Comitato europeo per la protezione dei dati

EDPB News

11 July 2019

Bruxelles, 11 luglio — Il 9 e il 10 luglio, le autorità garanti della protezione dei dati del SEE e il Garante europeo della protezione dei dati, riuniti in seno al comitato europeo per la protezione dei dati, hanno tenuto la dodicesima sessione plenaria. Nel corso della riunione sono stati affrontati numerosi temi.

Linee-guida sulla videosorveglianza
Il comitato ha adottato linee-guida sulla videosorveglianza, che chiariscono in quali termini il regolamento generale sulla protezione dei dati si applichi al trattamento dei dati personali quando si utilizzano dispositivi video, e mirano a garantire l'applicazione coerente del RGPD in materia. Le linee-guida riguardano sia i dispositivi video tradizionali sia i dispositivi video intelligenti. Per quanto concerne questi ultimi, le linee-guida si concentrano sulle norme relative al trattamento di categorie particolari di dati. Altre tematiche affrontate nel documento  riguardano, tra l'altro, la liceità del trattamento, l'applicabilità dei criteri di esclusione relativi ai trattamenti in ambito domestico e la divulgazione di filmati a terzi. Le linee-guida saranno oggetto di una consultazione pubblica.

Risposta congiunta di EDPB e GEPD alla Commissione LIBE sulle implicazioni del CLOUD Act statunitense
Il Comitato europeo per la protezione dei dati ha adottato una risposta congiunta con il GEPD alla richiesta formulata dalla Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento europeo (LIBE) di una valutazione giuridica dell'impatto del CLOUD Act statunitense sul quadro giuridico dell'UE in materia di protezione dei dati e del mandato per la negoziazione di un accordo UE-USA sull'accesso transfrontaliero alle prove elettroniche per la cooperazione giudiziaria in materia penale. Il CLOUD Act consente alle autorità di contrasto degli Stati Uniti di esigere la divulgazione di dati da parte dei prestatori di servizi negli Stati Uniti, indipendentemente dal luogo in cui i dati sono conservati.

Il Comitato europeo per la protezione dei dati e il GEPD sottolineano che un accordo globale tra l'UE e gli Stati Uniti in materia di accesso transfrontaliero alle prove elettroniche, contenente solide garanzie procedurali e sostanziali per i diritti fondamentali, sembra lo strumento più adeguato per garantire il necessario livello di protezione delle persone nell'UE e la certezza del diritto per le imprese.

Parere ai sensi dell’Articolo 64 del regolamento generale sulla protezione dei dati relativo alle clausole contrattuali tipo per i responsabili del trattamento di cui all'articolo 28.8 del regolamento stesso, presentate dall’autorità danese
Il comitato europeo per la protezione dei dati ha adottato il parere sul progetto di clausole contrattuali tipo (SCC) per la disciplina dei trattamenti svolti  da un responsabile del trattamento, sottopostogli dall'autorità di controllo danese. Il parere, che è il primo a essere reso in materia, mira a garantire l'applicazione coerente dell'articolo 28 del regolamento generale sulla protezione dei dati, riguardante i responsabili del trattamento. In esso, il comitato ha formulato diverse raccomandazioni che devono essere tenute in conto al fine di conferire al progetto di SCC dell’autorità danese lo status di clausole contrattuali tipo. Se tutte le raccomandazioni saranno attuate, l’autorità di controllo danese potrà utilizzare il presente progetto di accordo come clausole contrattuali tipo ai sensi dell'articolo 28, paragrafo 8, del regolamento generale sulla protezione dei dati.

Parere ai sensi dell’Articolo 64 del regolamento generale sulla protezione dei dati relativo ai criteri di accreditamento per gli organismi di controllo dei codici di condotta, presentati dall’autorità austriaca
In seguito alla presentazione da parte dell’autorità di controllo austriaca di un progetto di decisione sui criteri per l'accreditamento degli organismi di controllo dei codici di condotta, il comitato ha adottato il relativo parere. Il comitato ha convenuto che tutti i codici applicabili alle autorità e agli organismi non pubblici sono tenuti a prevedere la presenza di organismi di controllo accreditati conformemente al regolamento generale sulla protezione dei dati.

Parere ai sensi dell’Articolo 64 del regolamento generale sulla protezione dei dati sulla competenza di un’autorità di controllo in caso di mutamento delle circostanze relative allo stabilimento principale o unico
Il Comitato ha adottato un parere sulla competenza di un'autorità di controllo al modificarsi delle circostanze relative allo stabilimento principale o allo  stabilimento unico. Ciò può verificarsi quando lo stabilimento principale viene trasferito in un altro Stato all'interno del SEE, quando uno stabilimento principale viene trasferito nel SEE da un paese terzo o quando cessa di esistere uno stabilimento principale o unico nel SEE. In tali circostanze, il Comitato è del parere che la competenza dell'autorità di controllo capofila (LSA)  possa essere trasferita a un'altra autorità di controllo. In questo caso continuerà ad applicarsi la procedura di cooperazione di cui all'articolo 60 e la nuova LSA sarà obbligata a cooperare con la precedente LSA e con le altre autorità interessate al fine di raggiungere un consenso. Il trasferimento di competenza può avvenire fin quando l'autorità di controllo competente non abbia assunto una decisione definitiva.

Parere congiunto di Comitato e GEPD relativo alla eHDSI
Il Comitato ha adottato un parere congiunto con il GEPD sugli aspetti di protezione dati relativi al trattamento dei dati dei pazienti nell'infrastruttura di servizi digitali per l'eHealth (eHDSI). Si tratta del primo parere congiunto del Comitato e del GEPD adottato in risposta a una richiesta della Commissione europea ai sensi dell'articolo 42, paragrafo 2, del regolamento 2018/1725 sulla protezione dei dati per le istituzioni e gli organi dell'UE. Nel loro parere, il Comitato e il GEPD ritengono che, in questa specifica situazione e rispetto al trattamento concreto dei dati dei pazienti all'interno dell'eHDSI, non sussistano motivi per dissentire dalla valutazione condotta dalla Commissione europea in merito al rispettivo ruolo all'interno dell'eHDSI, ossia quello di responsabile del trattamento. Inoltre, il parere congiunto sottolinea la necessità di garantire che tutti gli obblighi incombenti sulla Commissione in quanto responsabile dello specifico trattamento, come definiti nella legislazione applicabile in materia di protezione dei dati, siano fissati chiaramente nella pertinente legge di attuazione.

Elenco dei trattamenti soggetti a obblighi di valutazione di impatto presentato da Cipro
Il Comitato europeo per la protezione dei dati ha adottato un parere sull'elenco dei trattamenti soggetti all’obbligo di valutazione d'impatto sulla protezione dei dati presentatogli da Cipro. Tali elenchi costituiscono uno strumento importante per l'applicazione coerente del regolamento generale sulla protezione dei dati in tutto il SEE. La valutazione di impatto sulla protezione dei dati è un processo che contribuisce a individuare e mitigare i rischi per la protezione dei dati che potrebbero ledere i diritti e le libertà delle persone fisiche.

Parere ai sensi dell’Articolo 64 del regolamento generale sulla protezione dei dati sugli elenchi dei trattamenti sottratti all’obbligo di valutazione d’impatto conformemente all‘Articolo 35.5, presentati da FR, SP e CZ
Il Comitato europeo per la protezione dei dati ha adottato il parere sugli elenchi a norma dell'articolo 35.5 presentatigli dalle autorità di controllo francese, spagnola e ceca.

Raccomandazione relativa all'elenco  dei trattamenti soggetti a obblighi di valutazione d’impatto presentato dal GEPD a norma dell'articolo 39.4 del regolamento n. 2018/1725
Il Comitato ha adottato una raccomandazione sull'elenco redatto ai sensi dell’Art. 39, paragrafo 4, del regolamento 2018/1725 trasmessogli dal GEPD. Il GEPD è tenuto a consultare il comitato europeo per la protezione dei dati prima di procedere all'adozione di tali elenchi, nella misura in cui tali elenchi "si riferiscono alle operazioni di trattamento da parte di un responsabile del trattamento che agisce congiuntamente con uno o più titolari del trattamento diversi dalle istituzioni e dagli organi dell'Unione" (articolo 39, paragrafo 6, del regolamento (UE) 2018/1725). Analogamente agli elenchi relativi agli obblighi di valutazione di impatto previsti dal  regolamento generale sulla protezione dei dati, l'elenco del GEPD indica ai titolari quei trattamenti che richiedono una valutazione d'impatto sulla protezione dei dati.

Nota per la stampa:
Si prega di notare che tutti i documenti adottati durante la plenaria del comitato europeo per la protezione dei dati sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del Comitato europeo per la protezione dei dati una volta completati tali controlli .

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Bruxelles, 5 giugno — Il 4 giugno le autorità di protezione dei dati del SEE e il Garante europeo della protezione dei dati, riuniti nel comitato europeo per la protezione dei dati (CEPD), hanno tenuto l'undicesima sessione plenaria. Nel corso della plenaria sono stati discussi numerosi temi.

Linee-guida sui codici di condotta
Il CEPD ha adottato una versione definitiva delle Linee-guida sui codici di condotta. Sono stati inseriti nel testo alcuni chiarimenti successivamente alla consultazione pubblica. Le linee-guida intendono fornire orientamenti pratici e supporto interpretativo in relazione all'applicazione degli articoli 40 e 41 del regolamento generale sulla protezione dei dati contribuendo a chiarire le procedure e le norme relative alla presentazione, all'approvazione e alla pubblicazione dei codici di condotta, a livello sia nazionale che europeo. Le linee-guida dovrebbero inoltre offrire un chiaro quadro di riferimento a tutte le autorità di controllo competenti, al Comitato e alla Commissione per condurre una valutazione coerente dei codici di condotta e uniformare le procedure connesse a tale valutazione.

Allegato alle Linee-guida sull'accreditamento
Il CEPD ha adottato una versione definitiva dell'allegato alle Linee-guida in materia di accreditamento, successivamente alla consultazione pubblica. Il testo è stato rivisto per migliorarne la chiarezza. Le linee-guida mirano a fornire orientamenti sull’interpretazione e l’attuazione delle disposizioni dell'articolo 43 del regolamento generale sulla protezione dei dati. In particolare, esse intendono aiutare gli Stati membri, le autorità di controllo e gli organismi nazionali di accreditamento a definire una base di riferimento coerente e armonizzata per l'accreditamento degli organismi di certificazione che rilasciano certificati ai sensi del regolamento generale sulla protezione dei dati. L'allegato fornisce indicazioni sui requisiti aggiuntivi per l'accreditamento degli organismi di certificazione, requisiti che devono essere stabiliti dalle autorità di controllo. Tali requisiti aggiuntivi, prima di essere adottati dalle autorità di controllo, devono essere sottoposti al Comitato per approvazione a norma dell'articolo 64, paragrafo 1, lettera c). *

Allegato alle Linee-guida sulla certificazione
Il CEPD ha adottato una versione definitiva dell'allegato 2 alle Linee-guida sulla certificazione. Successivamente alla consultazione pubblica, sono stati aggiunti alcuni elementi di valutazione, ad esempio se i criteri di certificazione riguardino l'obbligo del titolare o del responsabile del trattamento di designare un responsabile della protezione dei dati e l'obbligo di tenere registri delle attività di trattamento. L'obiettivo principale delle Linee-guida è identificare criteri generali che possano trovare applicazione rispetto a  tutti i meccanismi di certificazione a norma dell'articolo 42 e dell'articolo 43 del regolamento generale sulla protezione dei dati. L'allegato individua le tematiche che le autorità di controllo e il comitato europeo per la protezione dei dati prenderanno in esame ai fini dell'approvazione di criteri di certificazione riferiti a un meccanismo di certificazione. L'elenco non è esaustivo, costituendo semmai l’ambito minimo da prendere in esame. *

Nota per la stampa:
*  Il Comitato intende adesso elaborare una procedura volta ad agevolare l'elaborazione di pareri coerenti e tempestivi sui progetti di decisione sottopostigli dalle autorità di controllo nazionali e ad approvare sigilli europei per la protezione dei dati, preliminarmente all’esame di casi specifici in materia di certificazione e accreditamento da parte del Comitato stesso.

Si prega di notare che tutti i documenti adottati durante la plenaria del CEPD sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del CEPD una volta che questi siano stati completati

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Bruxelles, 15 maggio — Il 14 e il 15 maggio, le autorità di protezione dei dati del SEE e il Garante europeo della protezione dei dati, riunite nel comitato europeo per la protezione dei dati, si sono incontrate per la decima sessione plenaria. Nel corso della plenaria sono stati discussi numerosi temi.
 
Elezione di un nuovo vicepresidente

I membri del Comitato hanno eletto Aleid Wolfsen, presidente dell'autorità di controllo dei Paesi Bassi, nuovo vice presidente, in sostituzione di Willem Debeuckelaere, che la presidente del CEPD Andrea Jelinek ha ringraziato per il lavoro svolto. Insieme al vice presidente Ventsislav Karadjov, Aleid Wolfsen sosterrà la presidenza del Comitato nelle attività cui  quest’ultimo sarà chiamato nei prossimi anni. La presidente Jelinek ha aggiunto: "L'interesse pubblico per la protezione dei dati è ai massimi storici. Con Aleid e Ventsislav lavorerò fin da subito puntando al coinvolgimento  di tutte le parti interessate alle tematiche di protezione dei dati."

Aleid Wolfsen ha poi aggiunto: "Nei prossimi anni il Comitato è chiamato a fornire orientamenti e indicazioni autorevoli. Mi farò carico, in quanto vicepresidente, di ascoltare tutti coloro che hanno qualcosa da dire per arrivare poi a una posizione unitaria."

Risposta a Sophie In't Veld sul tema « veicoli connessi »

Il Comitato ha adottato una lettera in risposta alla nota del 17 aprile 2019 inviata dall'on. Sophie In't Veld,  relativa alla condivisione dei dati personali dei conducenti di automobili con il produttore del veicolo e con terzi, senza il consenso esplicito, specifico e informato del conducente e senza un'adeguata base giuridica. Nella sua risposta, il Comitato sottolinea che i membri del Comitato e i loro colleghi internazionali hanno adottato nel 2017 una risoluzione attraverso la Conferenza internazionale delle autorità di protezione dati (ICDPPC) sulla protezione dei dati nei veicoli automatizzati e nei veicoli connessi, e che il WP29 ha adottato un parere (3/2017) sul trattamento dei dati personali nel contesto dei sistemi cooperativi di trasporto intelligente (C-ITS). La tematica  sarà trattata anche in base al programma di lavoro del comitato per il periodo 2019-2020.  

Terza revisione annuale dello  »Scudo per la privacy » (Privacy Shield)

Il Comitato ha designato i propri rappresentanti per la terza revisione annuale dello Scudo per la privacy : si tratta delle autorità di controllo di Austria, Bulgaria, Francia, Germania e Ungheria e del GEPD.

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Comitato europeo per la protezione dei dati — Nona sessione plenaria: Linee guida sul trattamento dei dati personali nell'ambito dei servizi della società dell'informazione

 

Bruxelles, 10 aprile — Il 9 e 10 aprile, le autorità di protezione dei dati del SEE e il garante europeo della protezione dei dati, riuniti nel comitato europeo per la protezione dei dati, si sono riuniti per la nona sessione plenaria.
 
Durante la seduta plenaria, il comitato europeo per la protezione dei dati ha adottato linee-guida  sulla portata e sull'applicazione dell'articolo 6, paragrafo 1, lettera b), del regolamento generale sulla protezione dei dati nel contesto dei servizi della società dell'informazione. Nelle linee-guida il Comitato formula osservazioni generali in merito ai principi di protezione dei dati e all'interazione fra l'articolo 6, paragrafo 1, lettera b) e altre basi giuridiche.  Inoltre,  le linee-guida  contengono indicazioni  sull'applicabilità dell'articolo 6, paragrafo 1, lettera b), in caso di aggregazione di servizi distinti e risoluzione del contratto.

Nota per la stampa:

 

Si prega di notare che tutti i documenti adottati durante la plenaria del CEPD sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del CEPD una volta che questi siano stati completati.

* Articolo 6, paragrafo 1, lettera b)
"1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
...
(b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all’esecuzione di  misure precontrattuali adottate su richiesta dello stesso; "
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Bruxelles, 13 marzo — Il 12 e 13 marzo, le autorità di protezione dei dati del SEE (Spazio Economico Europeo) e il garante europeo della protezione dei dati, riuniti nel Comitato europeo per la protezione dei dati (EDPB-CEPD), si sono incontrati per l'ottava sessione plenaria. Nel corso della sessione plenaria sono stati discussi numerosi temi.

Interazione tra la direttiva ePrivacy e il Regolamento generale sulla protezione dei dati
Il Comitato europeo per la protezione dei dati ha adottato il parere sull'interazione tra la direttiva ePrivacy e il Regolamento generale sulla protezione dei dati (GDPR-RGPD). Il parere intende rispondere al quesito relativo all’eventuale limitazione di  competenze, compiti e poteri delle autorità per la protezione dei dati ai sensi del RGPD ove un  trattamento di dati personali ricada nell’ambito di applicazione materiale sia del GDPR sia della direttiva ePrivacy. È opinione del CEPD che le autorità per la protezione dei dati siano competenti per l'applicazione del GDPR. Il fatto che una parte del trattamento rientri nel campo di applicazione della direttiva ePrivacy non limita, di per sé, la competenza delle autorità per la protezione dei dati ai sensi del GDPR.

Una violazione del GDPR può configurare al tempo stesso una violazione delle norme nazionali in materia di ePrivacy. Le autorità di protezione dati potranno tenerne conto nell'applicare il GDPR (ad esempio nel valutare il rispetto dei principi di liceità o di correttezza).

Dichiarazione sul futuro Regolamento ePrivacy
Il Comitato europeo per la protezione dei dati ha adottato una dichiarazione in cui invita i legislatori dell'UE a intensificare gli sforzi per l'adozione del Regolamento ePrivacy, che è essenziale per completare il quadro dell'UE in materia di protezione dei dati e riservatezza delle comunicazioni elettroniche.

Il futuro Regolamento ePrivacy non dovrebbe in alcun caso ridurre il livello di tutela offerto dall'attuale direttiva ePrivacy e dovrebbe integrare il GDPR fornendo ulteriori e robuste garanzie per tutti i tipi di comunicazioni elettroniche.

Elenchi di trattamenti soggetti all’obbligo di valutazione d'impatto sulla protezione dei dati
Il Comitato europeo per la protezione dei dati ha adottato due pareri relativi agli elenchi di trattamenti soggetti all’obbligo di valutazione d'impatto sulla protezione dei dati (DPIA) sottopostigli da Spagna e Islanda. Tali elenchi costituiscono uno strumento importante per l'applicazione coerente del GDPR in tutto il SEE. La valutazione d'impatto sulla protezione dei dati è un processo volto a individuare e attenuare i rischi per la protezione dei dati che potrebbero ledere i diritti e le libertà delle persone. In via generale spetta al titolare del trattamento stabilire se una valutazione d’impatto sulla protezione dei dati sia necessaria prima di avviare l’attività di trattamento, tuttavia le autorità di controllo nazionali devono definire ed elencare le tipologie di trattamenti soggetti all'obbligo di una valutazione d'impatto sulla protezione dei dati. Questi due pareri seguono i 28 pareri adottati durante le precedenti riunioni plenarie e contribuiranno ulteriormente a stabilire criteri comuni per gli elenchi DPIA in tutto il SEE.

Dichiarazione sull'uso dei dati personali nel corso di campagne politiche
Alla luce delle imminenti elezioni europee e di altre elezioni previste in tutta l'Ue e al di fuori dell’Ue durante il 2019, il Comitato europeo per la protezione dei dati ha adottato una dichiarazione sull'uso dei dati personali durante le campagne elettorali. Le tecniche di elaborazione dei dati a fini politici possono comportare gravi rischi, non solo per quanto riguarda il diritto alla privacy e alla protezione dei dati, ma anche per l'integrità del processo democratico. Nella dichiarazione, il Comitato europeo per la protezione dei dati evidenzia una serie di elementi essenziali che devono essere presi in considerazione quando i partiti politici trattano dati personali nel corso delle attività elettorali.

Nota per la stampa:

Si prega di notare che tutti i documenti adottati durante la plenaria del CEPD sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del CEPD una volta che questi siano stati completati.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Bruxelles, 13 febbraio — Il 12 febbraio le autorità di protezione dei dati del SEE e il Garante europeo della protezione dei dati, riuniti nel Comitato europeo per la protezione dei dati (CEPD), si sono incontrati per la settima sessione plenaria. Nel corso della sessione plenaria sono stati discussi numerosi temi.

Programma di lavoro 2019-2020
Il Comitato ha adottato il programma di lavoro biennale per il periodo 2019-2020, ai sensi dell'articolo 29 del suo regolamento interno. Il programma di lavoro del CEPD si basa sulle esigenze individuate dai membri come prioritarie per le persone e le parti interessate, nonché sulle attività legislative previste a livello dell'UE.

Progetto di accordo amministrativo in materia di vigilanza dei mercati finanziari
Il comitato europeo per la protezione dei dati ha adottato il suo primo parere su un accordo amministrativo (AA), basato sull'articolo 46, paragrafo 3, lettera b), del regolamento generale sulla protezione dei dati, per i trasferimenti di dati personali tra autorità di vigilanza finanziaria del SEE, tra cui l'Autorità europea degli strumenti finanziari e dei mercati (ESMA) e le loro controparti extra-UE. Tale accordo sarà presentato alle competenti autorità di controllo per ricevere la prescritta autorizzazione a livello nazionale. Le competenti autorità di controllo monitoreranno l'accordo e la sua applicazione pratica per garantire che vi siano concretamente diritti effettivi e azionabili dagli interessati e idonei strumenti di ricorso e vigilanza.

Brexit
Il comitato europeo per la protezione dei dati ha adottato una nota informativa destinata alle aziende e alle autorità pubbliche sui trasferimenti di dati a norma del regolamento generale sulla protezione dei dati in caso di Brexit senza accordo con l’Ue.

Flussi di dati dal SEE verso il Regno Unito
In assenza di un accordo tra l'UE e il Regno Unito (“no-deal Brexit”), il Regno Unito diventerà un paese terzo dalle ore 00.00 CET del 30 marzo 2019. Di conseguenza, il trasferimento di dati personali dal SEE verso il Regno Unito dovrà basarsi su uno dei seguenti strumenti: Clausole-tipo di protezione dei dati o clausole di protezione dei dati ad hoc, norme vincolanti d'impresa, codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche. In assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono utilizzare alcune deroghe a determinate condizioni.

Flussi di dati dal Regno Unito al SEE
Per quanto riguarda i trasferimenti di dati dal Regno Unito al SEE, secondo il governo britannico l’attuale situazione, che prevede la libera circolazione dei dati personali dal Regno Unito al SEE, continuerà  anche in caso di Brexit senza accordo con l’ UE.
    
Linee-guida sui codici di condotta
 Il comitato europeo per la protezione dei dati ha adottato linee-guida in materia di codici di condotta. Le linee-guida mirano a fornire orientamenti pratici e supporto interpretativo rispetto   all'applicazione degli articoli 40 e 41 del regolamento generale sulla protezione dei dati. Esse  intendono contribuire a chiarire le procedure e le norme relative alla presentazione, all'approvazione e alla pubblicazione dei codici di condotta a livello sia nazionale che europeo; inoltre,  dovrebbero offrire un chiaro quadro di riferimento per tutte le autorità di controllo, il Comitato e la Commissione nel valutare i codici di condotta in modo coerente snellendo le relative procedure. Le linee-guida saranno oggetto di una consultazione pubblica.

Nota per la stampa:

Si prega di notare che tutti i documenti adottati durante la plenaria del CEPD sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del CEPD una volta che questi siano stati completati.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Bruxelles, 24 gennaio — Il 22 gennaio e il 23 gennaio le autorità europee per la protezione dei dati, riunite nel Comitato europeo per la protezione dei dati, si sono incontrate per la sesta sessione plenaria. Nel corso della sessione plenaria sono stati discussi numerosi temi.

Scudo per la privacy
 Il Comitato ha adottato la relazione sulla seconda revisione annuale dello Scudo UE-USA per la privacy. Il Comitato accoglie con favore gli sforzi compiuti dalle autorità statunitensi e dalla Commissione per attuare lo Scudo per la privacy, in particolare le azioni intraprese al fine di adeguare il processo di certificazione iniziale, l’avvio  di attività di controllo e attuazione  d’ufficio, nonché gli sforzi volti a pubblicare una serie di documenti importanti, in parte declassificati (come le decisioni del tribunale FISA), la nomina di un nuovo presidente nonché di tre nuovi membri del Privacy and Civil Liberties Oversight Board (Comitato per la tutela della vita privata e delle libertà civili, PCLOB) e la nomina recentemente annunciata di un Ombudsperson (mediatore) permanente.

Alla luce dei risultati della seconda revisione congiunta, permangono le seguenti preoccupazioni circa l’attuazione dello Scudo per la privacy. Si tratta di preoccupazioni già espresse dal WP29, il predecessore del Comitato europeo per la protezione dei dati, relativamente alla mancanza di garanzie concrete quanto all’esclusione di forme di raccolta e accesso indiscriminati ai dati personali per scopi di sicurezza nazionale. Inoltre, sulla base delle informazioni finora fornite, il Comitato non può attualmente ritenere che il mediatore (Ombudsperson) sia dotato di poteri sufficienti per porre rimedio alle non conformità. Inoltre, il Comitato fa notare che i controlli relativi al rispetto sostanziale dei principi dello Scudo per la privacy non sono sufficientemente forti.

Il Comitato nutre alcune preoccupazioni supplementari per quanto riguarda i controlli necessari a rispettare le prescrizioni in materia di trasferimenti ulteriori, la portata della nozione di dati relativi alle risorse umane e la procedura di rinnovo della certificazione, nonché con riguardo a un elenco di questioni sollevate dopo la prima revisione congiunta e tuttora irrisolte.

Brexit
Il Comitato ha esaminato le possibili conseguenze della Brexit nel settore della protezione dei dati. I membri hanno convenuto di cooperare e di scambiarsi informazioni sulle misure in preparazione e sugli strumenti disponibili per il trasferimento dei dati verso il Regno Unito, una volta che quest’ultimo non sarà più membro dell’UE.

FAQ sulle sperimentazioni cliniche
In seguito a una richiesta della Commissione europea (DG SANTE), il Comitato ha adottato il proprio parere in merito alle FAQ sulle  sperimentazioni cliniche. Il parere esamina in particolare gli aspetti relativi alle basi giuridiche adeguate nel contesto delle sperimentazioni cliniche e gli usi secondari dei dati della sperimentazione clinica a fini scientifici. Il parere sarà ora trasmesso alla Commissione europea.  

Elenchi DPIA
Il Comitato ha adottato i previsti pareri in merito agli elenchi dei trattamenti soggetti obbligatoriamente a valutazione d’impatto sulla protezione dei dati (DPIA), presentati al Comitato dal Liechtenstein e dalla Norvegia. Tali elenchi costituiscono uno strumento importante per l’applicazione coerente del regolamento generale sulla protezione dei dati in tutto il SEE. La valutazione d’impatto sulla protezione dei dati è un processo volto a individuare e attenuare i rischi per la protezione dei dati che potrebbero ledere i diritti e le libertà delle persone. In via generale spetta al titolare del trattamento stabilire se una valutazione d’impatto sulla protezione dei dati sia necessaria prima di avviare l’attività di trattamento, tuttavia le autorità di controllo nazionali devono definire ed elencare le tipologie di trattamenti soggetti all’obbligo di una valutazione d’impatto sulla protezione dei dati. Questi due pareri sono stati preceduti dai 22 pareri adottati durante la sessione plenaria di settembre, e dai quattro pareri adottati nel corso della sessione plenaria di dicembre e contribuiranno ulteriormente a stabilire criteri comuni per gli elenchi DPIA in tutto il SEE.

Orientamenti sulla certificazione
 Il Comitato ha adottato la versione definitiva degli orientamenti relativi alla certificazione all’esito della consultazione pubblica. Inoltre, il comitato ha anche adottato un nuovo allegato. Una bozza degli orientamenti era stata adottata durante la prima plenaria del Comitato in maggio. L’obiettivo principale dei presenti orientamenti è identificare i criteri generali che possono applicarsi a tutti i tipi di meccanismi di certificazione emessi a norma dell’articolo 42 e dell’articolo 43 del regolamento generale sulla protezione dei dati. In quanto tali, gli orientamenti esaminano la logica alla base della certificazione come strumento di responsabilizzazione, illustrano i concetti chiave delle disposizioni in materia di certificazione di cui agli articoli 42 e 43, spiegano la portata delle attività di certificazione e ne definiscono lo scopo. Gli orientamenti aiuteranno gli Stati membri, le autorità di controllo e gli organismi nazionali di accreditamento nell’esame e nell’approvazione di criteri di certificazione a norma dell’articolo 42 e dell’articolo 43 del regolamento generale sulla protezione dei dati. L’allegato sarà oggetto di una consultazione pubblica.

Risposta all’Autorità di vigilanza australiana in materia di notifica delle violazioni dei dati personali
Nel mese di ottobre 2018 la presidente del comitato ha ricevuto una richiesta scritta dell’Ufficio dell’Australian Information Commissioner in merito alla pubblicazione delle notifiche di violazione dei dati da parte delle autorità di controllo. Il Comitato accoglie con favore l’interesse manifestato dall’autorità australiana a  cooperare sulla questione con il Comitato  stesso  e sottolinea l’importanza della collaborazione internazionale. Nella sua risposta, il Comitato fornisce ulteriori informazioni in merito alla possibilità per  le autorità di controllo di gestire la pubblicazione di informazioni relative alle notifiche di violazioni dei dati, e alle relative modalità.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary