Comitato europeo per la protezione dei dati

EDPB News

14 November 2019

Brussels, 14 November - On November 12th and 13th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their fifteenth plenary session. During the plenary a wide range of topics was discussed.
 
Third Annual Privacy Shield Review
The EDPB adopted its report on the third Annual Joint Review of the EU-US Privacy Shield. In the report, the EDPB welcomes the efforts made by the U.S. authorities to implement the Privacy Shield, especially regarding ex officio oversight and enforcement actions on the commercial aspects, as well as the appointments of the last missing members of the Privacy and Civil Liberties Oversight Board (PCLOB) and of a permanent Ombudsperson.

However, a number of concerns still need to be addressed. The Board points out that substantial compliance checks with the substance of the Privacy Shield’s principles remain concerning. Other areas that require further attention are the application of the Privacy Shield requirements regarding onward transfers, HR data and processors, as well as the recertification process. More generally, the members of the Review Team would benefit from broader access to non-public information, concerning commercial aspects and ongoing investigations.

As regards the collection of data by public authorities, the EDPB encourages the PCLOB to issue and publish further reports, among others to provide an independent assessment of surveillance programmes conducted outside the US territory, while data are undergoing transfer from the EU to the US. The Board reiterates that its security-cleared experts remain ready to review further documents and discuss additional classified elements.

While the EDPB welcomes the new elements provided during this year’s review, the EDPB still cannot conclude that the Ombudsperson is vested with sufficient powers to access information and remedy non-compliance.

Guidelines on Territorial Scope
The EDPB adopted a final version of the Guidelines on Territorial Scope following public consultation. The guidelines aim to provide a common interpretation of the GDPR for EEA Data Protection Authorities when assessing whether a particular processing by a controller or a processor falls within the territorial scope of the legal framework, as per Art. 3 GDPR. The Guidelines provide further clarification on the application of the GDPR in various situations, for example, where the data controller or processor is established outside the EEA, including on the designation and role of a representative under Art. 27 GDPR.

The final guidelines integrate updated wording and further legal reasoning in order to address comments and feedback received during the public consultation, while maintaining the overall interpretation and methodology presented in the first version of the guidelines.

Guidelines on Data Protection by Design & Default
The EDPB adopted Guidelines on Data Protection by Design & Default. The guidelines focus on the obligation of Data Protection by Design and by Default (DPbDD) as set forth in Art. 25 GDPR. The core obligation here is the effective implementation of the data protection principles and data subjects’ rights and freedoms by design and by default. This requires that controllers implement appropriate technical and organisational measures and the necessary safeguards, designed to ascertain data protection principles in an effective manner and to protect the rights and freedoms of data subjects. In addition, controllers must be able to demonstrate that the implemented measures are effective. The guidelines will be submitted for public consultation.

Article 64 Opinion on ExxonMobil BCRs
The EDPB adopted its opinion on the draft decision regarding ExxonMobil’s Binding Corporate Rules (BCRs), submitted to the Board by the Belgian Supervisory Authority. The EDPB is of the opinion that the draft controller BCRs provide sufficient safeguards in the meaning of Art. 46(2)(b) and comply with Art. 47 GDPR.

Response letter to LIBE on EU Information Systems
The EDPB adopted its response to the European Parliament’s committee for Civil Liberties’ request for a legal assessment on the European Commission’s proposals for the Regulation establishing the conditions for accessing the other EU information systems and the Regulation establishing the conditions for accessing other EU information systems for ETIAS purposes. In the letter, the EDPB argues that the proposals should be seen as part of a bigger picture, i.e. as implementing parts of the Interoperability Framework and recalls the concerns previously expressed by the Article 29 Working Party. Additionally, the letter points out there are concerns regarding fundamental data protection principles, such as transparency, data protection by design and by default, and purpose limitation.

Additional protocol to the Budapest Convention on Cybercrime
The EDPB has adopted a contribution to the draft second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention), to be considered within the framework of consultations held by the Council of Europe Cybercrime Convention Committee (T-CY). The EDPB recalls that the protection of personal data and legal certainty must be guaranteed, thus contributing to the objective of establishing sustainable arrangements for the sharing of personal data with third countries for law enforcement purposes, which are fully compatible with the EU Treaties and the Charter of Fundamental Rights.

Note to editors:
Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 November 2019

On November 12th and 13th, the fifteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fifteenth Plenary

10 October 2019

Bruxelles, 10 ottobre — L’8 e il 9 ottobre, le Autorità garanti della protezione dei dati del SEE e il Garante europeo della protezione dei dati, riuniti in seno al Comitato europeo per la protezione dei dati, si sono incontrati per la quattordicesima sessione plenaria. Nel corso della riunione sono stati affrontati numerosi temi.

Linee-guida sulla liceità del trattamento svolto da servizi online sulla base di contratti (articolo 6, paragrafo 1, lettera b))
Il Comitato ha adottato una versione definitiva delle linee-guida sull'ambito e sull'applicazione dell'articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto dei servizi della società dell'informazione. A seguito di una consultazione pubblica sono stati inclusi nel testo alcuni punti di chiarimento. Nelle linee-guida il Comitato formula osservazioni generali in merito ai principi di protezione dei dati e all'interazione dell'articolo 6, paragrafo 1, lettera b) con altre basi giuridiche. Inoltre, le linee-guida contengono indicazioni sull'applicabilità dell'articolo 6, paragrafo 1, lettera b), in caso di aggregazione di servizi distinti e di risoluzione del contratto.

Parere ai sensi dell’Art. 64 sulle BCR di Equinix
Il Comitato ha adottato il parere sul progetto di decisione riguardante le norme vincolanti d'impresa (BCR) di Equinix, trasmessogli dall’Autorità del Regno Unito (Information Commissioner’s Office, ICO). Il Comitato è del parere che le BCR in questione contengano tutti gli elementi richiesti ai sensi dell'articolo 47 del regolamento generale sulla protezione dei dati e del documento WP256 rev01 e offrano garanzie adeguate.

Dati del codice di prenotazione (PNR)
Il Comitato ha adottato una lettera in risposta alla lettera della deputata al Parlamento europeo Sophie in't Veld relativa alla rinegoziazione dell’accordo PNR con il Canada e al suo impatto su altri accordi PNR. Nella sua risposta il Comitato rileva che il progetto di accordo non gli è stato ancora sottoposto, ma che il Comitato è pronto a emettere il relativo parere. La lettera richiama inoltre una precedente lettera inviata alla Commissione europea dal Gruppo « Articolo 29 » (WP29) a seguito del parere della Corte di giustizia dell'Unione europea (CGUE) sul primo progetto di accordo PNR con il Canada.

Risposta al Gruppo di lavoro del Consiglio sul "Codice antidoping sportivo" (WADA)
Il Comitato ha adottato la risposta alla richiesta presentata dal Gruppo di lavoro "Sport" del Consiglio relativamente al processo di revisione in corso del codice mondiale antidoping (WADA). Nella sua lettera, il Comitato ricorda due pareri del WP29 sulle versioni precedenti del codice WADA. La lettera evidenzia che sono stati compiuti progressi in relazione alle garanzie per la tutela della vita privata e la protezione dei dati contenute nella nuova versione del codice e delle rispettive norme, ma che permangono alcune preoccupazioni importanti.

Nota per la stampa:
Si prega di notare che tutti i documenti adottati durante la plenaria del comitato europeo per la protezione dei dati sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del Comitato europeo per la protezione dei dati una volta che saranno stati completati.

08 October 2019

On October 8th and 9th, the fourteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Fourteenth Plenary

02 October 2019

Registration has been closed - no more places available

Due to the overwhelming response to our call for expression of interest, registration has now been closed and no more places are available.
The EDPB would like to thank all those who have expressed interest in attending the event.


On November 4th, the EDPB is organising a stakeholders’ event on the topic of Data Subjects Rights. Representatives from, among others, individual companies, sector organisations, NGOs, law firms and academia are welcome to express interest in attending. Places will be allocated on a first come, first served basis, depending on availability.

Detailed information and the programme of the event can be found on the registration page.

As we would like to have a balanced and representative audience, participation will be limited to one participant per organisation.

When? November 4th 2019, from 08:30 - 16:00

Where? CCAB - Centre Albert Borschette
             Rue Froissart, 36, 1040 Brussels

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Bruxelles, 11 luglio — Il 9 e il 10 luglio, le autorità garanti della protezione dei dati del SEE e il Garante europeo della protezione dei dati, riuniti in seno al comitato europeo per la protezione dei dati, hanno tenuto la dodicesima sessione plenaria. Nel corso della riunione sono stati affrontati numerosi temi.

Linee-guida sulla videosorveglianza
Il comitato ha adottato linee-guida sulla videosorveglianza, che chiariscono in quali termini il regolamento generale sulla protezione dei dati si applichi al trattamento dei dati personali quando si utilizzano dispositivi video, e mirano a garantire l'applicazione coerente del RGPD in materia. Le linee-guida riguardano sia i dispositivi video tradizionali sia i dispositivi video intelligenti. Per quanto concerne questi ultimi, le linee-guida si concentrano sulle norme relative al trattamento di categorie particolari di dati. Altre tematiche affrontate nel documento  riguardano, tra l'altro, la liceità del trattamento, l'applicabilità dei criteri di esclusione relativi ai trattamenti in ambito domestico e la divulgazione di filmati a terzi. Le linee-guida saranno oggetto di una consultazione pubblica.

Risposta congiunta di EDPB e GEPD alla Commissione LIBE sulle implicazioni del CLOUD Act statunitense
Il Comitato europeo per la protezione dei dati ha adottato una risposta congiunta con il GEPD alla richiesta formulata dalla Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo (LIBE) di una valutazione giuridica dell'impatto del CLOUD Act statunitense sul quadro giuridico dell'UE in materia di protezione dei dati e del mandato per la negoziazione di un accordo UE-USA sull'accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale. Il CLOUD Act consente alle autorità di contrasto degli Stati Uniti di esigere la divulgazione di dati da parte dei prestatori di servizi negli Stati Uniti, indipendentemente dal luogo in cui i dati sono conservati.

Il Comitato europeo per la protezione dei dati e il GEPD sottolineano che un accordo globale tra l'UE e gli Stati Uniti in materia di accesso transfrontaliero alle prove elettroniche, contenente solide garanzie procedurali e sostanziali per i diritti fondamentali, sembra lo strumento più adeguato per garantire il necessario livello di protezione delle persone nell'UE e la certezza del diritto per le imprese.

Parere ai sensi dell’Articolo 64 del regolamento generale sulla protezione dei dati relativo alle clausole contrattuali tipo per i responsabili del trattamento di cui all'articolo 28.8 del regolamento stesso, presentate dall’autorità danese
Il comitato europeo per la protezione dei dati ha adottato il parere sul progetto di clausole contrattuali tipo (SCC) per la disciplina dei trattamenti svolti  da un responsabile del trattamento, sottopostogli dall'autorità di controllo danese. Il parere, che è il primo a essere reso in materia, mira a garantire l'applicazione coerente dell'articolo 28 del regolamento generale sulla protezione dei dati, riguardante i responsabili del trattamento. In esso, il comitato ha formulato diverse raccomandazioni che devono essere tenute in conto al fine di conferire al progetto di SCC dell’autorità danese lo status di clausole contrattuali tipo. Se tutte le raccomandazioni saranno attuate, l’autorità di controllo danese potrà utilizzare il presente progetto di accordo come clausole contrattuali tipo ai sensi dell'articolo 28, paragrafo 8, del regolamento generale sulla protezione dei dati.

Parere ai sensi dell’Articolo 64 del regolamento generale sulla protezione dei dati relativo ai criteri di accreditamento per gli organismi di controllo dei codici di condotta, presentati dall’autorità austriaca
In seguito alla presentazione da parte dell’autorità di controllo austriaca di un progetto di decisione sui criteri per l'accreditamento degli organismi di controllo dei codici di condotta, il comitato ha adottato il relativo parere. Il comitato ha convenuto che tutti i codici applicabili alle autorità e agli organismi non pubblici sono tenuti a prevedere la presenza di organismi di controllo accreditati conformemente al regolamento generale sulla protezione dei dati.

Parere ai sensi dell’Articolo 64 del regolamento generale sulla protezione dei dati sulla competenza di un’autorità di controllo in caso di mutamento delle circostanze relative allo stabilimento principale o unico
Il Comitato ha adottato un parere sulla competenza di un'autorità di controllo al modificarsi delle circostanze relative allo stabilimento principale o allo  stabilimento unico. Ciò può verificarsi quando lo stabilimento principale viene trasferito in un altro Stato all'interno del SEE, quando uno stabilimento principale viene trasferito nel SEE da un paese terzo o quando cessa di esistere uno stabilimento principale o unico nel SEE. In tali circostanze, il Comitato è del parere che la competenza dell'autorità di controllo capofila (LSA)  possa essere trasferita a un'altra autorità di controllo. In questo caso continuerà ad applicarsi la procedura di cooperazione di cui all'articolo 60 e la nuova LSA sarà obbligata a cooperare con la precedente LSA e con le altre autorità interessate al fine di raggiungere un consenso. Il trasferimento di competenza può avvenire fin quando l'autorità di controllo competente non abbia assunto una decisione definitiva.

Parere congiunto di Comitato e GEPD relativo alla eHDSI
Il Comitato ha adottato un parere congiunto con il GEPD sugli aspetti di protezione dati relativi al trattamento dei dati dei pazienti nell'infrastruttura di servizi digitali per l'eHealth (eHDSI). Si tratta del primo parere congiunto del Comitato e del GEPD adottato in risposta a una richiesta della Commissione europea ai sensi dell'articolo 42, paragrafo 2, del regolamento 2018/1725 sulla protezione dei dati per le istituzioni e gli organi dell'UE. Nel loro parere, il Comitato e il GEPD ritengono che, in questa specifica situazione e rispetto al trattamento concreto dei dati dei pazienti all'interno dell'eHDSI, non sussistano motivi per dissentire dalla valutazione condotta dalla Commissione europea in merito al rispettivo ruolo all'interno dell'eHDSI, ossia quello di responsabile del trattamento. Inoltre, il parere congiunto sottolinea la necessità di garantire che tutti gli obblighi incombenti sulla Commissione in quanto responsabile dello specifico trattamento, come definiti nella legislazione applicabile in materia di protezione dei dati, siano fissati chiaramente nella pertinente legge di attuazione.

Elenco dei trattamenti soggetti a obblighi di valutazione di impatto presentato da Cipro
Il Comitato europeo per la protezione dei dati ha adottato un parere sull'elenco dei trattamenti soggetti all’obbligo di valutazione d'impatto sulla protezione dei dati presentatogli da Cipro. Tali elenchi costituiscono uno strumento importante per l'applicazione coerente del regolamento generale sulla protezione dei dati in tutto il SEE. La valutazione di impatto sulla protezione dei dati è un processo che contribuisce a individuare e mitigare i rischi per la protezione dei dati che potrebbero ledere i diritti e le libertà delle persone fisiche.

Parere ai sensi dell’Articolo 64 del regolamento generale sulla protezione dei dati sugli elenchi dei trattamenti sottratti all’obbligo di valutazione d’impatto conformemente all‘Articolo 35.5, presentati da FR, SP e CZ
Il Comitato europeo per la protezione dei dati ha adottato il parere sugli elenchi a norma dell'articolo 35.5 presentatigli dalle autorità di controllo francese, spagnola e ceca.

Raccomandazione relativa all'elenco  dei trattamenti soggetti a obblighi di valutazione d’impatto presentato dal GEPD a norma dell'articolo 39.4 del regolamento n. 2018/1725
Il Comitato ha adottato una raccomandazione sull'elenco redatto ai sensi dell’Art. 39, paragrafo 4, del regolamento 2018/1725 trasmessogli dal GEPD. Il GEPD è tenuto a consultare il comitato europeo per la protezione dei dati prima di procedere all'adozione di tali elenchi, nella misura in cui tali elenchi "si riferiscono alle operazioni di trattamento da parte di un responsabile del trattamento che agisce congiuntamente con uno o più titolari del trattamento diversi dalle istituzioni e dagli organi dell'Unione" (articolo 39, paragrafo 6, del regolamento (UE) 2018/1725). Analogamente agli elenchi relativi agli obblighi di valutazione di impatto previsti dal  regolamento generale sulla protezione dei dati, l'elenco del GEPD indica ai titolari quei trattamenti che richiedono una valutazione d'impatto sulla protezione dei dati.

Nota per la stampa:
Si prega di notare che tutti i documenti adottati durante la plenaria del comitato europeo per la protezione dei dati sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del Comitato europeo per la protezione dei dati una volta completati tali controlli .

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Bruxelles, 5 giugno — Il 4 giugno le autorità di protezione dei dati del SEE e il Garante europeo della protezione dei dati, riuniti nel comitato europeo per la protezione dei dati (CEPD), hanno tenuto l'undicesima sessione plenaria. Nel corso della plenaria sono stati discussi numerosi temi.

Linee-guida sui codici di condotta
Il CEPD ha adottato una versione definitiva delle Linee-guida sui codici di condotta. Sono stati inseriti nel testo alcuni chiarimenti successivamente alla consultazione pubblica. Le linee-guida intendono fornire orientamenti pratici e supporto interpretativo in relazione all'applicazione degli articoli 40 e 41 del regolamento generale sulla protezione dei dati contribuendo a chiarire le procedure e le norme relative alla presentazione, all'approvazione e alla pubblicazione dei codici di condotta, a livello sia nazionale che europeo. Le linee-guida dovrebbero inoltre offrire un chiaro quadro di riferimento a tutte le autorità di controllo competenti, al Comitato e alla Commissione per condurre una valutazione coerente dei codici di condotta e uniformare le procedure connesse a tale valutazione.

Allegato alle Linee-guida sull'accreditamento
Il CEPD ha adottato una versione definitiva dell'allegato alle Linee-guida in materia di accreditamento, successivamente alla consultazione pubblica. Il testo è stato rivisto per migliorarne la chiarezza. Le linee-guida mirano a fornire orientamenti sull’interpretazione e l’attuazione delle disposizioni dell'articolo 43 del regolamento generale sulla protezione dei dati. In particolare, esse intendono aiutare gli Stati membri, le autorità di controllo e gli organismi nazionali di accreditamento a definire una base di riferimento coerente e armonizzata per l'accreditamento degli organismi di certificazione che rilasciano certificati ai sensi del regolamento generale sulla protezione dei dati. L'allegato fornisce indicazioni sui requisiti aggiuntivi per l'accreditamento degli organismi di certificazione, requisiti che devono essere stabiliti dalle autorità di controllo. Tali requisiti aggiuntivi, prima di essere adottati dalle autorità di controllo, devono essere sottoposti al Comitato per approvazione a norma dell'articolo 64, paragrafo 1, lettera c). *

Allegato alle Linee-guida sulla certificazione
Il CEPD ha adottato una versione definitiva dell'allegato 2 alle Linee-guida sulla certificazione. Successivamente alla consultazione pubblica, sono stati aggiunti alcuni elementi di valutazione, ad esempio se i criteri di certificazione riguardino l'obbligo del titolare o del responsabile del trattamento di designare un responsabile della protezione dei dati e l'obbligo di tenere registri delle attività di trattamento. L'obiettivo principale delle Linee-guida è identificare criteri generali che possano trovare applicazione rispetto a  tutti i meccanismi di certificazione a norma dell'articolo 42 e dell'articolo 43 del regolamento generale sulla protezione dei dati. L'allegato individua le tematiche che le autorità di controllo e il comitato europeo per la protezione dei dati prenderanno in esame ai fini dell'approvazione di criteri di certificazione riferiti a un meccanismo di certificazione. L'elenco non è esaustivo, costituendo semmai l’ambito minimo da prendere in esame. *

Nota per la stampa:
*  Il Comitato intende adesso elaborare una procedura volta ad agevolare l'elaborazione di pareri coerenti e tempestivi sui progetti di decisione sottopostigli dalle autorità di controllo nazionali e ad approvare sigilli europei per la protezione dei dati, preliminarmente all’esame di casi specifici in materia di certificazione e accreditamento da parte del Comitato stesso.

Si prega di notare che tutti i documenti adottati durante la plenaria del CEPD sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del CEPD una volta che questi siano stati completati

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Bruxelles, 15 maggio — Il 14 e il 15 maggio, le autorità di protezione dei dati del SEE e il Garante europeo della protezione dei dati, riunite nel comitato europeo per la protezione dei dati, si sono incontrate per la decima sessione plenaria. Nel corso della plenaria sono stati discussi numerosi temi.
 
Elezione di un nuovo vicepresidente

I membri del Comitato hanno eletto Aleid Wolfsen, presidente dell'autorità di controllo dei Paesi Bassi, nuovo vice presidente, in sostituzione di Willem Debeuckelaere, che la presidente del CEPD Andrea Jelinek ha ringraziato per il lavoro svolto. Insieme al vice presidente Ventsislav Karadjov, Aleid Wolfsen sosterrà la presidenza del Comitato nelle attività cui  quest’ultimo sarà chiamato nei prossimi anni. La presidente Jelinek ha aggiunto: "L'interesse pubblico per la protezione dei dati è ai massimi storici. Con Aleid e Ventsislav lavorerò fin da subito puntando al coinvolgimento  di tutte le parti interessate alle tematiche di protezione dei dati."

Aleid Wolfsen ha poi aggiunto: "Nei prossimi anni il Comitato è chiamato a fornire orientamenti e indicazioni autorevoli. Mi farò carico, in quanto vicepresidente, di ascoltare tutti coloro che hanno qualcosa da dire per arrivare poi a una posizione unitaria."

Risposta a Sophie In't Veld sul tema « veicoli connessi »

Il Comitato ha adottato una lettera in risposta alla nota del 17 aprile 2019 inviata dall'on. Sophie In't Veld,  relativa alla condivisione dei dati personali dei conducenti di automobili con il produttore del veicolo e con terzi, senza il consenso esplicito, specifico e informato del conducente e senza un'adeguata base giuridica. Nella sua risposta, il Comitato sottolinea che i membri del Comitato e i loro colleghi internazionali hanno adottato nel 2017 una risoluzione attraverso la Conferenza internazionale delle autorità di protezione dati (ICDPPC) sulla protezione dei dati nei veicoli automatizzati e nei veicoli connessi, e che il WP29 ha adottato un parere (3/2017) sul trattamento dei dati personali nel contesto dei sistemi cooperativi di trasporto intelligente (C-ITS). La tematica  sarà trattata anche in base al programma di lavoro del comitato per il periodo 2019-2020.  

Terza revisione annuale dello  »Scudo per la privacy » (Privacy Shield)

Il Comitato ha designato i propri rappresentanti per la terza revisione annuale dello Scudo per la privacy : si tratta delle autorità di controllo di Austria, Bulgaria, Francia, Germania e Ungheria e del GEPD.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Comitato europeo per la protezione dei dati — Nona sessione plenaria: Linee guida sul trattamento dei dati personali nell'ambito dei servizi della società dell'informazione

 

Bruxelles, 10 aprile — Il 9 e 10 aprile, le autorità di protezione dei dati del SEE e il garante europeo della protezione dei dati, riuniti nel comitato europeo per la protezione dei dati, si sono riuniti per la nona sessione plenaria.
 
Durante la seduta plenaria, il comitato europeo per la protezione dei dati ha adottato linee-guida  sulla portata e sull'applicazione dell'articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto dei servizi della società dell'informazione. Nelle linee-guida il Comitato formula osservazioni generali in merito ai principi di protezione dei dati e all'interazione fra l'articolo 6, paragrafo 1, lettera b) e altre basi giuridiche.  Inoltre,  le linee-guida  contengono indicazioni  sull'applicabilità dell'articolo 6, paragrafo 1, lettera b), in caso di aggregazione di servizi distinti e risoluzione del contratto.

Nota per la stampa:

 

Si prega di notare che tutti i documenti adottati durante la plenaria del CEPD sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del CEPD una volta che questi siano stati completati.

* Articolo 6, paragrafo 1, lettera b)
"1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
...
(b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all’esecuzione di  misure precontrattuali adottate su richiesta dello stesso; "
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Bruxelles, 13 marzo — Il 12 e 13 marzo, le autorità di protezione dei dati del SEE (Spazio Economico Europeo) e il garante europeo della protezione dei dati, riuniti nel Comitato europeo per la protezione dei dati (EDPB-CEPD), si sono incontrati per l'ottava sessione plenaria. Nel corso della sessione plenaria sono stati discussi numerosi temi.

Interazione tra la direttiva ePrivacy e il Regolamento generale sulla protezione dei dati
Il Comitato europeo per la protezione dei dati ha adottato il parere sull'interazione tra la direttiva ePrivacy e il Regolamento generale sulla protezione dei dati (GDPR-RGPD). Il parere intende rispondere al quesito relativo all’eventuale limitazione di  competenze, compiti e poteri delle autorità per la protezione dei dati ai sensi del RGPD ove un  trattamento di dati personali ricada nell’ambito di applicazione materiale sia del GDPR sia della direttiva ePrivacy. È opinione del CEPD che le autorità per la protezione dei dati siano competenti per l'applicazione del GDPR. Il fatto che una parte del trattamento rientri nel campo di applicazione della direttiva ePrivacy non limita, di per sé, la competenza delle autorità per la protezione dei dati ai sensi del GDPR.

Una violazione del GDPR può configurare al tempo stesso una violazione delle norme nazionali in materia di ePrivacy. Le autorità di protezione dati potranno tenerne conto nell'applicare il GDPR (ad esempio nel valutare il rispetto dei principi di liceità o di correttezza).

Dichiarazione sul futuro Regolamento ePrivacy
Il Comitato europeo per la protezione dei dati ha adottato una dichiarazione in cui invita i legislatori dell'UE a intensificare gli sforzi per l'adozione del Regolamento ePrivacy, che è essenziale per completare il quadro dell'UE in materia di protezione dei dati e riservatezza delle comunicazioni elettroniche.

Il futuro Regolamento ePrivacy non dovrebbe in alcun caso ridurre il livello di tutela offerto dall'attuale direttiva ePrivacy e dovrebbe integrare il GDPR fornendo ulteriori e robuste garanzie per tutti i tipi di comunicazioni elettroniche.

Elenchi di trattamenti soggetti all’obbligo di valutazione d'impatto sulla protezione dei dati
Il Comitato europeo per la protezione dei dati ha adottato due pareri relativi agli elenchi di trattamenti soggetti all’obbligo di valutazione d'impatto sulla protezione dei dati (DPIA) sottopostigli da Spagna e Islanda. Tali elenchi costituiscono uno strumento importante per l'applicazione coerente del GDPR in tutto il SEE. La valutazione d'impatto sulla protezione dei dati è un processo volto a individuare e attenuare i rischi per la protezione dei dati che potrebbero ledere i diritti e le libertà delle persone. In via generale spetta al titolare del trattamento stabilire se una valutazione d’impatto sulla protezione dei dati sia necessaria prima di avviare l’attività di trattamento, tuttavia le autorità di controllo nazionali devono definire ed elencare le tipologie di trattamenti soggetti all'obbligo di una valutazione d'impatto sulla protezione dei dati. Questi due pareri seguono i 28 pareri adottati durante le precedenti riunioni plenarie e contribuiranno ulteriormente a stabilire criteri comuni per gli elenchi DPIA in tutto il SEE.

Dichiarazione sull'uso dei dati personali nel corso di campagne politiche
Alla luce delle imminenti elezioni europee e di altre elezioni previste in tutta l'Ue e al di fuori dell’Ue durante il 2019, il Comitato europeo per la protezione dei dati ha adottato una dichiarazione sull'uso dei dati personali durante le campagne elettorali. Le tecniche di elaborazione dei dati a fini politici possono comportare gravi rischi, non solo per quanto riguarda il diritto alla privacy e alla protezione dei dati, ma anche per l'integrità del processo democratico. Nella dichiarazione, il Comitato europeo per la protezione dei dati evidenzia una serie di elementi essenziali che devono essere presi in considerazione quando i partiti politici trattano dati personali nel corso delle attività elettorali.

Nota per la stampa:

Si prega di notare che tutti i documenti adottati durante la plenaria del CEPD sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del CEPD una volta che questi siano stati completati.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Bruxelles, 13 febbraio — Il 12 febbraio le autorità di protezione dei dati del SEE e il Garante europeo della protezione dei dati, riuniti nel Comitato europeo per la protezione dei dati (CEPD), si sono incontrati per la settima sessione plenaria. Nel corso della sessione plenaria sono stati discussi numerosi temi.

Programma di lavoro 2019-2020
Il Comitato ha adottato il programma di lavoro biennale per il periodo 2019-2020, ai sensi dell'articolo 29 del suo regolamento interno. Il programma di lavoro del CEPD si basa sulle esigenze individuate dai membri come prioritarie per le persone e le parti interessate, nonché sulle attività legislative previste a livello dell'UE.

Progetto di accordo amministrativo in materia di vigilanza dei mercati finanziari
Il comitato europeo per la protezione dei dati ha adottato il suo primo parere su un accordo amministrativo (AA), basato sull'articolo 46, paragrafo 3, lettera b), del regolamento generale sulla protezione dei dati, per i trasferimenti di dati personali tra autorità di vigilanza finanziaria del SEE, tra cui l'Autorità europea degli strumenti finanziari e dei mercati (ESMA) e le loro controparti extra-UE. Tale accordo sarà presentato alle competenti autorità di controllo per ricevere la prescritta autorizzazione a livello nazionale. Le competenti autorità di controllo monitoreranno l'accordo e la sua applicazione pratica per garantire che vi siano concretamente diritti effettivi e azionabili dagli interessati e idonei strumenti di ricorso e vigilanza.

Brexit
Il comitato europeo per la protezione dei dati ha adottato una nota informativa destinata alle aziende e alle autorità pubbliche sui trasferimenti di dati a norma del regolamento generale sulla protezione dei dati in caso di Brexit senza accordo con l’Ue.

Flussi di dati dal SEE verso il Regno Unito
In assenza di un accordo tra l'UE e il Regno Unito (“no-deal Brexit”), il Regno Unito diventerà un paese terzo dalle ore 00.00 CET del 30 marzo 2019. Di conseguenza, il trasferimento di dati personali dal SEE verso il Regno Unito dovrà basarsi su uno dei seguenti strumenti: Clausole-tipo di protezione dei dati o clausole di protezione dei dati ad hoc, norme vincolanti d'impresa, codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche. In assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono utilizzare alcune deroghe a determinate condizioni.

Flussi di dati dal Regno Unito al SEE
Per quanto riguarda i trasferimenti di dati dal Regno Unito al SEE, secondo il governo britannico l’attuale situazione, che prevede la libera circolazione dei dati personali dal Regno Unito al SEE, continuerà  anche in caso di Brexit senza accordo con l’ UE.
    
Linee-guida sui codici di condotta
 Il comitato europeo per la protezione dei dati ha adottato linee-guida in materia di codici di condotta. Le linee-guida mirano a fornire orientamenti pratici e supporto interpretativo rispetto   all'applicazione degli articoli 40 e 41 del regolamento generale sulla protezione dei dati. Esse  intendono contribuire a chiarire le procedure e le norme relative alla presentazione, all'approvazione e alla pubblicazione dei codici di condotta a livello sia nazionale che europeo; inoltre,  dovrebbero offrire un chiaro quadro di riferimento per tutte le autorità di controllo, il Comitato e la Commissione nel valutare i codici di condotta in modo coerente snellendo le relative procedure. Le linee-guida saranno oggetto di una consultazione pubblica.

Nota per la stampa:

Si prega di notare che tutti i documenti adottati durante la plenaria del CEPD sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del CEPD una volta che questi siano stati completati.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Bruxelles, 24 gennaio — Il 22 gennaio e il 23 gennaio le autorità europee per la protezione dei dati, riunite nel Comitato europeo per la protezione dei dati, si sono incontrate per la sesta sessione plenaria. Nel corso della sessione plenaria sono stati discussi numerosi temi.

Scudo per la privacy
 Il Comitato ha adottato la relazione sulla seconda revisione annuale dello Scudo UE-USA per la privacy. Il Comitato accoglie con favore gli sforzi compiuti dalle autorità statunitensi e dalla Commissione per attuare lo Scudo per la privacy, in particolare le azioni intraprese al fine di adeguare il processo di certificazione iniziale, l’avvio  di attività di controllo e attuazione  d’ufficio, nonché gli sforzi volti a pubblicare una serie di documenti importanti, in parte declassificati (come le decisioni del tribunale FISA), la nomina di un nuovo presidente nonché di tre nuovi membri del Privacy and Civil Liberties Oversight Board (Comitato per la tutela della vita privata e delle libertà civili, PCLOB) e la nomina recentemente annunciata di un Ombudsperson (mediatore) permanente.

Alla luce dei risultati della seconda revisione congiunta, permangono le seguenti preoccupazioni circa l’attuazione dello Scudo per la privacy. Si tratta di preoccupazioni già espresse dal WP29, il predecessore del Comitato europeo per la protezione dei dati, relativamente alla mancanza di garanzie concrete quanto all’esclusione di forme di raccolta e accesso indiscriminati ai dati personali per scopi di sicurezza nazionale. Inoltre, sulla base delle informazioni finora fornite, il Comitato non può attualmente ritenere che il mediatore (Ombudsperson) sia dotato di poteri sufficienti per porre rimedio alle non conformità. Inoltre, il Comitato fa notare che i controlli relativi al rispetto sostanziale dei principi dello Scudo per la privacy non sono sufficientemente forti.

Il Comitato nutre alcune preoccupazioni supplementari per quanto riguarda i controlli necessari a rispettare le prescrizioni in materia di trasferimenti ulteriori, la portata della nozione di dati relativi alle risorse umane e la procedura di rinnovo della certificazione, nonché con riguardo a un elenco di questioni sollevate dopo la prima revisione congiunta e tuttora irrisolte.

Brexit
Il Comitato ha esaminato le possibili conseguenze della Brexit nel settore della protezione dei dati. I membri hanno convenuto di cooperare e di scambiarsi informazioni sulle misure in preparazione e sugli strumenti disponibili per il trasferimento dei dati verso il Regno Unito, una volta che quest’ultimo non sarà più membro dell’UE.

FAQ sulle sperimentazioni cliniche
In seguito a una richiesta della Commissione europea (DG SANTE), il Comitato ha adottato il proprio parere in merito alle FAQ sulle  sperimentazioni cliniche. Il parere esamina in particolare gli aspetti relativi alle basi giuridiche adeguate nel contesto delle sperimentazioni cliniche e gli usi secondari dei dati della sperimentazione clinica a fini scientifici. Il parere sarà ora trasmesso alla Commissione europea.  

Elenchi DPIA
Il Comitato ha adottato i previsti pareri in merito agli elenchi dei trattamenti soggetti obbligatoriamente a valutazione d’impatto sulla protezione dei dati (DPIA), presentati al Comitato dal Liechtenstein e dalla Norvegia. Tali elenchi costituiscono uno strumento importante per l’applicazione coerente del regolamento generale sulla protezione dei dati in tutto il SEE. La valutazione d’impatto sulla protezione dei dati è un processo volto a individuare e attenuare i rischi per la protezione dei dati che potrebbero ledere i diritti e le libertà delle persone. In via generale spetta al titolare del trattamento stabilire se una valutazione d’impatto sulla protezione dei dati sia necessaria prima di avviare l’attività di trattamento, tuttavia le autorità di controllo nazionali devono definire ed elencare le tipologie di trattamenti soggetti all’obbligo di una valutazione d’impatto sulla protezione dei dati. Questi due pareri sono stati preceduti dai 22 pareri adottati durante la sessione plenaria di settembre, e dai quattro pareri adottati nel corso della sessione plenaria di dicembre e contribuiranno ulteriormente a stabilire criteri comuni per gli elenchi DPIA in tutto il SEE.

Orientamenti sulla certificazione
 Il Comitato ha adottato la versione definitiva degli orientamenti relativi alla certificazione all’esito della consultazione pubblica. Inoltre, il comitato ha anche adottato un nuovo allegato. Una bozza degli orientamenti era stata adottata durante la prima plenaria del Comitato in maggio. L’obiettivo principale dei presenti orientamenti è identificare i criteri generali che possono applicarsi a tutti i tipi di meccanismi di certificazione emessi a norma dell’articolo 42 e dell’articolo 43 del regolamento generale sulla protezione dei dati. In quanto tali, gli orientamenti esaminano la logica alla base della certificazione come strumento di responsabilizzazione, illustrano i concetti chiave delle disposizioni in materia di certificazione di cui agli articoli 42 e 43, spiegano la portata delle attività di certificazione e ne definiscono lo scopo. Gli orientamenti aiuteranno gli Stati membri, le autorità di controllo e gli organismi nazionali di accreditamento nell’esame e nell’approvazione di criteri di certificazione a norma dell’articolo 42 e dell’articolo 43 del regolamento generale sulla protezione dei dati. L’allegato sarà oggetto di una consultazione pubblica.

Risposta all’Autorità di vigilanza australiana in materia di notifica delle violazioni dei dati personali
Nel mese di ottobre 2018 la presidente del comitato ha ricevuto una richiesta scritta dell’Ufficio dell’Australian Information Commissioner in merito alla pubblicazione delle notifiche di violazione dei dati da parte delle autorità di controllo. Il Comitato accoglie con favore l’interesse manifestato dall’autorità australiana a  cooperare sulla questione con il Comitato  stesso  e sottolinea l’importanza della collaborazione internazionale. Nella sua risposta, il Comitato fornisce ulteriori informazioni in merito alla possibilità per  le autorità di controllo di gestire la pubblicazione di informazioni relative alle notifiche di violazioni dei dati, e alle relative modalità.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary