti pienamente il diritto dell’UE in materia di protezione dei dati.

Per quanto riguarda le clausole contrattuali tipo, l’EDBP prende atto della responsabilità primaria dell’esportatore e dell’importatore nel valutare l’opportunità di attenersi alle clausole contrattuali tipo, per assicurare che queste mantengano un livello di protezione sostanzialmente equivalente a quello garantito dal RGPD alla luce della Carta dell’UE. Nell’effettuare tale valutazione preventiva, l’esportatore (se necessario con l’assistenza dell’importatore) tiene conto del contenuto delle CCT, delle circostanze specifiche del trasferimento e del regime giuridico applicabile nel paese dell’importatore. La Corte evidenzia che l’esportatore può dover prendere in considerazione l’introduzione di misure supplementari oltre a quelle di cui alle CCT. L’EDPB esaminerà ulteriormente in cosa potrebbero consistere queste misure supplementari.

L’EDPB prende inoltre atto del dovere delle autorità di controllo competenti di sospendere o vietare il trasferimento di dati verso un paese terzo a norma delle CCT qualora, a parere della competente autorità di controllo e alla luce di tutte le circostanze di detto trasferimento, tali clausole non siano o non possano essere rispettate nel suddetto paese terzo e la protezione dei dati trasferiti non possa essere garantita con altri mezzi, in particolare laddove il titolare o il responsabile del trattamento non abbiano già sospeso o annullato il trasferimento.

L’EDPB rammenta di aver adottato orientamenti sull’articolo 49 del RGPD e che tali deroghe devono essere applicate caso per caso.

L’EDPB valuterà più attentamente la sentenza e fornirà ulteriori chiarimenti alle parti interessate e orientamenti sull’uso degli strumenti per il trasferimento di dati personali verso paesi terzi a norma di tale sentenza. L’EDPB e le sue autorità di controllo europee sono pronti, come dichiarato dalla CGUE, a garantire la coerenza in tutto il SEE.

Il documento integrale è disponibile qui: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_it

L’EDPB ha adottato orientamenti sulla seconda direttiva sui servizi di pagamento (PSD2). La PSD2 modernizza il quadro giuridico per il mercato dei servizi di pagamento. Significativamente, la PSD2 introduce un quadro giuridico per nuovi servizi di disposizione di ordine di pagamento (PISP) e servizi d’informazione sui conti (AISP). Gli utenti possono richiedere che questi nuovi fornitori di servizi di pagamento abbiano accesso ai loro conti di pagamento. A seguito di un seminario del febbraio 2019 con le parti interessate, l’EDPB ha sviluppato orientamenti in merito all’applicazione del RGPD a questi nuovi servizi di pagamento.

Gli orientamenti evidenziano che in questo contesto il trattamento di particolari categorie di dati personali è in generale vietato (conformemente all’articolo 9, paragrafo 1, del RGPD), salvo il caso in cui l’interessato abbia prestato il proprio consenso esplicito [articolo 9, paragrafo 2, lettera a) , del RGPD] o il trattamento sia necessario per motivi d’interesse pubblico rilevante [articolo 9, paragrafo 2, lettera g), del RGPD].

Gli orientamenti affrontano anche le condizioni in base alle quali i prestatori di servizi di pagamento di radicamento del conto (ASPSP) garantiscono accesso alle informazioni sui conti di pagamento ai PISP e agli AISP, in particolare l’accesso mirato ai conti di pagamento.

Gli orientamenti chiariscono che né l’articolo 66, paragrafo 3, lettera g), né l’articolo 67, paragrafo 2, lettera f), della PSD2 consentono l’ulteriore trattamento, a meno che l’interessato non abbia dato il consenso a norma dell’articolo 6, paragrafo 1, lettera a), del RDGP o che il trattamento sia previsto dal diritto dell’Unione o dello Stato membro. Gli orientamenti saranno sottoposti a consultazione pubblica.

Infine, il comitato ha adottato una lettera in risposta alle domande dell’onorevole europarlamentare Ďuriš Nicholsonová sulla protezione dei dati nel contesto della lotta contro la COVID-19. La lettera affronta domande riguardanti l’armonizzazione e l’interoperabilità delle applicazioni di tracciamento dei contatti, il requisito di una valutazione d’impatto sulla protezione dei dati per tale trattamento e la possibile durata dello stesso.

EDPB_Press Release_2020_12