Comitato europeo per la protezione dei dati

EDPB News

2019

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

Bruxelles, 13 marzo — Il 12 e 13 marzo, le autorità di protezione dei dati del SEE (Spazio Economico Europeo) e il garante europeo della protezione dei dati, riuniti nel Comitato europeo per la protezione dei dati (EDPB-CEPD), si sono incontrati per l'ottava sessione plenaria. Nel corso della sessione plenaria sono stati discussi numerosi temi.

Interazione tra la direttiva ePrivacy e il Regolamento generale sulla protezione dei dati
Il Comitato europeo per la protezione dei dati ha adottato il parere sull'interazione tra la direttiva ePrivacy e il Regolamento generale sulla protezione dei dati (GDPR-RGPD). Il parere intende rispondere al quesito relativo all’eventuale limitazione di  competenze, compiti e poteri delle autorità per la protezione dei dati ai sensi del RGPD ove un  trattamento di dati personali ricada nell’ambito di applicazione materiale sia del GDPR sia della direttiva ePrivacy. È opinione del CEPD che le autorità per la protezione dei dati siano competenti per l'applicazione del GDPR. Il fatto che una parte del trattamento rientri nel campo di applicazione della direttiva ePrivacy non limita, di per sé, la competenza delle autorità per la protezione dei dati ai sensi del GDPR.

Una violazione del GDPR può configurare al tempo stesso una violazione delle norme nazionali in materia di ePrivacy. Le autorità di protezione dati potranno tenerne conto nell'applicare il GDPR (ad esempio nel valutare il rispetto dei principi di liceità o di correttezza).

Dichiarazione sul futuro Regolamento ePrivacy
Il Comitato europeo per la protezione dei dati ha adottato una dichiarazione in cui invita i legislatori dell'UE a intensificare gli sforzi per l'adozione del Regolamento ePrivacy, che è essenziale per completare il quadro dell'UE in materia di protezione dei dati e riservatezza delle comunicazioni elettroniche.

Il futuro Regolamento ePrivacy non dovrebbe in alcun caso ridurre il livello di tutela offerto dall'attuale direttiva ePrivacy e dovrebbe integrare il GDPR fornendo ulteriori e robuste garanzie per tutti i tipi di comunicazioni elettroniche.

Elenchi di trattamenti soggetti all’obbligo di valutazione d'impatto sulla protezione dei dati
Il Comitato europeo per la protezione dei dati ha adottato due pareri relativi agli elenchi di trattamenti soggetti all’obbligo di valutazione d'impatto sulla protezione dei dati (DPIA) sottopostigli da Spagna e Islanda. Tali elenchi costituiscono uno strumento importante per l'applicazione coerente del GDPR in tutto il SEE. La valutazione d'impatto sulla protezione dei dati è un processo volto a individuare e attenuare i rischi per la protezione dei dati che potrebbero ledere i diritti e le libertà delle persone. In via generale spetta al titolare del trattamento stabilire se una valutazione d’impatto sulla protezione dei dati sia necessaria prima di avviare l’attività di trattamento, tuttavia le autorità di controllo nazionali devono definire ed elencare le tipologie di trattamenti soggetti all'obbligo di una valutazione d'impatto sulla protezione dei dati. Questi due pareri seguono i 28 pareri adottati durante le precedenti riunioni plenarie e contribuiranno ulteriormente a stabilire criteri comuni per gli elenchi DPIA in tutto il SEE.

Dichiarazione sull'uso dei dati personali nel corso di campagne politiche
Alla luce delle imminenti elezioni europee e di altre elezioni previste in tutta l'Ue e al di fuori dell’Ue durante il 2019, il Comitato europeo per la protezione dei dati ha adottato una dichiarazione sull'uso dei dati personali durante le campagne elettorali. Le tecniche di elaborazione dei dati a fini politici possono comportare gravi rischi, non solo per quanto riguarda il diritto alla privacy e alla protezione dei dati, ma anche per l'integrità del processo democratico. Nella dichiarazione, il Comitato europeo per la protezione dei dati evidenzia una serie di elementi essenziali che devono essere presi in considerazione quando i partiti politici trattano dati personali nel corso delle attività elettorali.

Nota per la stampa:

Si prega di notare che tutti i documenti adottati durante la plenaria del CEPD sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del CEPD una volta che questi siano stati completati.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Bruxelles, 13 febbraio — Il 12 febbraio le autorità di protezione dei dati del SEE e il Garante europeo della protezione dei dati, riuniti nel Comitato europeo per la protezione dei dati (CEPD), si sono incontrati per la settima sessione plenaria. Nel corso della sessione plenaria sono stati discussi numerosi temi.

Programma di lavoro 2019-2020
Il Comitato ha adottato il programma di lavoro biennale per il periodo 2019-2020, ai sensi dell'articolo 29 del suo regolamento interno. Il programma di lavoro del CEPD si basa sulle esigenze individuate dai membri come prioritarie per le persone e le parti interessate, nonché sulle attività legislative previste a livello dell'UE.

Progetto di accordo amministrativo in materia di vigilanza dei mercati finanziari
Il comitato europeo per la protezione dei dati ha adottato il suo primo parere su un accordo amministrativo (AA), basato sull'articolo 46, paragrafo 3, lettera b), del regolamento generale sulla protezione dei dati, per i trasferimenti di dati personali tra autorità di vigilanza finanziaria del SEE, tra cui l'Autorità europea degli strumenti finanziari e dei mercati (ESMA) e le loro controparti extra-UE. Tale accordo sarà presentato alle competenti autorità di controllo per ricevere la prescritta autorizzazione a livello nazionale. Le competenti autorità di controllo monitoreranno l'accordo e la sua applicazione pratica per garantire che vi siano concretamente diritti effettivi e azionabili dagli interessati e idonei strumenti di ricorso e vigilanza.

Brexit
Il comitato europeo per la protezione dei dati ha adottato una nota informativa destinata alle aziende e alle autorità pubbliche sui trasferimenti di dati a norma del regolamento generale sulla protezione dei dati in caso di Brexit senza accordo con l’Ue.

Flussi di dati dal SEE verso il Regno Unito
In assenza di un accordo tra l'UE e il Regno Unito (“no-deal Brexit”), il Regno Unito diventerà un paese terzo dalle ore 00.00 CET del 30 marzo 2019. Di conseguenza, il trasferimento di dati personali dal SEE verso il Regno Unito dovrà basarsi su uno dei seguenti strumenti: Clausole-tipo di protezione dei dati o clausole di protezione dei dati ad hoc, norme vincolanti d'impresa, codici di condotta e meccanismi di certificazione e strumenti specifici di trasferimento a disposizione delle autorità pubbliche. In assenza di clausole-tipo di protezione dei dati o di altre garanzie adeguate, si possono utilizzare alcune deroghe a determinate condizioni.

Flussi di dati dal Regno Unito al SEE
Per quanto riguarda i trasferimenti di dati dal Regno Unito al SEE, secondo il governo britannico l’attuale situazione, che prevede la libera circolazione dei dati personali dal Regno Unito al SEE, continuerà  anche in caso di Brexit senza accordo con l’ UE.
    
Linee-guida sui codici di condotta
 Il comitato europeo per la protezione dei dati ha adottato linee-guida in materia di codici di condotta. Le linee-guida mirano a fornire orientamenti pratici e supporto interpretativo rispetto   all'applicazione degli articoli 40 e 41 del regolamento generale sulla protezione dei dati. Esse  intendono contribuire a chiarire le procedure e le norme relative alla presentazione, all'approvazione e alla pubblicazione dei codici di condotta a livello sia nazionale che europeo; inoltre,  dovrebbero offrire un chiaro quadro di riferimento per tutte le autorità di controllo, il Comitato e la Commissione nel valutare i codici di condotta in modo coerente snellendo le relative procedure. Le linee-guida saranno oggetto di una consultazione pubblica.

Nota per la stampa:

Si prega di notare che tutti i documenti adottati durante la plenaria del CEPD sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web del CEPD una volta che questi siano stati completati.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Bruxelles, 24 gennaio — Il 22 gennaio e il 23 gennaio le autorità europee per la protezione dei dati, riunite nel Comitato europeo per la protezione dei dati, si sono incontrate per la sesta sessione plenaria. Nel corso della sessione plenaria sono stati discussi numerosi temi.

Scudo per la privacy
 Il Comitato ha adottato la relazione sulla seconda revisione annuale dello Scudo UE-USA per la privacy. Il Comitato accoglie con favore gli sforzi compiuti dalle autorità statunitensi e dalla Commissione per attuare lo Scudo per la privacy, in particolare le azioni intraprese al fine di adeguare il processo di certificazione iniziale, l’avvio  di attività di controllo e attuazione  d’ufficio, nonché gli sforzi volti a pubblicare una serie di documenti importanti, in parte declassificati (come le decisioni del tribunale FISA), la nomina di un nuovo presidente nonché di tre nuovi membri del Privacy and Civil Liberties Oversight Board (Comitato per la tutela della vita privata e delle libertà civili, PCLOB) e la nomina recentemente annunciata di un Ombudsperson (mediatore) permanente.

Alla luce dei risultati della seconda revisione congiunta, permangono le seguenti preoccupazioni circa l’attuazione dello Scudo per la privacy. Si tratta di preoccupazioni già espresse dal WP29, il predecessore del Comitato europeo per la protezione dei dati, relativamente alla mancanza di garanzie concrete quanto all’esclusione di forme di raccolta e accesso indiscriminati ai dati personali per scopi di sicurezza nazionale. Inoltre, sulla base delle informazioni finora fornite, il Comitato non può attualmente ritenere che il mediatore (Ombudsperson) sia dotato di poteri sufficienti per porre rimedio alle non conformità. Inoltre, il Comitato fa notare che i controlli relativi al rispetto sostanziale dei principi dello Scudo per la privacy non sono sufficientemente forti.

Il Comitato nutre alcune preoccupazioni supplementari per quanto riguarda i controlli necessari a rispettare le prescrizioni in materia di trasferimenti ulteriori, la portata della nozione di dati relativi alle risorse umane e la procedura di rinnovo della certificazione, nonché con riguardo a un elenco di questioni sollevate dopo la prima revisione congiunta e tuttora irrisolte.

Brexit
Il Comitato ha esaminato le possibili conseguenze della Brexit nel settore della protezione dei dati. I membri hanno convenuto di cooperare e di scambiarsi informazioni sulle misure in preparazione e sugli strumenti disponibili per il trasferimento dei dati verso il Regno Unito, una volta che quest’ultimo non sarà più membro dell’UE.

FAQ sulle sperimentazioni cliniche
In seguito a una richiesta della Commissione europea (DG SANTE), il Comitato ha adottato il proprio parere in merito alle FAQ sulle  sperimentazioni cliniche. Il parere esamina in particolare gli aspetti relativi alle basi giuridiche adeguate nel contesto delle sperimentazioni cliniche e gli usi secondari dei dati della sperimentazione clinica a fini scientifici. Il parere sarà ora trasmesso alla Commissione europea.  

Elenchi DPIA
Il Comitato ha adottato i previsti pareri in merito agli elenchi dei trattamenti soggetti obbligatoriamente a valutazione d’impatto sulla protezione dei dati (DPIA), presentati al Comitato dal Liechtenstein e dalla Norvegia. Tali elenchi costituiscono uno strumento importante per l’applicazione coerente del regolamento generale sulla protezione dei dati in tutto il SEE. La valutazione d’impatto sulla protezione dei dati è un processo volto a individuare e attenuare i rischi per la protezione dei dati che potrebbero ledere i diritti e le libertà delle persone. In via generale spetta al titolare del trattamento stabilire se una valutazione d’impatto sulla protezione dei dati sia necessaria prima di avviare l’attività di trattamento, tuttavia le autorità di controllo nazionali devono definire ed elencare le tipologie di trattamenti soggetti all’obbligo di una valutazione d’impatto sulla protezione dei dati. Questi due pareri sono stati preceduti dai 22 pareri adottati durante la sessione plenaria di settembre, e dai quattro pareri adottati nel corso della sessione plenaria di dicembre e contribuiranno ulteriormente a stabilire criteri comuni per gli elenchi DPIA in tutto il SEE.

Orientamenti sulla certificazione
 Il Comitato ha adottato la versione definitiva degli orientamenti relativi alla certificazione all’esito della consultazione pubblica. Inoltre, il comitato ha anche adottato un nuovo allegato. Una bozza degli orientamenti era stata adottata durante la prima plenaria del Comitato in maggio. L’obiettivo principale dei presenti orientamenti è identificare i criteri generali che possono applicarsi a tutti i tipi di meccanismi di certificazione emessi a norma dell’articolo 42 e dell’articolo 43 del regolamento generale sulla protezione dei dati. In quanto tali, gli orientamenti esaminano la logica alla base della certificazione come strumento di responsabilizzazione, illustrano i concetti chiave delle disposizioni in materia di certificazione di cui agli articoli 42 e 43, spiegano la portata delle attività di certificazione e ne definiscono lo scopo. Gli orientamenti aiuteranno gli Stati membri, le autorità di controllo e gli organismi nazionali di accreditamento nell’esame e nell’approvazione di criteri di certificazione a norma dell’articolo 42 e dell’articolo 43 del regolamento generale sulla protezione dei dati. L’allegato sarà oggetto di una consultazione pubblica.

Risposta all’Autorità di vigilanza australiana in materia di notifica delle violazioni dei dati personali
Nel mese di ottobre 2018 la presidente del comitato ha ricevuto una richiesta scritta dell’Ufficio dell’Australian Information Commissioner in merito alla pubblicazione delle notifiche di violazione dei dati da parte delle autorità di controllo. Il Comitato accoglie con favore l’interesse manifestato dall’autorità australiana a  cooperare sulla questione con il Comitato  stesso  e sottolinea l’importanza della collaborazione internazionale. Nella sua risposta, il Comitato fornisce ulteriori informazioni in merito alla possibilità per  le autorità di controllo di gestire la pubblicazione di informazioni relative alle notifiche di violazioni dei dati, e alle relative modalità.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary