L'EDPB adotta pareri sui primi codici di condotta transnazionali, una dichiarazione sulla legge sulla governance dei dati, raccomandazioni sulla base giuridica per la memorizzazione di dati relativi a carte di credito

20 May 2021 EDPB

Bruxelles, 20 maggio — Durante la sessione plenaria, il Comitato ha adottato due pareri ai sensi dell'articolo 64 del RGPD sui primi progetti1 di decisione relativi a codici di condotta transnazionali presentati al comitato dalle autorità di controllo belga e francese. In particolare, il progetto di decisione dell'autorità di controllo belga riguarda il codice di condotta EU CLOUD  destinato ai fornitori di servizi cloud. Il progetto di decisione dell'autorità di controllo francese riguarda il codice di condotta del CISPE destinato ai fornitori di servizi di infrastrutture cloud. Tali codici mirano a fornire orientamenti pratici e a definire requisiti specifici (alla luce dell'articolo 28 del RGPD) per i responsabili del trattamento nell'UE ai quali essi si applicano. Non sono invece utilizzabili in rapporto a trasferimenti internazionali di dati personali. Il Comitato è del parere che entrambi i progetti di codici siano conformi al RGPD e soddisfino i requisiti di cui agli articoli 40 e 41 di quest’ultimo. Secondo il RGPD, l'adesione a codici di condotta approvati può essere utilizzata come elemento per dimostrare la conformità alle disposizioni di legge.

Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: "Accogliamo con favore gli sforzi compiuti dai proponenti per elaborare codici di condotta, che sono strumenti pratici, trasparenti e potenzialmente vantaggiosi  in termini economici per garantire una maggiore coerenza settoriale e promuovere il rispetto della protezione dei dati."

Il Comitato ha adottato una dichiarazione sulla legge sulla governance dei dati (DGA) alla luce degli sviluppi del processo legislativo. La dichiarazione fa seguito al parere congiunto del GEPD e del Comitato sulla DGA e ne rafforza le  osservazioni principali. Il Comitato ribadisce che, in assenza di solide garanzie in materia di protezione dei dati, vi è il rischio che la fiducia nell'economia digitale non sia sostenibile. La dichiarazione sottolinea ulteriormente la necessità di garantire la coerenza della DGA con l'acquis dell'UE in materia di protezione dei dati ed esorta i colegislatori a esaminare attentamente taluni aspetti, quali l'interazione tra la DGA e il RGPD, e l'importanza di garantire che le nuove definizioni e i nuovi concetti non siano incompatibili con il RGPD.

Infine, il Comitato ha adottato raccomandazioni sulla base giuridica per la conservazione di dati relativi a carte di credito al solo scopo di agevolare ulteriori transazioni online. Le raccomandazioni riguardano le situazioni in cui gli interessati acquistano un prodotto o pagano un servizio tramite un sito web o un'applicazione e forniscono i dati delle proprie carte di credito al fine di concludere quella specifica operazione. In situazioni del genere, l'interessato non si attende ragionevolmente che i dati della carta di credito siano conservati più a lungo di quanto necessario per pagare i beni o i servizi, né appare evidente che la memorizzazione dei dati relativi alla carta di credito per facilitare acquisti futuri sia necessaria ai fini del legittimo  interesse  del titolare del trattamento o di un terzo. Pertanto, il consenso ai sensi dell'articolo 6 (1) (a) RGPD dovrebbe essere considerato l'unica base giuridica corretta per conservare i dati relativi a carte di credito successivamente a un acquisto.

1Questa terminologia utilizzata nelle linee guida del Comitato europeo per la protezione dei dati 01/2019 riguarda i codici di condotta relativi alle attività di trattamento in diversi Stati membri.

 

Nota editoriale:
tutti i documenti adottati durante la plenaria del Comitato sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno messi a disposizione sul sito web del Comitato una volta completati tali controlli.

EDPB_Press Release_2021_04