Comitato europeo per la protezione dei dati — Pareri sui progetti di decisioni di adeguatezza del Regno Unito, linee-guida sull'applicazione dell'articolo 65, paragrafo 1, lettera a), del RGPD, linee-guida sul targeting con riguardo agli utenti dei social

14 April 2021 EDPB

Bruxelles, 14 aprile — Durante la sessione plenaria, il Comitato ha adottato due pareri sui progetti di decisioni di adeguatezza del Regno Unito. Il parere 14/2021 guarda al regolamento generale sulla protezione dei dati e valuta sia gli aspetti generali relativi alla protezione dei dati sia l'accesso di autorità pubbliche ai dati personali trasferiti dal SEE per finalità di polizia e giudiziarie e per scopi di sicurezza nazionale. Tale valutazione si basa sul documento WP254 relativo ai criteri di riferimento per l’adeguatezza ai sensi del RGPD. Il parere 15/2021 guarda alla direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (LED) e analizza il progetto di decisione di adeguatezza alla luce delle raccomandazioni 01/2021 sulle garanzie essenziali europee ai sensi della LED, nonché della giurisprudenza pertinente di cui alle raccomandazioni 02/2020 sulle garanzie essenziali europee per le misure di sorveglianza. Si tratta del primo progetto di decisione sull'adeguatezza di un paese terzo con riguardo alla LED sinora presentato dalla Commissione europea e sottoposto alla valutazione de comitato europeo per la protezione dei dati.

Il comitato rileva che vi sono ambiti fondamentali caratterizzati da un forte allineamento tra i quadri normativi in materia di protezione dei dati nell'UE e nel Regno Unito rispetto ad alcune disposizioni basilari quali i fondamenti di liceità e correttezza di un trattamento per finalità legittime, il principio di limitazione delle finalità, i requisiti di qualità e proporzionalità dei dati, la conservazione dei dati, la loro sicurezza e riservatezza, la trasparenza, i principi applicati alle categorie particolari di dati, e le norme sui processi decisionali automatizzati e la profilazione.

Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: "Il quadro normativo in materia di protezione dei dati del Regno Unito si basa in larga misura su quello dell'UE. La legge del Regno Unito sulla protezione dei dati del 2018 specifica ulteriormente l'applicazione del GDPR nel diritto del Regno Unito, oltre a provvedere al recepimento della LED, e attribuisce poteri e obblighi all'autorità nazionale di controllo in materia di protezione dei dati, l'ICO. Pertanto, il comitato riconosce che il quadro normativo del Regno Unito in materia di protezione dei dati rispecchia nella maggior parte dei casi il regolamento generale sulla protezione dei dati e la LED e, nell'analizzare la legislazione e le prassi vigenti nel Regno Unito, ha individuato un’equivalenza sostanziale per molti aspetti. Tuttavia, poiché le norme sono soggette a evoluzione, tale allineamento dovrebbe essere mantenuto nel tempo. Accogliamo pertanto con favore la decisione della Commissione di prevedere un limite temporale al riconoscimento dell'adeguatezza e l'intenzione di monitorare attentamente gli sviluppi nel Regno Unito."

Il Comitato sottolinea che diversi elementi dovrebbero essere oggetto di un’ulteriore valutazione e/o di un attento monitoraggio da parte della Commissione europea nella sua decisione relativa all’adeguatezza rispetto al regolamento generale sulla protezione dei dati, quali:

  • Le deroghe applicabili in base alle norme sull'immigrazione e le loro conseguenze sulle limitazioni dei diritti degli interessati;
  • L'applicazione di restrizioni ai trasferimenti successivi dei dati personali trasferiti dal SEE verso il Regno Unito, sulla base, ad esempio, di future decisioni di adeguatezza adottate dal Regno Unito, di accordi internazionali conclusi tra il Regno Unito e paesi terzi o di particolari deroghe.

Per quanto riguarda l'accesso da parte delle autorità pubbliche, a fini di sicurezza nazionale, ai dati personali trasferiti nel Regno Unito, il Comitato accoglie con favore l'istituzione di un apposito organismo giurisdizionale (Investigatory Powers Tribunal — IPT) per affrontare le problematiche connesse all’esistenza di mezzi efficaci di ricorso nel settore della sicurezza nazionale, nonché l'introduzione dei Judicial Commissioner prevista dalla legge sui poteri d'indagine (IPA) del 2016 per garantire una migliore supervisione in questo ambito. Il comitato ha, inoltre, individuato alcuni elementi che richiedono ulteriori chiarimenti e/o un monitoraggio ulteriore:

  • Intercettazioni massive;
  • La valutazione e il controllo indipendenti dell'uso degli strumenti di trattamento automatizzato;
  • Le garanzie previste dal diritto del Regno Unito in materia di comunicazione dei dati all'estero, in particolare alla luce dell'applicazione delle deroghe previste per la sicurezza nazionale.

Il comitato ha adottato linee-guida sull'applicazione dell'articolo 65, paragrafo 1, lettera a), del RGPD per delineare le fasi principali della procedura e chiarire la competenza del comitato nell'adottare una decisione giuridicamente vincolante sulla base dell'articolo 65, paragrafo 1, lettera a), del RGPD. Le linee-guida contengono anche una descrizione delle garanzie procedurali e dei mezzi di ricorso applicabili, e saranno sottoposte a consultazione pubblica per un periodo di sei settimane.

A seguito degli esiti della consultazione pubblica, il comitato ha adottato la versione definitiva delle linee guida sul targeting con riguardo agli utenti dei social media. L'obiettivo delle linee-guida è chiarire i ruoli e le responsabilità degli operatori di social media e delle persone interessate. La versione finale integra una formulazione aggiornata per rispondere alle osservazioni e ai riscontri ricevuti durante la consultazione pubblica.

Il comitato ha adottato una dichiarazione sugli accordi internazionali, compresi i trasferimenti di dati. Il comitato invita gli Stati membri dell'UE a valutare e, se necessario, riconsiderare gli accordi internazionali che comportano trasferimenti internazionali di dati personali e che siano stati conclusi prima del 24 maggio 2016 (ove pertinenti rispetto al regolamento generale sulla protezione dei dati) e prima del 6 maggio 2016 (ove pertinenti rispetto alla LED) al fine di renderli conformi, ove necessario, al diritto dell'UE in materia di protezione dei dati.

 

Nota editoriale:
Tutti i documenti adottati durante la plenaria del comitato sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno messi a disposizione sul sito web del comitato una volta completati tali controlli.

EDPB_Press Release_2021_03