Comitato europeo per la protezione dei dati

EDPB News

20 November 2020

Bruxelles, 20 novembre — Il 19 novembre il Comitato si è riunito per la sua 42a sessione plenaria. Durante la plenaria, la Commissione europea ha presentato due nuovi progetti di clausole contrattuali tipo e il comitato  ha adottato una dichiarazione sul futuro regolamento relativo alla vita privata e alle comunicazioni elettroniche.

La Commissione europea ha presentato due progetti di clausole contrattuali tipo: una serie di clausole contrattuali tipo per i contratti tra titolari e responsabili del trattamento e un'altra per i trasferimenti di dati al di fuori dell'UE. I progetti di clausole contrattuali tipo titolare-responsabile del trattamento sono del tutto nuovi e sono stati messi a punto dalla Commissione conformemente all'articolo 28 (7) del regolamento generale sulla protezione dei dati (RGPD) e all'articolo 29 (7) del regolamento (UE) 2018/1725. Tali clausole contrattuali tipo avranno efficacia nell’intera UE e intendono garantire la piena armonizzazione e la certezza del diritto in tutta l'UE per quanto riguarda i contratti tra i titolari e i loro responsabili del trattamento. Inoltre, la Commissione ha presentato un'altra serie di clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi a norma dell'articolo 46 (2), lettera c), del RGPD. Tali clausole sostituiranno le clausole contrattuali tipo oggi esistenti per i trasferimenti internazionali, che sono state adottate sulla base della direttiva 95/46 e devono essere aggiornate per allinearle ai requisiti del RGPD e alla sentenza "Schrems II" della CGUE, nonché per meglio tenere conto del ricorso diffuso a trattamenti innovativi e maggiormente complessi che coinvolgono spesso più soggetti importatori ed esportatori di dati. La Commissione ha chiesto al comitato e al Garante europeo per la protezione dei dati un parere congiunto sugli atti di esecuzione relativi a entrambe le serie di clausole contrattuali tipo.

Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: « Sono alte le aspettative riguardo le nuove clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi ed è importante sottolineare che tali clausole non rappresentano  una soluzione onnicomprensiva per i trasferimenti di dati dopo la sentenza Schrems II. Sebbene le clausole contrattuali tipo aggiornate siano un elemento chiave del puzzle e costituiscano uno sviluppo molto importante, spetta comunque agli esportatori di dati completare il puzzle. L'approccio per fasi successive utilizzato nelle raccomandazioni del comitato sulle misure supplementari è necessario per allineare il livello di protezione dei dati trasferiti allo standard dell'UE di equivalenza essenziale. Insieme al Garante europeo, il comitato elaborerà un parere congiunto sulle due serie di progetti di clausole contrattuali tipo come richiesto dalla Commissione europea."

Raccomandazioni 1/2020 sulle misure supplementari: Durante la plenaria, i membri del Comitato hanno deciso di prorogare dal 30 novembre 2020 al 21 dicembre 2020 il termine per la consultazione pubblica relativa alle raccomandazioni sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello UE di protezione dei dati personali.

Il comitato ha adottato una dichiarazione sul futuro regolamento relativo alla vita privata e alle comunicazioni elettroniche e sul ruolo futuro delle autorità di controllo e del comitato stesso in tale contesto. Il comitato ha espresso preoccupazione per alcuni nuovi orientamenti delle discussioni in seno al Consiglio riguardanti l’attuazione del futuro regolamento e-privacy, che potrebbero comportare una frammentazione delle attività di vigilanza, complessità procedurali e minore coerenza e certezza del diritto per le persone fisiche e le imprese. Il comitato sottolinea che molte delle disposizioni del futuro regolamento e-privacy riguardano il trattamento dei dati personali e che numerose disposizioni del RGPD e del regolamento e-privacy sono strettamente interconnesse. L'interpretazione e l’attuazione coerenti delle due normative quando esse investono la protezione dei dati personali sarebbero pertanto realizzate nel modo più efficiente se fosse affidata a una stessa autorità l'attuazione delle suddette disposizioni del regolamento e-privacy e del RGPD.

Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha aggiunto: "Il controllo delle attività di trattamento di dati personali a norma del regolamento e-privacy dovrebbe essere affidato alle stesse autorità nazionali responsabili di vigilare sull’attuazione del regolamento generale sulla protezione dei dati. Ciò garantirà un livello elevato di protezione dei dati, condizioni di parità e un'interpretazione e un’attuazione armonizzate nell’intera UE delle disposizioni del regolamento e-privacy concernenti trattamenti di dati personali."

Il comitato ha inoltre sottolineato la necessità di adottare quanto prima il nuovo regolamento.

Il comitato ha aggiunto che la presente dichiarazione lascia impregiudicate le posizioni espresse in precedenza dal comitato, comprese le dichiarazioni del marzo 2019 e del maggio 2018, e ha ribadito che il futuro regolamento e-privacy non dovrebbe in alcun caso ridurre il livello di protezione offerto dall'attuale direttiva e-privacy e dovrebbe integrare il RGPD fornendo ulteriori e forti garanzie di riservatezza e protezione rispetto a ogni tipologia di comunicazioni elettroniche.

Nota editoriale:
si prega di osservare che tutti i documenti adottati durante la plenaria del comitato sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno messi a disposizione sul sito web del comitato una volta completati tali controlli.

EDPB_Press Release_2020_19

16 November 2020

***Registration has been closed***

On November 27, the EDPB is organising a remote stakeholder workshop on the topic of Legitimate Interest. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending.

Places will be allocated on a first come, first served basis, depending on availability. We will contact your organisation in case your registration has been successful.

Detailed information and the programme of the event will be available shortly.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 27th 2020, from 10:00 - 16:00

11 November 2020

Bruxelles, 11 novembre — Durante la sua 41a sessione plenaria, il Comitato europeo per la protezione dei dati ha adottato raccomandazioni sulle misure che integrano gli strumenti di trasferimento dei dati per garantire il rispetto del livello UE di protezione dei dati personali, nonché raccomandazioni sulle cosiddette « garanzie essenziali europee »  in rapporto alle misure di sorveglianza.

Entrambi i documenti sono stati adottati successivamente alla sentenza "Schrems II" della CGUE. A seguito della sentenza del 16 luglio scorso, i titolari del trattamento che utilizzino clausole contrattuali tipo sono tenuti a verificare, caso per caso e, ove opportuno, in collaborazione con il destinatario dei dati nel paese terzo, se la legislazione del paese terzo garantisca un livello di protezione dei dati personali trasferiti sostanzialmente equivalente a quello vigente nello Spazio economico europeo (SEE).  La CGUE ha consentito agli esportatori di aggiungere misure supplementari alle clausole contrattuali tipo per garantire l'effettivo rispetto di tale livello di protezione qualora le garanzie contenute nelle clausole contrattuali tipo non siano sufficienti.

Le raccomandazioni intendono assistere i titolari e responsabili del trattamento che siano esportatori di dati nell'individuazione e nell'attuazione di adeguate misure supplementari, ove queste siano necessarie per garantire ai dati trasferiti verso paesi terzi un livello di protezione sostanzialmente equivalente. In tal modo, il comitato mira a un'applicazione coerente del RGPD e della sentenza della Corte in tutto il SEE.

Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: "Il comitato è pienamente consapevole dell'impatto della sentenza Schrems II su migliaia di imprese dell'UE e dell'importante responsabilità che tale sentenza attribuisce agli esportatori di dati. Il comitato si augura che le raccomandazioni possano aiutare gli esportatori di dati a individuare e attuare misure supplementari efficaci laddove siano necessarie. Il nostro obiettivo è consentire trasferimenti leciti di dati personali verso paesi terzi, garantendo nel contempo che ai dati trasferiti sia assicurato un livello di protezione sostanzialmente equivalente a quello vigente  all'interno del SEE."

Le raccomandazioni offrono una sequenza logica delle attività di analisi  che gli esportatori di dati devono compiere per stabilire se siano tenuti a mettere in atto misure supplementari al fine di trasferire i dati al di fuori del SEE conformemente al diritto dell'UE, e per aiutarli a individuare le misure più efficaci. Per assistere gli esportatori di dati, le raccomandazioni contengono anche un elenco non esaustivo di esempi di misure supplementari nonché alcune delle condizioni necessarie per rendere efficaci le singole misure.

Tuttavia, spetta in ultima analisi agli esportatori effettuare la valutazione in concreto alla luce dello specifico trasferimento, del diritto del paese terzo e dello strumento di trasferimento utilizzato. Gli esportatori di dati devono procedere con la dovuta diligenza e documentare accuratamente il processo valutativo, in quanto saranno chiamati a rispondere delle decisioni assunte su tale base, in linea con il principio di responsabilizzazione previsto dal RGPD. Inoltre, gli esportatori di dati dovrebbero essere consapevoli  del fatto che non in tutti i casi potrebbe essere possibile mettere in atto misure supplementari sufficienti.

Le raccomandazioni sulle misure supplementari saranno sottoposte a consultazione pubblica. Saranno applicabili immediatamente dopo la loro pubblicazione.

Il comitato ha adottato anche una serie di raccomandazioni sulle garanzie essenziali europee relativamente alle misure di sorveglianza. Le raccomandazioni sulle garanzie essenziali europee sono complementari alle raccomandazioni sulle misure supplementari. Le raccomandazioni sulle garanzie essenziali europee forniscono agli esportatori di dati elementi utili a stabilire se il quadro giuridico che disciplina in paesi terzi l'accesso delle autorità pubbliche ai dati per fini di sorveglianza configuri un'ingerenza giustificata nei diritti alla vita privata e alla protezione dei dati personali, e quindi non sia in contrasto con gli impegni assunti dall’esportatore e dall’importatore attraverso lo strumento di trasferimento utilizzato fra quelli di cui all'articolo 46 del RGPD.

La presidente del comitato aggiunge: "Le implicazioni della sentenza Schrems II interessano  tutti i trasferimenti verso paesi terzi. Pertanto, non vi sono soluzioni rapide né una soluzione valida per tutti i trasferimenti, in quanto ciò significherebbe ignorare la grande eterogeneità dei contesti in cui operano gli esportatori di dati. Questi ultimi dovranno valutare i rispettivi trattamenti e trasferimenti di dati e adottare misure efficaci tenendo conto dell'ordinamento giuridico dei paesi terzi verso i quali trasferiscono o intendono trasferire i dati stessi."

Le autorità  di protezione dei dati del SEE continueranno a coordinare le loro azioni in seno al comitato per garantire l'applicazione coerente del diritto dell'UE in materia di protezione dei dati.

Nota editoriale:
si prega di considerare che tutti i documenti adottati durante la plenaria del comitato sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno messi a disposizione sul sito web del comitato una volta completati tali controlli.

EDPB_Press Release_2020_18

10 November 2020

Bruxelles, 10 novembre — Durante la sua 41a sessione plenaria, il comitato ha adottato, a maggioranza di 2/3 dei membri, la prima decisione avente per oggetto la risoluzione di una controversia ai sensi dell'articolo 65 del RGPD. La decisione, che ha natura vincolante,  mira a risolvere la controversia insorta a seguito di un progetto di decisione emesso dall'autorità di controllo irlandese, in qualità di autorità di controllo capofila, nei confronti di Twitter International Company e delle obiezioni pertinenti e motivate (RRO) formulate successivamente da alcune autorità di controllo interessate.

L'autorità di controllo irlandese ha emesso il progetto di decisione a seguito di indagini e accertamenti d’ufficio condotti nei confronti di Twitter International Company, dopo che la società aveva notificato una violazione di dati personali all'autorità di controllo l’8 gennaio 2019. Nel maggio 2020, l'autorità di controllo irlandese ha condiviso il suo progetto di decisione con le autorità di controllo interessate a norma dell'articolo 60 (3) del RGPD. Le autorità di controllo interessate disponevano di quattro settimane per presentare le rispettive obiezioni pertinenti e motivate (RRO). Sono state quindi presentate RRO riguardanti, tra l'altro, le violazioni del RGPD individuate dall'autorità di controllo capofila, il ruolo di Twitter International Company in qualità di (unico) titolare del trattamento dei dati e la quantificazione della sanzione pecuniaria proposta.

Avendo respinto le obiezioni e/o ritenuto che non fossero "pertinenti e motivate", l'autorità capofila ha deferito la questione al comitato a norma dell'articolo 60 (4) del RGPD, avviando in tal modo la procedura di risoluzione delle controversie.

A seguito del deferimento da parte dell'autorità capofila, è stata valutata la completezza del fascicolo e successivamente si è proceduto all'avvio formale della procedura ex articolo 65, in data 8 settembre 2020. In conformità dell'articolo 65, paragrafo 3, del RGPD e in combinato disposto con l'articolo 11, paragrafo 4, del regolamento interno del comitato, il termine di un mese previsto in via generale per l’adozione della decisione è stato prorogato di un altro mese a causa della complessità della questione.

Il 9 novembre 2020 il comitato ha adottato la sua decisione vincolante e a breve la notificherà  formalmente all'autorità di controllo irlandese.

L'autorità irlandese adotta la sua decisione definitiva, indirizzata al titolare del trattamento, sulla base della decisione del comitato, senza indebito ritardo e al più tardi entro un mese dalla notifica della decisione da parte del comitato stesso. L'autorità capofila e le autorità di controllo interessate comunicano al comitato la data di notifica al titolare della decisione definitiva. A seguito di tale notifica, il comitato pubblicherà la sua decisione sul proprio sito web.

Allegati: FAQ sull’Art. 65

EDPB_Press Release_2020_17

21 October 2020

Bruxelles, 21 ottobre — Il 20 ottobre il Comitato si è riunito per la sua 40a sessione plenaria. Durante la plenaria è stata discussa un'ampia gamma di argomenti.

All’esito di una consultazione pubblica, il comitato ha adottato una versione definitiva delle linee guida sulla protezione dei dati fin dalla progettazione & per impostazione predefinita (by design & default). Le linee-guida si concentrano sull'obbligo di protezione dei dati fin dalla progettazione e per impostazione predefinita (DPbDD) di cui all'articolo 25 del regolamento generale sulla protezione dei dati (RGPD). L'obbligo fondamentale sancito dall'articolo 25 è l'attuazione efficace dei principi di protezione dei dati e dei diritti e delle libertà degli interessati fin dalla progettazione e per impostazione predefinita. Ciò significa che i titolari del trattamento devono mettere in atto misure tecniche e organizzative adeguate e le garanzie necessarie, volte a verificare nella pratica i principi di protezione dei dati e a tutelare i diritti e le libertà degli interessati. Inoltre, i titolari del trattamento dovrebbero essere in grado di dimostrare l'efficacia delle misure attuate.

Le linee-guida contengono inoltre orientamenti su modalità per dare efficace attuazione ai principi di protezione dei dati di cui all'articolo 5 del RGPD, elencando i principali elementi di progettazione e di default, nonché  casi pratici a scopo illustrativo. Forniscono inoltre raccomandazioni sulle modalità di cooperazione fra titolari del trattamento, responsabili del trattamento e  produttori al fine di realizzare la DPbDD.

Le linee-guida, nella loro versione definitiva, integrano una formulazione aggiornata e ulteriori argomentazioni giuridiche al fine di rispondere alle osservazioni e ai riscontri ricevuti nel corso della consultazione pubblica.

Il comitato ha deciso di istituire una struttura di coordinamento delle attività di enforcement (CEF). Il CEF offre una struttura per coordinare attività annuali ricorrenti delle autorità di controllo nel comitato. L'obiettivo del CEF è facilitare azioni congiunte in modo flessibile e coordinato, a partire da attività congiunte di sensibilizzazione e raccolta di informazioni  fino alle indagini a tappeto e alle indagini congiunte. Lo  svolgimento di attività annuali coordinate e ricorrenti mira a promuovere l’osservanza, consentire agli interessati di esercitare i loro diritti e favorire la sensibilizzazione.

Il comitato ha adottato una lettera in risposta all'Europäische Akademie für Informationsfreiheit und Datenschutz in merito alle implicazioni per la protezione dei dati dell' articolo 17 della direttiva sul diritto d'autore, in particolare per quanto riguarda le tecnologie di riconoscimento dei contenuti (« filtri di caricamento »). Nella lettera, il comitato afferma che qualsiasi trattamento di dati personali ai fini dell’impiego di filtri di caricamento deve essere proporzionato e necessario e che, per quanto possibile, non dovrebbe essere effettuato alcun trattamento di dati personali in rapporto all'attuazione dell'articolo 17 della direttiva sul diritto d'autore. Qualora  sia necessario trattare dati personali, ad esempio per il funzionamento dei meccanismi di ricorso,  essi dovrebbero limitarsi a quelli necessari per tale scopo specifico, salva l’applicazione di tutti gli altri principi del RGPD. Il comitato ha inoltre sottolineato che è in costante dialogo con la Commissione europea su questo tema e ha indicato di essere pronto a un'ulteriore collaborazione.

Nota editoriale:
si prega di notare che tutti i documenti adottati durante la plenaria del comitato sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno messi a disposizione sul sito web del comitato una volta completati tali controlli.

EDPB_Press Release_2020_16

12 October 2020

Bruxelles, 12 ottobre — Durante la sua 39a sessione plenaria, il Comitato ha adottato linee-guida sul concetto di obiezione pertinente e motivata. Le linee-guida contribuiranno a un'interpretazione uniforme di tale concetto, e ciò faciliterà un approccio omogeneo nelle procedure di cui all'articolo 65 del regolamento generale sulla protezione dei dati (RGPD).

Nell'ambito del meccanismo di cooperazione stabilito dal RGPD, le autorità di controllo "si scambiano tutte le informazioni pertinenti" e cooperano "nell'adoperarsi per raggiungere un consenso". A norma dell'articolo 60, paragrafo 3 e paragrafo 4 del RGPD, l'autorità di controllo capofila è tenuta a presentare un progetto di decisione alle autorità di controllo interessate, che possono quindi sollevare un'obiezione pertinente e motivata entro un termine specifico. Dopo aver ricevuto un'obiezione pertinente e motivata, l'autorità capofila ha due opzioni. Se non segue l'obiezione pertinente e motivata o ritiene che l'obiezione non sia motivata o pertinente, sottopone la questione al Comitato nell'ambito del meccanismo di coerenza (articolo 65 del RGPD). Se invece l'autorità capofila segue l'obiezione e presenta un progetto di decisione riveduto, le autorità di controllo interessate possono formulare un'obiezione pertinente e motivata al progetto di decisione riveduto entro un termine di due settimane.

Gli orientamenti mirano a stabilire un'interpretazione condivisa del concetto di obiezione "pertinente e motivata", ivi compresi gli elementi da prendere in considerazione nel valutare se un'obiezione "dimostri chiaramente la rilevanza dei rischi posti dal progetto di decisione" (articolo 4, paragrafo 24, del RGPD).

Nota editoriale

Si prega di notare che tutti i documenti adottati durante la plenaria del Comitato sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno messi a disposizione sul sito web del Comitato una volta completati tali controlli.

EDPB_Press Release_2020_15

04 September 2020

Bruxelles, 3 settembre — Il comitato ha adottato linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel regolamento generale sulla protezione dei dati (RGPD) e linee-guida sul targeting degli utenti dei social media. Inoltre, il comitato ha creato una task force che si occuperà dei reclami pervenuti a seguito della sentenza Schrems II della CGUE, oltre a una task force dedicata alle misure supplementari che gli esportatori e gli importatori di dati possono essere tenuti ad adottare per garantire una protezione adeguata in caso di trasferimento dei dati, alla luce della sentenza Schrems II della CGUE.

Il comitato ha adottato Linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel RGPD. Dopo l'entrata in vigore del RGPD sono stati sollevati vari interrogativi in merito agli effetti del RGPD stesso su tali concetti, in particolare per quanto riguarda la nozione di contitolarità del trattamento (di cui all'articolo 26 del RGPD, anche alla luce di alcune sentenze della CGUE), nonché gli obblighi dei responsabili del trattamento (fissati, in particolare, all'articolo 28 del RGPD) di cui al capo IV del RGPD.

Nel marzo 2019 il comitato, insieme al suo segretariato, ha organizzato un evento pubblico con le parti interessate che ha segnalato chiaramente la necessità di orientamenti più pratici e ha consentito al comitato di comprendere meglio le esigenze e le preoccupazioni in tale ambito. Le nuove linee-guida si articolano in due sezioni principali: una prima sezione in cui sono illustrati i singoli concetti, e una seconda sezione contenente orientamenti dettagliati sulle principali conseguenze che ne derivano per i titolari e i responsabili del trattamento nonché per i contitolari del trattamento.  Un diagramma di flusso fornisce ulteriori orientamenti pratici. Le linee-guida saranno oggetto di una consultazione pubblica.

Il comitato ha adottato Linee-guida sul targeting degli utenti dei social media. Le linee-guida mirano a fornire orientamenti pratici alle parti interessate e presentano esempi di situazioni diverse così da consentire di individuare rapidamente lo "scenario" più vicino all’attività di targeting che i singoli soggetti intendono mettere in pratica. L'obiettivo principale delle linee-guida è chiarire ruoli e  responsabilità del fornitore di social media e della persona interessata. A tal fine, vengono delineati, tra l'altro, i potenziali rischi per le libertà individuali, i principali attori e i rispettivi ruoli, l'applicazione dei requisiti fondamentali in materia di protezione dei dati, quali la liceità e la trasparenza dei trattamenti e la valutazione d'impatto sulla protezione dei dati, nonché gli elementi chiave degli accordi che disciplinano i rapporti tra i fornitori di social media e gli interessati. Inoltre, le linee-guida si concentrano sui diversi meccanismi di targeting, sul trattamento di categorie particolari di dati e sull'obbligo per i contitolari del trattamento di prevedere un accordo adeguato a norma dell'articolo 26 del RGPD. Le linee-guida saranno oggetto di una consultazione pubblica.

Il comitato ha creato una task force incaricata di esaminare i reclami presentati a seguito della sentenza Schrems II della CGUE. Sono stati presentati complessivamente 101 reclami identici alle autorità per la protezione dei dati del SEE nei confronti di diversi titolari del trattamento negli Stati membri del SEE, in merito al loro utilizzo di servizi di Google/Facebook che comportano il trasferimento di dati personali. In particolare, i reclamanti, rappresentati dall'ONG NOYB, sostengono che Google/Facebook trasferiscano dati personali negli Stati Uniti basandosi sullo scudo UE-USA per la privacy (Privacy Shield) o sulle clausole contrattuali tipo e che, alla luce della recente sentenza della CGUE nella causa C-311/18, il titolare del trattamento non sia in grado di garantire un'adeguata protezione dei dati personali dei reclamanti. La task force analizzerà la questione e garantirà una stretta cooperazione tra i membri del comitato.

A seguito della sentenza Schrems II della CGUE, e in aggiunta alle FAQ adottate il 23 luglio, il comitato ha creato una task force specifica con il compito di elaborare raccomandazioni per titolari e responsabili del trattamento nell'individuazione e nell'attuazione di adeguate misure supplementari finalizzate a garantire un'adeguata protezione in caso di trasferimento di dati verso paesi terzi.

Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato : "Il comitato è ben consapevole del fatto che la sentenza Schrems II attribuisce ai titolari del trattamento una responsabilità importante. Oltre alla dichiarazione e alle FAQ pubblicate subito dopo la sentenza, elaboreremo raccomandazioni per supportare titolari e responsabili del trattamento nella necessaria individuazione e attuazione di adeguate misure supplementari di natura giuridica, tecnica e organizzativa al fine di soddisfare il requisito di « equivalenza sostanziale » nel trasferimento di dati personali verso paesi terzi. Tuttavia, la sentenza ha implicazioni di ampia portata e i contesti dei trasferimenti di dati verso paesi terzi sono molto diversi. Pertanto, non si può pensare a una soluzione unica e di immediata applicazione. Ciascun titolare o responsabile dovrà valutare i trattamenti svolti e i relativi trasferimenti, adottando le misure opportune."

Nota editoriale:
si osservi che tutti i documenti adottati durante la plenaria del comitato sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno messi a disposizione sul sito web del comitato una volta completati tali controlli.

EDPB_Press Release_2020_14

24 July 2020

Comitato europeo per la protezione dei dati: pubblicate le risposte alle domande frequenti sulla sentenza della CGUE nella causa C-311/18 (Schrems II)

A seguito della sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18, Data Protection Commissioner contro Facebook Ireland Ltd e Maximillian Schrems, il Comitato europeo per la protezione dei dati (EDPB) ha adottato un documento contenente risposte alle domande frequenti volto a fornire un primo chiarimento e orientamenti preliminari alle parti interessate in merito al ricorso a strumenti giuridici per il trasferimento di dati personali verso paesi terzi, tra cui gli Stati Uniti. Tale documento sarà ampliato e integrato, unitamente a ulteriori orientamenti, in base agli sviluppi dell’analisi e della valutazione della sentenza della Corte attualmente in corso presso l’EDPB. 

Le risposte alle domande frequenti sulla sentenza della CGUE nella causa C-311/18 sono consultabili qui.

Comunicato stampa_EDPB_2020_06

23 July 2020

Bruxelles, 23 luglio – In vista della prossima fine del periodo di transizione precedente la Brexit, il Comitato europeo per la protezione dei dati (EDPB) ha adottato una nota informativa in cui si delineano le misure che devono essere prese dalle autorità di vigilanza, dai titolari di norme vincolanti d’impresa approvate e dalle organizzazioni in attesa dell’approvazione di tali norme da parte dell’autorità di vigilanza del Regno Unito al fine di garantire che dette norme possano continuare a essere utilizzate come valido strumento di trasferimento dopo la fine del periodo di transizione di cui sopra. Poiché al termine di tale periodo l’autorità di vigilanza del Regno Unito non sarà più considerata autorità di vigilanza competente ai sensi del regolamento generale sulla protezione dei dati (GDPR), le relative decisioni in materia di approvazione adottate ai sensi dello stesso GDPR non avranno più effetto giuridico nel SEE. Inoltre, poiché le norme vincolanti d’impresa in genere contengono riferimenti all’ordinamento giuridico del Regno Unito, le norme in questione potrebbero dover essere modificate prima della scadenza del periodo di transizione. Quanto sopra vale anche per le norme già approvate ai sensi della direttiva 94/46/CE.

I titolari di norme vincolanti d’impresa la cui autorità di controllo capofila in tale ambito è quella del Regno Unito devono mettere in atto tutte le predisposizioni organizzative per individuare una nuova autorità di controllo capofila nel SEE. Tale cambio di autorità di vigilanza capofila dovrà avere luogo prima della fine del periodo di transizione precedente la Brexit.

Gli attuali depositari di una richiesta di approvazione di norme vincolanti d’impresa sono invitati a mettere in atto tutte le predisposizioni organizzative per individuare, con largo anticipo rispetto alla fine del periodo di transizione che precede la Brexit, una nuova autorità di controllo capofila nel SEE competente per le suddette norme; inoltre, sono invitati a contattarla per spiegare dettagliatamente per quale motivo la considerano la nuova autorità di controllo capofila in materia di norme vincolanti d’impresa. Quest’ultima si farà carico quindi della domanda e avvierà formalmente una procedura di approvazione, previo parere dell’EDPB. Per le norme vincolanti d’impresa approvate dall’autorità di controllo del Regno Unito ai sensi del GDPR sarà necessaria una nuova approvazione da parte della nuova autorità di controllo capofila del SEE prima della fine del periodo di transizione precedente la Brexit, previo parere dell’EDPB. L’EDPB ha inoltre adottato un allegato contenente una lista di controllo degli elementi da modificare nei documenti relativi alle norme vincolanti d’impresa nel contesto della Brexit.

La presente nota informativa non pregiudica l’analisi in cui è attualmente impegnato l’EDPB relativa alle conseguenze della sentenza della CGUE Data Protection Commissioner contro Facebook Ireland e Schrems per le norme vincolanti d’impresa come strumenti di trasferimento.

Comunicato stampa_EDPB_2020_13

20 July 2020

Bruxelles, 20 luglio - Durante la sua 34a sessione plenaria, l’EDBP ha adottato una dichiarazione in merito alla sentenza della CGUE nella causa Facebook Ireland contro Schrems. Il comitato ha attuato orientamenti sull’interazione tra la seconda direttiva sui servizi di pagamento (PSD2) e il regolamento generale sulla protezione dei dati (RGPD), nonché una lettera di risposta all’onorevole europarlamentare Ďuriš Nicholsonová sul tracciamento dei contatti, l’interoperabilità delle app e le valutazioni d’impatto sulla protezione dei dati.

L’EDPB ha adottato una dichiarazione in merito alla sentenza della Corte di giustizia dell’Unione europea nella causa C-311/18 - Data Protection Commissioner contro Facebook Ireland e Maximillian Schrems, che rende nulla la decisione 2016/1250 sull’adeguatezza della protezione offerta dallo scudo UE-USA per la privacy e considera valida la decisione 2010/87 della Commissione relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi.

Per quanto riguarda lo scudo per la privacy, l’EDPB sottolinea che l’UE e gli Stati Uniti dovrebbero creare un quadro esaustivo ed efficace che garantisca un livello di protezione dei dati personali negli Stati Uniti sostanzialmente equivalente a quello garantito nell’UE, in linea con la sentenza. L’EDPB intende continuare a svolgere un ruolo costruttivo nel garantire un trasferimento transatlantico dei dati personali che sia favorevole ai cittadini e alle organizzazioni del SEE ed è pronto a fornire assistenza e orientamenti alla Commissione europea per contribuire a sviluppare, insieme agli Stati Uniti, un nuovo quadro che rispetti pienamente il diritto dell’UE in materia di protezione dei dati.

Per quanto riguarda le clausole contrattuali tipo, l’EDBP prende atto della responsabilità primaria dell’esportatore e dell’importatore nel valutare l’opportunità di attenersi alle clausole contrattuali tipo, per assicurare che queste mantengano un livello di protezione sostanzialmente equivalente a quello garantito dal RGPD alla luce della Carta dell’UE. Nell’effettuare tale valutazione preventiva, l’esportatore (se necessario con l’assistenza dell’importatore) tiene conto del contenuto delle CCT, delle circostanze specifiche del trasferimento e del regime giuridico applicabile nel paese dell’importatore. La Corte evidenzia che l’esportatore può dover prendere in considerazione l’introduzione di misure supplementari oltre a quelle di cui alle CCT. L’EDPB esaminerà ulteriormente in cosa potrebbero consistere queste misure supplementari.

L’EDPB prende inoltre atto del dovere delle autorità di controllo competenti di sospendere o vietare il trasferimento di dati verso un paese terzo a norma delle CCT qualora, a parere della competente autorità di controllo e alla luce di tutte le circostanze di detto trasferimento, tali clausole non siano o non possano essere rispettate nel suddetto paese terzo e la protezione dei dati trasferiti non possa essere garantita con altri mezzi, in particolare laddove il titolare o il responsabile del trattamento non abbiano già sospeso o annullato il trasferimento.

L’EDPB rammenta di aver adottato orientamenti sull’articolo 49 del RGPD e che tali deroghe devono essere applicate caso per caso.

L’EDPB valuterà più attentamente la sentenza e fornirà ulteriori chiarimenti alle parti interessate e orientamenti sull’uso degli strumenti per il trasferimento di dati personali verso paesi terzi a norma di tale sentenza. L’EDPB e le sue autorità di controllo europee sono pronti, come dichiarato dalla CGUE, a garantire la coerenza in tutto il SEE.

Il documento integrale è disponibile qui: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_it

L’EDPB ha adottato orientamenti sulla seconda direttiva sui servizi di pagamento (PSD2). La PSD2 modernizza il quadro giuridico per il mercato dei servizi di pagamento. Significativamente, la PSD2 introduce un quadro giuridico per nuovi servizi di disposizione di ordine di pagamento (PISP) e servizi d’informazione sui conti (AISP). Gli utenti possono richiedere che questi nuovi fornitori di servizi di pagamento abbiano accesso ai loro conti di pagamento. A seguito di un seminario del febbraio 2019 con le parti interessate, l’EDPB ha sviluppato orientamenti in merito all’applicazione del RGPD a questi nuovi servizi di pagamento.

Gli orientamenti evidenziano che in questo contesto il trattamento di particolari categorie di dati personali è in generale vietato (conformemente all’articolo 9, paragrafo 1, del RGPD), salvo il caso in cui l’interessato abbia prestato il proprio consenso esplicito [articolo 9, paragrafo 2, lettera a) , del RGPD] o il trattamento sia necessario per motivi d’interesse pubblico rilevante [articolo 9, paragrafo 2, lettera g), del RGPD].

Gli orientamenti affrontano anche le condizioni in base alle quali i prestatori di servizi di pagamento di radicamento del conto (ASPSP) garantiscono accesso alle informazioni sui conti di pagamento ai PISP e agli AISP, in particolare l’accesso mirato ai conti di pagamento.

Gli orientamenti chiariscono che né l’articolo 66, paragrafo 3, lettera g), né l’articolo 67, paragrafo 2, lettera f), della PSD2 consentono l’ulteriore trattamento, a meno che l’interessato non abbia dato il consenso a norma dell’articolo 6, paragrafo 1, lettera a), del RDGP o che il trattamento sia previsto dal diritto dell’Unione o dello Stato membro. Gli orientamenti saranno sottoposti a consultazione pubblica.

Infine, il comitato ha adottato una lettera in risposta alle domande dell’onorevole europarlamentare Ďuriš Nicholsonová sulla protezione dei dati nel contesto della lotta contro la COVID-19. La lettera affronta domande riguardanti l’armonizzazione e l’interoperabilità delle applicazioni di tracciamento dei contatti, il requisito di una valutazione d’impatto sulla protezione dei dati per tale trattamento e la possibile durata dello stesso.

EDPB_Press Release_2020_12

17 July 2020


The European Data Protection Board has adopted the following statement:


The EDPB welcomes the CJEU’s judgment, which highlights the fundamental right to privacy in the context of the transfer of personal data to third countries. The CJEU’s decision is one of great importance. The European Data Protection Board (EDPB) has taken note of the fact that the Court of Justice invalidates Decision 2016/1250 on the adequacy of the protection provided by the EU-US Privacy Shield, and of the fact that it considers Commission Decision 2010/87 on Standard Contractual Clauses (SCCs) for the transfer of personal data to processors established in third countries valid.


The EDPB discussed the Court’s ruling during its 34th plenary session of 17 July 2020.


With regard to the Privacy Shield, the EDPB points out that the EU and the U.S. should achieve a complete and effective framework guaranteeing that the level of protection granted to personal data in the U.S. is essentially equivalent to that guaranteed within the EU, in line with the judgment.


The EDPB identified in the past some of the main flaws of the Privacy Shield on which the CJEU grounds its decision to declare it invalid.


The EDPB questioned in its reports on the annual joint reviews of Privacy Shield the compliance with the data protection principles of necessity and proportionality in the application of U.S. law. (1)


The EDPB intends to continue playing a constructive part in securing a transatlantic transfer of personal data that benefits EEA citizens and organisations and stands ready to provide the European Commission with assistance and guidance to help it build, together with the U.S., a new framework that fully complies with EU data protection law.


While the SCCs remain valid, the CJEU underlines the need to ensure that these maintain, in practice, a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter. The assessment of whether the countries to which data are sent offer adequate protection is primarily the responsibility of the exporter and the importer, when considering whether to enter into SCCs. When performing such prior assessment, the exporter (if necessary, with the assistance of the importer) shall take into consideration the content of the SCCs, the specific circumstances of the transfer, as well as the legal regime applicable in the importer’s country. The examination of the latter shall be done in light of the non-exhaustive factors set out under Art 45(2) GDPR.


If the result of this assessment is that the country of the importer does not provide an essentially equivalent level of protection, the exporter may have to consider putting in place additional measures to those included in the SCCs. The EDPB is looking further into what these additional measures could consist of.


The CJEU’s judgment also recalls the importance for the exporter and importer to comply with their obligations included in the SCCs, in particular the information obligations in relation to change of legislation in the importer’s country. When those contractual obligations are not or cannot be complied with, the exporter is bound by the SCCs to suspend the transfer or terminate the SCCs or to notify its competent supervisory authority if it intends to continue transferring data.


The EDPB takes note of the duties for the competent supervisory authorities (SAs) to suspend or prohibit a transfer of data to a third country pursuant to SCCs, if, in the view of the competent SA and in the light of all the circumstances of that transfer, those clauses are not or cannot be complied with in that third country, and the protection of the data transferred cannot be ensured by other means, in particular where the controller or a processor has not already itself suspended or put an end to the transfer.


The EDPB recalls that it issued guidelines on Art 49 GDPR derogations (2); and that such derogations must be applied on a case-by-case basis.


The EDPB will assess the judgment in more detail and provide further clarification for stakeholders and guidance on the use of instruments for the transfer of personal data to third countries pursuant to the judgment.


The EDPB and its European SAs stand ready, as stated by the CJEU, to ensure consistency across the EEA.


For the European Data Protection Board


The Chair


(Andrea Jelinek)

 

(1) See EDPB, EU-U.S. Privacy Shield  - Second Annual Joint Review report here, and  EDPB, EU -U.S. Privacy Shield   - Third Annual Joint Review report here.

(2) DPB Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679, adopted on 25 May 2018, p3.

 

EDPB_Press Release_statement_2020_05

25 June 2020

The EDPB has published a new register containing decisions taken by national supervisory authorities following the One-Stop-Shop cooperation procedure (Art. 60 GDPR) on its website.


Under the GDPR, Supervisory Authorities have a duty to cooperate on cases with a cross-border component to ensure a consistent application of the regulation - the so-called one-stop-shop (OSS) mechanism. Under the OSS, the Lead Supervisory Authority (LSA) is in charge of preparing the draft decisions and works together with the concerned SAs to reach consensus. Up until early June, LSAs have adopted 110 final OSS decisions. The register includes access to the decisions as well as  summaries of the decisions in English prepared by the EDPB Secretariat. The register will be valuable to data protection practitioners who will gain access to information showcasing how SAs work together to enforce the GDPR in practice. The information in the register has been validated by the LSAs in question and in accordance with the conditions provided by its national legislation.

The register is accessible here

EDPB_Press Release_statement_2020_04

17 June 2020

During its 32nd plenary session, the EDPB adopted a statement on the interoperability of contact tracing apps, as well as a statement on the opening of borders and data protection rights. The Board also adopted two letters to MEP Körner - on encryption and on Article 25 GDPR - and a letter to CEAOB on PCAOB arrangements.

The EDPB adopted a statement on the interoperability of contact tracing applications, building on the EDPB Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak. The statement offers a more in-depth analysis of key aspects, including transparency, legal basis, controllership, data subject rights, data retention and minimisation, information security and data accuracy in the context of creating an interoperable network of applications, that need to be considered on top of those highlighted in the EDPB Guidelines 04/2020.

The EDPB emphasises that the sharing of data about individuals that have been diagnosed or tested positively with such interoperable applications should only be triggered by a voluntary action of the user. Giving data subjects information and control will increase their trust in the solutions and their potential uptake. The goal of interoperability should not be used as an argument to extend the collection of personal data beyond what is necessary.

Moreover, contact tracing apps need to be part of a comprehensive public health strategy to fight the pandemic, such as testing and subsequent manual contact tracing for the purpose of improving effectiveness of the performed measures.

Ensuring interoperability is not only technically challenging and sometimes impossible without disproportionate trade-offs, but also leads to a potential increased data protection risk. Therefore, controllers need to ensure measures are effective and proportionate and must assess whether a less intrusive alternative can achieve the same purpose.

The EDPB adopted a statement on the processing of personal data in the context of reopening the Schengen borders following the COVID-19 outbreak. The measures allowing a safe reopening of the borders currently envisaged or implemented by Member States include testing for COVID-19, requiring certificates issued by health professionals and the use of a voluntary contact tracing app. Most measures involve processing of personal data.

The EDPB recalls that data protection legislation remains applicable and allows for an efficient response to the pandemic, while at the same time protecting fundamental rights and freedoms. The EDPB stresses that the processing of personal data must be necessary and proportionate, and the level of protection should be consistent throughout the EEA. In the statement, the EDPB urges the Member States to take a common European approach when deciding which processing of personal data is necessary in this context.

The statement also addresses the GDPR principles that Member States need to pay special attention to when processing personal data in the context of reopening the border. These include lawfulness, fairness and transparency, purpose limitation, data minimisation, storage limitation, security of data and data protection by design and by default. Moreover, the decision to allow the entrance into a country should not only be based on the automated individual decision making technologies. In any case, such decisions should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Automated individual decision measures should not apply to children.

Finally, the EDPB highlights the importance of a prior consultation with competent national supervisory authorities when Member States intend to process personal data in this context.

The EDPB adopted a response to a letter from MEP Moritz Körner on the relevance of encryption bans in third countries for assessing the level of data protection when personal data are transferred to countries where these bans exist. According to the EDPB, any ban on encryption or provisions weakening encryption would seriously undermine compliance with GDPR security obligations applicable to controllers and processors, be that in a third country or in the EEA. Security measures are one of the elements the European Commission must take into account when assessing the adequacy of the level of protection in a third country.

A second letter to MEP Körner addresses the topic of laptop camera covers. MEP Körner highlighted that this technology could help comply with the GDPR and suggested new laptops should be equipped with it. In its reply, the Board clarifies that while laptop manufacturers should be encouraged to take into account the right to data protection when developing and designing such products, they are not responsible for the processing carried out with those products and the GDPR does not establish legal obligations for manufacturers, unless they also act as controllers or processors. Controllers must evaluate the risks of each processing and choose the appropriate safeguards to comply with GDPR, including the privacy by design and by default enshrined in Article 25 GDPR.

Finally, the EDPB adopted a letter to the Committee of European Auditor Oversight Bodies (CEAOB). The EDPB received a proposal from the CEAOB, which gathers the national auditor oversight bodies at EU level, to cooperate and receive feedback on negotiations of draft administrative arrangements for the transfer of data to the US Public Company Accounting Oversight Board (PCAOB). The EDPB welcomes this proposal and indicates that it is available to hold an exchange with the CEAOB to clarify any potential questions on data protection requirements related to such arrangements in light of the EDPB Guidelines 2/2020 on Art. 46 (2) (a) and 46 (3) (b) GDPR for transfers of personal data between EEA and non-EEA public authorities. The exchange could also involve the PCAOB if the CEAOB and its members deem it beneficial for their work on these arrangements.

The agenda of the 32nd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_11

10 June 2020

Bruxelles, 10 giugno - Nel corso della sua 31a sessione plenaria il comitato europeo per la protezione dei dati (EDPB) ha deciso di istituire una task force per coordinare potenziali azioni e acquisire una panoramica più completa delle operazioni di trattamento e delle pratiche di TikTok in tutta l’UE. Inoltre, ha adottato una lettera relativa all’utilizzo di Clearview AI da parte delle autorità incaricate della protezione della legge, una risposta al gruppo consultivo ENISA e una risposta a una lettera aperta di NOYB.

L’EDPB ha annunciato la decisione di istituire una task force per coordinare potenziali azioni e acquisire una panoramica più completa delle operazioni di trattamento e delle pratiche di TikTok in tutta l’UE.

In risposta alla richiesta del deputato al Parlamento europeo Körner in merito a TikTok, l’EDPB rileva di avere già emanato orientamenti e raccomandazioni che dovrebbero essere presi in considerazione da tutti i titolari del trattamento le cui operazioni di trattamento sono soggette al regolamento generale sulla protezione dei dati (RGPD), in particolare per quanto riguarda il trasferimento di dati personali verso paesi terzi, le condizioni sostanziali e procedurali per l’accesso ai dati personali da parte delle autorità pubbliche o l’applicazione dell’ambito territoriale del RGPD, segnatamente in relazione al trattamento dei dati relativi a minori. L’EDPB ricorda che il RGPD si applica al trattamento dei dati personali da parte di un titolare del trattamento, anche se non è stabilito nell’Unione, quando le attività di trattamento sono connesse all’offerta di beni o servizi a interessati che si trovano nell’Unione.

Nella risposta ai deputati al Parlamento europeo in merito a Clearview AI, l’EDPB ha condiviso le proprie preoccupazioni riguardo a determinati sviluppi delle tecnologie di riconoscimento facciale. L’EDPB rammenta che, ai sensi della direttiva (UE) 2016/680 sulla protezione dei dati nelle attività di polizia e giudiziarie, le autorità incaricate dell’applicazione della legge possono sottoporre a trattamento dati biometrici al fine di identificare in modo univoco una persona fisica solo nel rispetto delle rigorose condizioni di cui agli articoli 8 e 10 della direttiva.

L’EDPB ha dubbi riguardo alla possibilità che il diritto dell’Unione o degli Stati membri fornisca una base giuridica per l’utilizzo di un servizio come quello offerto da Clearview AI. Pertanto, allo stato attuale e fatte salve indagini future o in corso, la legittimità di tale uso da parte delle autorità incaricate dell’applicazione della legge dell’UE non può essere stabilita.

Fatta salva un’ulteriore analisi sulla base della fornitura di elementi aggiuntivi, l’EDPB è quindi del parere che il ricorso a un servizio come Clearview AI da parte delle autorità incaricate dell’applicazione della legge nell’Unione europea, allo stato attuale, probabilmente non sarebbe coerente con il regime UE di protezione dei dati.

Infine, l’EDPB rinvia ai suoi orientamenti sul trattamento dei dati personali attraverso dispositivi video e annuncia lavori futuri sull’utilizzo della tecnologia di riconoscimento facciale da parte delle autorità incaricate dell’applicazione della legge.

In risposta a una lettera dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA), con la quale si chiede all’EDPB di nominare un rappresentante presso il gruppo consultivo ENISA, il comitato ha designato a tali funzioni Gwendal Le Grand, vicesegretario generale della Commissione nazionale per l’informatica e le libertà (CNIL) francese. Il gruppo consultivo assiste il direttore esecutivo dell’ENISA nell’elaborare un programma di lavoro annuale e nell’assicurare la comunicazione con le parti interessate pertinenti.

L’EDPB ha adottato una risposta a una lettera aperta di NOYB in merito alla cooperazione tra le autorità di vigilanza e alle procedure di coerenza. Nella sua lettera il comitato rileva di adoperarsi costantemente ai fini del miglioramento della cooperazione tra le autorità di vigilanza e delle procedure di coerenza. Il comitato è consapevole dell’esistenza di aspetti da migliorare, quali le differenze tra le leggi e le prassi nazionali in materia di procedure amministrative, nonché il tempo e le risorse necessari per risolvere i casi transfrontalieri, e ribadisce il proprio impegno a trovare soluzioni ove queste rientrino nell’ambito delle sue competenze.

Nota per i redattori
Si prega di notare che tutti i documenti adottati durante la plenaria dell’EDBP sono soggetti ai controlli giuridici, linguistici e di formattazione necessari e saranno resi disponibili sul sito web dell’EDBP dopo il completamento di tali controlli.

EDPB_Press Release_2020_10

03 June 2020

Bruxelles, 3 giugno - Durante la sua 30a sessione plenaria, l’EDPB ha adottato una dichiarazione sui diritti degli interessati in relazione allo stato di emergenza negli Stati membri. Il comitato ha inoltre adottato una missiva in risposta a una lettera pervenuta dall’Unione delle libertà civili per l’Europa, da Access Now e dall’Unione ungherese per le libertà civili (HCLU) in merito al decreto del governo ungherese n 179/2020 del 4 maggio.

L’EDPB rammenta che, anche in questi tempi eccezionali, la protezione dei dati personali deve essere mantenuta in tutte le misure di emergenza, contribuendo quindi al rispetto dei valori generali di democrazia, della preminenza della legge e dei diritti fondamentali su cui si fonda l’Unione.

Sia nella dichiarazione sia nella lettera l’EDPB reitera che il RGPD rimane applicabile e consente una risposta efficace alla pandemia, tutelando e proteggendo nel contempo i diritti e le libertà fondamentali. Il diritto della protezione dei dati consente già le operazioni di trattamento dei dati necessarie per contribuire alla lotta contro la pandemia di Covid-19.

La dichiarazione ricorda i principi fondamentali relativi alle restrizioni sui diritti degli interessati in relazione allo stato di emergenza negli Stati membri:

  • eventuali restrizioni che sono generali, estensive o intrusive, nella misura in cui annullano un diritto fondamentale al suo contenuto di base, non possono essere giustificate.
  • In presenza di determinate condizioni, l’articolo 23 del RGPD permette ai legislatori nazionali di limitare, attraverso una misura legislativa, la portata degli obblighi dei titolari e dei responsabili del trattamento, nonché i diritti degli interessati, quando una tale restrizione rispetta l’essenza dei diritti e delle libertà fondamentali ed è una misura necessaria e proporzionata in una società democratica per salvaguardare importanti obiettivi d’interesse pubblico generale dell’Unione o di uno Stato membro, come, in particolare, la salute pubblica.
  • I diritti degli interessati sono al centro del diritto fondamentale di protezione dei dati e l’articolo 23 del RGPD deve essere letto e interpretato tenendo in considerazione che la loro applicazione deve essere la regola generale. Essendo le restrizioni eccezioni alla regola generale, devono essere applicate unicamente in circostanze limitate.
  • Le restrizioni devono essere previste in virtù di un riferimento normativo e la legge che lo stabilisce dovrebbe essere sufficientemente chiara per permettere ai cittadini di capire le condizioni in cui i titolari del trattamento possono ricorrere a tali restrizioni. In aggiunta, le restrizioni devono essere prevedibili per le persone che vi sono sottoposte. Le restrizioni imposte per una durata non chiaramente limitata nel tempo, che si applicano retroattivamente o che sono soggette a condizioni non definite, non soddisfano il criterio della prevedibilità.
  • La mera esistenza di una pandemia o di un’altra situazione di emergenza da sola non è una ragione sufficiente per prevedere alcun tipo di restrizione sui diritti degli interessati; piuttosto, eventuali restrizioni devono chiaramente contribuire alla salvaguardia di un importante obiettivo d’interesse pubblico generale dell’UE o di uno Stato membro.
  • Lo stato di emergenza, adottato in un contesto pandemico, è una condizione giuridica, che può legittimare le restrizioni dei diritti degli interessati, a condizione che queste restrizioni si applichino unicamente nella misura in cui siano strettamente necessarie e proporzionate al fine di salvaguardare l’obiettivo della salute pubblica. Tali restrizioni devono pertanto essere rigorosamente limitate nella portata e nella durata, dal momento che i diritti degli interessati possono essere limitati, ma non negati. Inoltre, devono essere integralmente applicate le garanzie previste ai sensi dell’articolo 23, paragrafo 2, RGPD.
  • Le restrizioni adottate nel contesto di uno stato di emergenza che sospendono o rinviano l’applicazione dei diritti dell’interessato e gli obblighi che incombono ai responsabili e agli interessati del trattamento, senza chiare limitazioni temporali, equivarrebbero di fatto alla sospensione generalizzata di tali diritti e non sarebbero compatibili con l’essenza dei diritti e delle libertà fondamentali.

L’EDPB ha inoltre annunciato che emetterà delle linee guida sull’attuazione dell’articolo 23 del RGPD nei mesi a venire.

Nota per i redattori

Si prega di notare che tutti i documenti adottati durante la plenaria dell’EDBP sono soggetti ai controlli giuridici, linguistici e di formattazione necessari e saranno resi disponibili sul sito web dell’EDBP dopo il completamento di tali controlli.

20 May 2020

Bruxelles, 20 maggio - Durante la sua 28a sessione plenaria, l’EDPB ha adottato un parere ai sensi dell’articolo 64 del RGPD, in merito alle clausole contrattuali tipo presentate dall’autorità di controllo slovena e ha deciso di pubblicare un registro contenente le decisioni in materia di sportello unico.

L’EBDP ha adottato il proprio parere sul progetto di clausole contrattuali tipo per i contratti di titolare del trattamento/responsabile del trattamento presentati al comitato dall’autorità di controllo slovena. Il parere mira a garantire l’applicazione coerente dell’articolo 28 del RGPD, che impone ai titolari e ai responsabili del trattamento di stipulare un contratto o un altro atto giuridico contenente i rispettivi obblighi delle parti. Ai sensi dell’articolo 28, paragrafo 6, RGPD, questi contratti, o altri atti giuridici, possono essere basati, in tutto o in parte, su clausole contrattuali tipo approvate da un’autorità di controllo. Nel parere, il comitato formula diverse raccomandazioni che devono essere prese in considerazione affinché questi progetti di clausole contrattuali tipo possano essere considerati alla stregua di clausole vere e proprie. Qualora tutte le raccomandazioni fossero attuate, l’autorità di controllo slovena sarà in grado di adottare questo progetto di accordo alla stregua di clausole contrattuali tipo ai sensi dell’articolo 28, paragrafo 8, RGPD.

L’EDPB pubblicherà sul proprio sito web un registro contenente le decisioni prese dalle autorità nazionali di controllo a seguito della procedura di cooperazione dello sportello unico (articolo 60 del RGPD).

Ai sensi del RGPD, le autorità di controllo hanno il dovere di cooperare su casi con un una componente transfrontaliera per assicurare un’applicazione coerente del regolamento, il cosiddetto «meccanismo dello sportello unico». Nell’ambito dello sportello unico, l’autorità di controllo capofila è incaricata di preparare i progetti di decisione e di collaborare con le autorità di controllo interessate per raggiungere il consenso. Fino alla fine di aprile 2020, le autorità di controllo capofila hanno adottato 103 decisioni finali in materia di sportello unico. L’EDPB intende pubblicare in inglese sintesi preparate dal proprio segretariato. L’informazione sarà resa pubblica dopo la convalida da parte dell’autorità di controllo capofila in questione secondo le condizioni previste dalla legislazione nazionale.

Nota per i redattori

Si prega di notare che tutti i documenti adottati durante la plenaria dell’EDBP sono soggetti ai controlli giuridici, linguistici e di formattazione necessari e saranno resi disponibili sul sito web dell’EDBP dopo il completamento di tali controlli.

EDPB_Press Release_2020_08

08 May 2020

During its 26th plenary session, the EDPB adopted a letter in response to requests from MEPs Metsola and Halicki regarding the Polish presidential elections taking place via postal vote. Additionally, an exchange of information took place on the recent Hungarian government decrees in relation to the coronavirus during the state of emergency
 
In its response to the MEPs Metsola and Halicki, the EDPB indicates that it is aware that data of Polish citizens was sent from the national PESEL (personal identification) database to the Polish Post by one of the Polish ministries and acknowledges that this issue requires special attention.

The Board underlines that, according to the GDPR, personal data, such as names and addresses, and national identification numbers (such as the Polish PESEL ID), must be processed lawfully, fairly and in a transparent manner, for specified purposes only. Public authorities may disclose information on individuals included in electoral lists, but only when this is specifically authorised by Member State law. The EDPB underlined that the disclosure of personal data – from one entity to another – always requires a legal basis in accordance with EU data protection laws. As previously indicated in the EDPB statement on the use of personal data in political campaigns (2/2019), political parties and candidates - but also public authorities, particularly those responsible for public registers - must stand ready to demonstrate how they have complied with data protection principles. The EDPB also underlined that, where elections are conducted by the collection of postal votes, it is the responsibility of the state to ensure that specific safeguards are in place to maintain the secrecy and integrity of the personal data concerning political opinions.

EDPB Chair, Andrea Jelinek, added: “Elections form the cornerstone of every democratic society. That is why the EDPB has always dedicated special attention to the processing of personal data for election purposes. We encourage data controllers, especially public authorities, to lead by example and process personal data in a manner which is transparent and leaves no doubt regarding the legal basis for the processing operations, including disclosure of data.”

However, the EDPB stresses that enforcement of the GDPR lies with the national supervisory authorities. The EDPB is not a data protection supervisory authority in its own right and, as such, does not have the same competences, tasks and powers as the national supervisory authorities. In the first instance, the assessment of alleged GDPR infringements falls within the competence of the responsible and independent national supervisory authority. Nevertheless, the EDPB will continue to pay special attention to the developments of personal data processing in connection to democratic elections and remains ready to support all members of the Board, including the Polish Supervisory Authority, in such matters.

During the plenary, the Hungarian Supervisory Authority provided the Board with information on the legislative measures the Hungarian government has adopted in relation to the coronavirus during the state of emergency. The Board considers that further explanation is necessary and has thus requested that the Hungarian Supervisory Authority provides further information on the scope and the duration, as well as the Hungarian Supervisory Authority’s opinion on the necessity and proportionality of these measures. The Board will discuss this further during its plenary session next Tuesday.

The agenda of the 26th plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_07

24 April 2020

During its 24th plenary session, the EDPB adopted three letters, reinforcing several elements from its earlier guidance on data protection in the context of fighting the COVID-19 outbreak.

In reply to a letter from the United States Mission to the European Union, the EDPB looks into transfers of health data for research purposes, enabling international cooperation for the development of a vaccine. The US Mission enquired into the possibility of relying on a derogation of Art. 49 GDPR to enable international flows.

The EDPB tackled this topic in detail in its recently adopted guidelines (03/2020) on the processing of health data for scientific research. In its letter, the EDPB reiterates that the GDPR allows for collaboration between EEA and non-EEA scientists in the search for vaccines and treatments against COVID-19, while simultaneously protecting fundamental data protection rights in the EEA.

When data are transferred outside of the EEA, solutions that guarantee the continuous protection of data subjects’ fundamental rights, such as adequacy decisions or appropriate safeguards (included in Article 46 GDPR) should be favoured, according to the EDPB.  

However, the EDPB considers that the fight against COVID-19 has been recognised by the EU and Member States as an important public interest, as it has caused an exceptional sanitary crisis of an unprecedented nature and scale. This may require urgent action in the field of scientific research, necessitating transfers of personal data to third countries or international organisations.
 
In the absence of an adequacy decision or appropriate safeguards, public authorities and private entities may also rely upon derogations included in Article 49 GDPR

Andrea Jelinek, the Chair of the EDPB, said: “The global scientific community is racing against the clock to develop a COVID-19 vaccine or treatment. The EDPB confirms that the GDPR offers tools giving the best guarantees for international transfers of health data and is flexible enough to offer faster temporary solutions in the face of the urgent medical situation.”

The EDPB also adopted a response to a request from MEPs Lucia Ďuriš Nicholsonová and Eugen Jurzyca.

The EDPB replies that data protection laws already take into account data processing operations necessary to contribute to fighting an epidemic, therefore - according to the EDPB - there is no reason to lift GDPR provisions, but to observe them. In addition, the EDPB refers to the guidelines on the issues of geolocation and other tracing tools, as well as the processing of health data for research purposes in the context of the COVID-19 outbreak.

Andrea Jelinek, Chair of the EDPB, added: “The GDPR is designed to be flexible. As a result, it can enable an efficient response to support the fight against the pandemic, while at the same time protecting fundamental human rights and freedoms. When the processing of personal data is necessary in the context of COVID-19, data protection is indispensable to build trust, to create the conditions for social acceptability of any possible solution and, therefore, to guarantee the effectiveness of these measures”.

The EDPB received two letters from Sophie In 't Veld MEP, raising a series of questions regarding the latest technologies that are being developed in order to fight the spread of COVID-19.

In its reply, the EDPB refers to its recently adopted guidelines (04/2020) on the use of location data and contact tracing apps, which highlight – among other elements - that such schemes should have a voluntary nature, use the least amount of data possible, and should not trace individual movements, but rather use proximity information of users.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_06

21 April 2020

During its 23rd plenary session, the EDPB adopted guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak and guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak.

The  guidelines on the processing of health data for research purposes in the context of the COVID-19 outbreak aim to shed light on the most urgent legal questions concerning the use of health data, such as the legal basis of processing, further processing of health data for the purpose of scientific research, the implementation of adequate safeguards and the exercise of data subject rights.

The guidelines state that the GDPR contains several provisions for the processing of health data for the purpose of scientific research, which also apply in the context of the COVID-19 pandemic, in particular relating to consent and to the respective national legislations. The GDPR foresees the possibility to process certain special categories of personal data, such as health data, where it is necessary for scientific research purposes.

In addition, the guidelines address legal questions concerning international data transfers involving health data for research purposes related to the fight against COVID-19, in particular in the absence of an adequacy decision or other appropriate safeguards.  

Andrea Jelinek, Chair of the EDPB, said: “Currently, great research efforts are being made in the fight against COVID-19. Researchers hope to produce results as quickly as possible. The GDPR does not stand in the way of scientific research, but enables the lawful processing of health data to support the purpose of finding a vaccine or treatment for COVID-19”.

The guidelines on geolocation and other tracing tools in the context of the COVID-19 outbreak aim to clarify the conditions and principles for the proportionate use of location data and contact tracing tools, for two specific purposes:
1.    using location data to support the response to the pandemic by modelling the spread of the virus in order to assess the overall effectiveness of confinement measures;
2.    using contact tracing, which aims to notify individuals who may have been in close proximity to someone who is eventually confirmed as a carrier of the virus, in order to break the contamination chains as early as possible.

The guidelines emphasise that both the GDPR and the ePrivacy Directive contain specific provisions allowing for the use of anonymous or personal data to support public authorities and other actors at both national and EU level in their efforts to monitor and contain the spread of COVID-19. The general principles of effectiveness, necessity, and proportionality must guide any measures adopted by Member States or EU institutions that involve processing of personal data to fight COVID-19.

The EDPB stands by and underlines the position expressed in its letter to the European Commission (14 April) that the use of contact tracing apps should be voluntary and should not rely on tracing individual movements, but rather on proximity information regarding users.

Dr. Jelinek added: “Apps can never replace nurses and doctors. While data and technology can be important tools, we need to keep in mind that they have intrinsic limitations. Apps can only complement the effectiveness of public health measures and the dedication of healthcare workers that is necessary to fight COVID-19. At any rate, people should not have to choose between an efficient response to the crisis and the protection of fundamental rights.”

In addition, the EDPB adopted a guide for contact tracing apps as an annex to the guidelines. The purpose of this guide, which is non-exhaustive, is to provide general guidance to designers and implementers of contact tracing apps, underlining that any assessment must be carried out on a case-by-case basis.

Both sets of guidelines will exceptionally not be submitted for public consultation due to the urgency of the current situation and the necessity to have the guidelines readily available.

The agenda of the 23rd plenary is available here

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

EDPB_Press Release_2020_05

17 April 2020

On April 17th, the EDPB held its 22nd Plenary Session. For further information, please consult the agenda:

Agenda of Twenty-second Plenary

14 April 2020

Following a request for consultation from the European Commission, the European Data Protection Board adopted a letter concerning the European Commission's draft Guidance on apps supporting the fight against the COVID-19 pandemic. This Guidance on data protection and privacy implications complements the European Commission’s Recommendation on apps for contact tracing, published on 8 April and setting out the process towards a common EU toolbox for the use of technology and data to combat and exit from the COVID-19 crisis.
 
Andrea Jelinek, Chair of the EDPB, said: “The EDPB welcomes the Commission’s initiative to develop a pan-European and coordinated approach as this will help to ensure the same level of data protection for every European citizen, regardless of where he or she lives.”
 
In its letter, the EDPB specifically addresses the use of apps for the contact tracing and warning functionality, because this is where increased attention must be paid in order to minimise interferences with private life while still allowing data processing with the goal of preserving public health.
 
The EDPB considers that the development of the apps should be made in an accountable way, documenting with a data protection impact assessment all the implemented privacy by design and privacy by default mechanisms. In addition, the source code should be made publicly available for the widest possible scrutiny by the scientific community.
 
The EDPB strongly supports the Commission’s proposal for a voluntary adoption of such apps, a choice that should be made by individuals as a token of collective responsibility.
 
Finally, the EDPB underlined the need for the Board and its Members, in charge of advising and ensuring the correct application of the GDPR and the E-Privacy Directive, to be fully involved in the whole process of elaboration and implementation of these measures. The EDPB recalls that it intends to publish Guidelines in the upcoming days on geolocation and tracing tools in the context of the COVID-19 out-break.

The EDPB’s letter is available here: https://edpb.europa.eu/letters_en
 
The agenda of the 21th plenary session is available here: https://edpb.europa.eu/our-work-tools/agenda/2020_en#agenda_490

EDPB_Press Release_2020_04

07 April 2020

During its 20th plenary session on April 7th, the European Data Protection Board assigned concrete mandates to its expert subgroups to develop guidance on several aspects of data processing in the fight against COVID-19. This follows the decision made on April 3rd during the EDPB's 19th plenary session.

1.    geolocation and other tracing tools in the context of the COVID-19 outbreak – a mandate was given to the technology expert subgroup for leading this work;
2.    processing of health data for research purposes in the context of the COVID-19 outbreak – a mandate was given to the compliance, e-government and health expert subgroup for leading this work.

Considering the high priority of these 2 topics, the EDPB decided to postpone the guidance work on teleworking tools and practices in the context of the COVID-19 outbreak, for the time being.

Andrea Jelinek, Chair of the EDPB, said: “The EDPB will move swiftly to issue guidance on these topics within the shortest possible notice to help make sure that technology is used in a responsible way to support and hopefully win the battle against the corona pandemic. I strongly believe data protection and public health go hand in hand."

The agenda of the 20th plenary session is available here

EDPB_Press Release_2020_03

03 April 2020

The European Data Protection Board is speeding up its guidance work in response to the COVID-19 crisis. Its monthly plenary meetings are being replaced by weekly remote meetings with the Members of the Board.
 
Andrea Jelinek, Chair of the EDPB, said: "The Board will prioritise providing guidance on the following issues: use of location data and anonymisation of data; processing of health data for scientific and research purposes and the processing of data by technologies used to enable remote working. The EDPB will adopt a horizontal approach and plans to issue general guidance with regard to the appropriate legal bases and applicable legal principles."


The agenda of today's remote meeting is available here

EDPB_Press Release_statement_2020_03

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

 

EDPB_Press Release_statement_2020_02

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

EDPB_Press Release_statement_2020_01

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

Bruxelles, 20 febbraio — Il 18 il 19 febbraio, le autorità di vigilanza del SEE e il Garante europeo della protezione dei dati, riuniti nel comitato europeo per la protezione dei dati, hanno tenuto la diciottesima sessione plenaria. Durante la plenaria è stata discussa un'ampia gamma di argomenti.

Il Comitato europeo per la protezione dei dati e le autorità di controllo del SEE hanno contribuito alla valutazione e al riesame del regolamento generale sulla protezione dei dati, come previsto dall'articolo 97 del regolamento. Il Comitato ritiene che il bilancio dell'applicazione del regolamento generale sulla protezione dei dati nei primi 20 mesi sia positivo. Sebbene la necessità di risorse sufficienti per tutte le autorità di controllo sia ancora fonte di preoccupazione e permangano alcune sfide derivanti, ad esempio, dal mosaico di procedure nazionali, il Comitato è convinto che la cooperazione tra autorità si tradurrà in una cultura comune della protezione dei dati e in una prassi coerente. Il Comitato sta esaminando le possibili soluzioni per superare queste sfide e migliorare le procedure di cooperazione esistenti. Invita inoltre la Commissione a verificare se le procedure nazionali incidano sull'efficacia delle procedure di cooperazione e ritiene che, in ultima analisi, anche i legislatori possano contribuire a garantire un'ulteriore armonizzazione. Nella sua valutazione, il Comitato affronta anche questioni quali gli strumenti per i trasferimenti internazionali di dati, l'impatto sulle PMI, le risorse delle autorità di controllo e lo sviluppo di nuove tecnologie. Il Comitato giunge alla conclusione che sia prematuro  rivedere il regolamento  in questa fase storica.

Il Comitato ha adottato linee-guida per fornire ulteriori chiarimenti in merito all'applicazione dell'articolo 46.2, lettera a), e dell'articolo 46.3, lettera b), del regolamento generale sulla protezione dei dati. Questi articoli riguardano i trasferimenti di dati personali da autorità o organismi pubblici del SEE verso organismi pubblici di paesi terzi od organizzazioni internazionali, qualora tali trasferimenti non siano coperti da una decisione di adeguatezza. Le linee-guida raccomandano quali misure di salvaguardia attuare in strumenti giuridicamente vincolanti (articolo 46.2, lettera a)) o in accordi amministrativi (articolo 46.3, lettera b)) al fine di garantire che sia rispettato e non inficiato il livello di protezione delle persone fisiche ai sensi del regolamento generale sulla protezione dei dati. Le linee-guida saranno sottoposte a consultazione pubblica.

Dichiarazione sulle implicazioni delle fusioni societarie per la tutela della vita privata
In seguito all'annuncio dell'intenzione di Google LLC di acquistare Fitbit, il Comitato europeo per la protezione dei dati ha adottato una dichiarazione in cui sottolinea che l'eventuale ulteriore combinazione e accumulo di dati personali sensibili riguardanti le persone in Europa da parte di una grande impresa tecnologica potrebbe comportare un elevato livello di rischio per i diritti fondamentali alla vita privata e alla protezione dei dati. Il Comitato ricorda alle parti della proposta di fusione, in conformità del principio di responsabilizzazione, gli obblighi che loro incombono ai sensi del regolamento generale sulla protezione dei dati e rammenta loro di effettuare una valutazione completa e pienamente trasparente dei requisiti in materia di protezione dei dati e delle implicazioni della fusione in materia di tutela della vita privata. Il Comitato esorta le parti ad attenuare i rischi che la fusione può comportare per il diritto alla tutela della vita privata e alla protezione dei dati prima di notificare la concentrazione alla Commissione europea. Il Comitato esaminerà le implicazioni che tale fusione potrebbe avere per la protezione dei dati personali nello Spazio economico europeo ed è pronto a fornire alla Commissione, su richiesta, il suo parere sulla proposta di fusione.

Nota per la stampa:
Si prega di notare che tutti i documenti adottati durante la plenaria del Comitato europeo per la protezione dei dati sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del Comitato una volta che tali controlli saranno stati completati.

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

Bruxelles, 30 gennaio — Il 28 e il 29 gennaio, le autorità garanti della protezione dei dati del SEE e il Garante europeo della protezione dei dati, riuniti nel Comitato europeo per la protezione dei dati, hanno tenuto la diciassettesima sessione plenaria. Durante la sessione plenaria sono stati discussi molti argomenti.

Il Comitato europeo per la protezione dei dati ha adottato i pareri sui requisiti di accreditamento degli organismi di monitoraggio dei codici di condotta presentati dalle autorità di controllo belga, spagnola e francese. Tali pareri mirano a garantire la coerenza e la corretta applicazione dei requisiti tra le autorità di controllo del SEE.

Il Comitato ha adottato il progetto di linee guida sui veicoli connessi. Man mano che i veicoli sono sempre più connessi, crescono rapidamente i dati relativi ai loro conducenti e ai passeggeri. Le linee-guida del Comitato si concentrano sul trattamento dei dati personali in relazione all'uso dei veicoli connessi da parte degli interessati in contesti diversi dall’attività professionale. Più precisamente, le linee-guida riguardano i dati personali trattati dal veicolo e quelli comunicati dal veicolo in quanto dispositivo connesso. Le linee-guida saranno sottoposte a consultazione pubblica.

Il Comitato ha adottato la versione definitiva delle Linee-guida sul trattamento di dati personali attraverso dispositivi video, successivamente alla consultazione pubblica. Le linee guida mirano a chiarire l’applicazione del RGPD al trattamento di dati personali quando si utilizzano dispositivi video, e a garantire un approccio coerente a tale riguardo. Le linee guida prendono in esame sia i dispositivi video tradizionali che i dispositivi video intelligenti. Fra i temi affrontati sono da segnalare, in particolare, le condizioni di liceità del trattamento, compreso il trattamento di categorie speciali di dati, i casi in cui il trattamento è svolto solo per finalità personali o familiari, e la divulgazione di filmati a terzi.  A seguito della consultazione pubblica sono state apportate varie modifiche.

Il Comitato ha adottato i pareri sui progetti di requisiti di accreditamento per gli organismi di certificazione presentati dalle autorità di controllo del Regno Unito e del Lussemburgo. Si tratta dei primi pareri sui requisiti di accreditamento per gli organismi di certificazione adottati dal Comitato. Essi mirano a stabilire un approccio coerente e armonizzato per quanto riguarda i requisiti che saranno applicati dalle autorità di controllo e dagli organismi nazionali di accreditamento al momento dell'accreditamento degli organismi di certificazione.

Il Comitato ha adottato il parere sul progetto di decisione relativo alle norme vincolanti d'impresa per titolari (BCR) del gruppo Fujikura Automotive Europe Group, presentato al Comitato dall'Autorità di controllo spagnola.

Lettera su trattamenti algoritmici non corretti
Il Comitato ha adottato una lettera in risposta alla richiesta dell'on. Sophie in't Veld relativa all'uso di algoritmi operanti in modo non corretto. La lettera contiene un'analisi delle sfide poste dall'utilizzo di algoritmi, una panoramica delle pertinenti disposizioni del regolamento generale sulla protezione dei dati e degli orientamenti esistenti in materia, e descrive il lavoro già intrapreso dalle Autorità di controllo.

Lettera al Consiglio d'Europa sulla convenzione sulla criminalità informatica
A seguito del contributo fornito dal Comitato alla consultazione sulla negoziazione di un secondo protocollo addizionale alla convenzione del Consiglio d'Europa sulla criminalità informatica (convenzione di Budapest), numerosi membri del Comitato hanno partecipato attivamente alla conferenza Octopus organizzata dal Cybercrime Committee del Consiglio d’Europa. Il Comitato ha adottato una lettera di follow-up alla conferenza, sottolineando la necessità di integrare solide garanzie in materia di protezione dei dati nel futuro protocollo addizionale alla convenzione e di garantirne la coerenza con la convenzione 108, nonché con i trattati dell'UE e la Carta dei diritti fondamentali.

Nota per la stampa:
Si prega di notare che tutti i documenti adottati durante la plenaria del comitato europeo per la protezione dei dati sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del Comitato europeo per la protezione dei dati una volta che saranno stati completati.

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary