Il Comitato adotta il parere sul progetto di decisione relativo all’adeguatezza della Corea del Sud

27 September 2021 EDPB

Bruxelles, 27 settembre — Il comitato europeo per la protezione dei dati (EDPB) ha adottato il prescritto parere sul progetto di decisione di adeguatezza della Commissione europea relativa alla Repubblica di Corea. L'EDPB si è concentrato sugli aspetti generali del GDPR e sull'accesso da parte delle autorità pubbliche ai dati personali trasferiti dallo Spazio economico europeo (SEE) alla Repubblica di Corea ai fini dell'applicazione della legge e della sicurezza nazionale, compresi i mezzi di ricorso a disposizione delle persone fisiche nel SEE. Il comitato ha inoltre valutato l’efficacia delle garanzie previste dal quadro giuridico coreano.

Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: "Questa decisione di adeguatezza è di fondamentale importanza, in quanto riguarderà i trasferimenti sia nel settore pubblico che in quello privato. Un livello elevato di protezione dei dati è essenziale per sostenere i legami ormai consolidati con la Corea del Sud e per salvaguardare i diritti e le libertà delle persone. Pur sottolineando che gli aspetti fondamentali del quadro coreano in materia di protezione dei dati sono sostanzialmente equivalenti a quelli dell'Unione europea, invitiamo la Commissione a chiarire ulteriormente alcuni aspetti e a monitorare attentamente la situazione."

Per quanto riguarda il quadro generale in materia di protezione dei dati, l'EDPB rileva l’allineamento tra i sistemi di protezione dei dati dell'UE e della Corea del Sud in ambiti chiave rispetto ad alcune disposizioni fondamentali, quali:

  • le definizioni concettuali in materia di protezione dei dati (ad esempio dati personali; trattamento; interessato);
  • i requisiti di liceità del trattamento per finalità legittime;
  • il principio di limitazione delle finalità;
  • conservazione dei dati, sicurezza e riservatezza; e
  • trasparenza.

L'EDPB accoglie con favore gli sforzi compiuti dalla Commissione europea e dalle autorità coreane per garantire che la Repubblica di Corea fornisca un livello di protezione dei dati sostanzialmente equivalente a quello del GDPR. Ne è un esempio l'adozione di notifiche da parte dell'autorità per la protezione dei dati della Corea del Sud (PIPC), che mirano a colmare le lacune tra il GDPR e il quadro coreano in materia di protezione dei dati, quali le ulteriori tutele previste dalla notifica n. 2021-1.

Il comitato invita la Commissione europea a fornire ulteriori informazioni sulla natura vincolante, l'esecutività e la validità della notifica n. 2021-1 e raccomanda un attento monitoraggio della sua attuazione concreta.

Per quanto riguarda l'accesso da parte delle autorità pubbliche ai dati trasferiti verso la Repubblica di Corea, l’EDPB rileva che le disposizioni del PIPA si applicano senza limitazioni alle attività connesse all'applicazione della legge. L'EDPB rileva, inoltre, che il trattamento dei dati nel settore della sicurezza nazionale è soggetto a una serie più limitata di disposizioni contenute nel PIPA, sebbene i principi fondamentali del PIPA, nonché le garanzie fondamentali per i diritti degli interessati e le disposizioni in materia di vigilanza, attuazione delle norme e mezzi di ricorso si applichino all'accesso e all'uso dei dati personali da parte delle autorità di sicurezza nazionali. La costituzione sudcoreana sancisce inoltre principi essenziali in materia di protezione dei dati, applicabili all'accesso ai dati personali da parte delle autorità pubbliche nei settori connessi all'applicazione della legge e alla sicurezza nazionale. Inoltre, il comitato concorda con la conclusione della Commissione secondo cui si può ritenere che la Corea del Sud disponga di un sistema di vigilanza indipendente ed efficace.

Infine, per quanto riguarda i mezzi di ricorso effettivi e i diritti di ricorso, il comitato chiede alla Commissione di chiarire i requisiti sostanziali e/o procedurali, quali l'onere della prova, cui soggiacciono i reclami presentati alla PIPC o i procedimenti intentati in sede giudiziaria, e se i cittadini dell'UE sarebbero in grado di soddisfare tali eventuali condizioni preliminari.

Nel compiere la sua valutazione, il comitato ha utilizzato i criteri di riferimento per l'adeguatezza rispetto al GDPR e le raccomandazioni 2/2020 del Comitato europeo per la protezione dei dati sulle garanzie essenziali europee per le misure di sorveglianza, nonché la giurisprudenza della Corte di giustizia dell'Unione europea e della Corte europea dei diritti umani in materia di accesso alle informazioni da parte delle autorità pubbliche.

 

Nota editoriale:
Tutti i documenti adottati durante la plenaria del comitato sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del comitato una volta completati tali controlli.