Comitato europeo per la protezione dei dati

EDPB News

Generic press release icon
05 December 2018

Brussels, 5 December - On December 4th and 5th, the European Data Protection Authorities, assembled in the European Data Protection Board, met for their fifth plenary session. During the plenary a wide range of topics were discussed.
 
EU-Japan draft adequacy decision
The Board Members adopted an opinion on the EU-Japan draft adequacy decision, which the Board received from the European Commission in September 2018. The EDPB made its assessment on the basis of the documentation made available by the European Commission. The EDPB’s key objective was to assess whether the Commission has ensured sufficient guarantees are in place for an adequate level of data protection for individuals in the Japanese framework. It is important to recognise that the EDPB does not expect the Japanese legal framework to replicate European data protection law. The EDPB welcomes the efforts made by the European Commission and the Japanese PPC to increase convergence between the Japanese legal framework and the European one. The improvements brought in by the Supplementary Rules to bridge some of the differences between the two frameworks are very important and well received. However, following a careful analysis of the Commission’s draft adequacy decision as well as of the Japanese data protection framework, the EDPB notices that a number of concerns remain, such as the protection of personal data, transferred from the EU to Japan, throughout their whole life cycle. The EDPB recommends the European Commission to also address the requests for clarification made by the EDPB, to provide further evidence and explanations regarding the issues raised and to closely monitor the effective application.

The EDPB considers that the EU-Japan adequacy decision is of paramount importance. As the first adequacy decision since the entering into application of the General Data Protection Regulation (GDPR), it will set a precedent.

DPIA lists
The EDPB adopted opinions on the Data Protection Impact Assessment (DPIA) lists, submitted to the Board by Denmark, Croatia, Luxembourg and Slovenia. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These four opinions follow the 22 opinions adopted during the September plenary, and will further contribute to establishing common criteria for DPIA lists across the EEA. The EDPB Chair, Andrea Jelinek said: “This process has been an excellent opportunity for the EDPB to test the possibilities and challenges of consistency in practice. The GDPR does not require full harmonisation or an 'EU list', but requires more consistency, which we have achieved in all of these opinions by agreeing on a common view.”

Guidelines on accreditation
The EDPB has adopted a revised version of the WP29 guidelines on accreditation, including a new annex. The draft guidelines were originally adopted by the WP29 and submitted for public consultation. The EDPB finalised the analysis and reached a conclusion on the final version. The aim of the guidelines is to provide guidance on how to interpret and implement the provisions of Article 43 of the GDPR. In particular, they aim to help Member States, supervisory authorities and national accreditation bodies establish a consistent and harmonised baseline for the accreditation of certification bodies that issue certification in accordance with the GDPR. The guidelines have now been completed by an annex providing guidance on the additional requirements for the accreditation of certification bodies to be established by the supervisory authorities. This annex will be subject to public consultation.

04 December 2018

On December 4 and 5, the European Data Protection Board's fifth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Fifth Plenary

Generic press release image
19 November 2018

Bruxelles, 19 novembre.  Il 16 novembre le autorità europee per la protezione dei dati, riunite in sede di Comitato europeo per la protezione dei dati, si sono incontrate per la quarta sessione plenaria. Nel corso della riunione sono stati affrontati numerosi temi.
 
Il progetto di decisione sull’adeguatezza UE-Giappone.  
I membri del Comitato hanno discusso sullo stato di avanzamento dei lavori intrapresi in merito al progetto di decisione sull’adeguatezza UE-Giappone presentato dalla commissaria Věra Jourová nel settembre 2018. Il Comitato ha ribadito l’importanza di assicurare la continuità e un elevato livello di protezione per i trasferimenti di dati dall’UE.

Orientamenti forniti dal Comitato per le sperimentazioni cliniche - Domande e risposte  sull'interazione tra il regolamento generale sulla protezione dei dati e il regolamento sulle sperimentazioni cliniche.
In seguito a una consultazione realizzata dalla Commissione europea, il Comitato ha deciso di attribuire un mandato per fornire orientamenti su domande e risposte elaborate dalla Commissione sull’interazione tra il regolamento generale sulla protezione dei dati e il regolamento sulle sperimentazioni cliniche.
 
Linee-guida sull’ambito di applicazione territoriale.
Durante la sessione plenaria di settembre il Comitato ha adottato un nuovo progetto di linee-guida, che favorirà un’interpretazione comune dell’ambito di applicazione territoriale del regolamento generale sulla protezione dei dati e fornirà ulteriori chiarimenti sull’applicazione di quest'ultimo in diverse situazioni, in particolare nei casi in cui  il titolare del trattamento, o il responsabile del trattamento, è stabilito al di fuori dell’UE, segnatamente ai fini della designazione di un rappresentante. Poiché gli ultimi controlli giuridici prima della pubblicazione hanno evidenziato la necessità di discutere ulteriormente alcuni punti, il comitato ha deciso di esaminare ancora una volta le linee-guida nel corso della sessione plenaria di novembre.  Le problematiche sono state interamente affrontate e le linee-guida saranno a breve pubblicate in vista di una consultazione pubblica.

16 November 2018

On November 16, the European Data Protection Board's fourth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of fourth plenary

26 September 2018

Comunicato stampa

Comitato europeo per la protezione dei dati – Terza sessione plenaria – Progetto di decisione di adeguatezza UE-Giappone, elenchi DPIA, ambito di applicazione territoriale e prove elettroniche.
Bruxelles, 26 settembre - Il 25 e il 26 settembre 2018, le autorità europee per la protezione dei dati, riunite nel Comitato europeo per la protezione dei dati, si sono incontrate per la loro terza sessione plenaria. Durante la plenaria sono stati discussi una vasta gamma di argomenti.

Decisione di adeguatezza UE-Giappone
I membri del Comitato hanno discusso il progetto di decisione di adeguatezza UE-Giappone ricevuto dal Commissario Věra Jourová, ed è stato chiesto loro di esprimere un parere in merito. Il Comitato esaminerà in modo approfondito il progetto di decisione, con l'intenzione di tenere conto del forte impatto di tale decisione così come della necessità di proteggere i dati personali nell'UE.

Elenchi per le DPIA (valutazioni di impatto sulla protezione dei dati)
Il Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB) ha adottato di comune accordo i 22 pareri che stabiliscono criteri condivisi per gli elenchi relativi alla valutazione d'impatto sulla protezione dei dati (Data Protection Impact Assessment - DPIA). Tali elenchi costituiscono uno strumento importante per l'applicazione coerente del RGPD (Regolamento generale sulla protezione dei dati) in tutta l'UE. La DPIA è un processo finalizzato a individuare e ad attenuare i rischi per la protezione dei dati che potrebbero incidere sui diritti e sulle libertà delle persone. Per aiutare a chiarire quali tipologie di trattamento potrebbero rendere necessaria una DPIA, il RGPD chiede alle autorità nazionali di controllo di stilare e pubblicare elenchi delle tipologie di operazioni che potrebbero comportare un rischio elevato. L'EDPB ha ricevuto 22 elenchi nazionali con un totale di 260 diversi tipi di trattamento. La Presidente del Comitato, Andrea Jelinek, ha dichiarato: "Esaminare tutti gli elenchi e stabilire criteri comuni per decidere se occorra o meno una DPIA è stato un compito enorme per i membri del Comitato e per il suo segretariato. È stata un'ottima opportunità, per l'EDPB, per testare le possibilità e le sfide poste in concreto dagli obblighi di coerenza. Il RGPD non richiede un'armonizzazione completa o un "elenco UE", ma richiede indubbiamente una maggiore coerenza, che abbiamo ottenuto con questi 22 pareri concordando una visione comune."
I 22 pareri sugli elenchi DPIA si basano sull'articolo 35, paragrafi 4 e 6, del RGPD, e sono conformi alle linee guida precedentemente definite dal Gruppo di lavoro "Articolo 29".

Linee guida sull'ambito di applicazione territoriale
L'EDPB ha adottato un nuovo progetto di linee guida, che contribuirà a fornire un'interpretazione comune dell'ambito di applicazione territoriale del RGPD e apporterà ulteriori chiarimenti sull'applicazione di tale regolamento in varie situazioni, in particolare nei casi in cui il titolare del trattamento o il responsabile del trattamento siano stabiliti al di fuori dell'UE, anche per quanto riguarda la designazione di un rappresentante. Le linee guida saranno oggetto di una consultazione pubblica.

Prove elettroniche
L'EDPB ha adottato un parere sul nuovo regolamento sulle prove elettroniche proposto dalla Commissione nell'aprile 2018. Il Comitato ha sottolineato che le nuove norme proposte, le quali prevedono la raccolta di prove elettroniche, dovrebbero salvaguardare in misura  sufficiente il diritto alla protezione dei dati delle persone e dovrebbero essere maggiormente  coerenti con la legislazione dell'UE in materia di protezione dei dati.

Plenary generic picture
25 September 2018

On September 25 and 26, the European Data Protection Board's third plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Third Plenary

23 August 2018

 

 

The General Data Protection Regulation five months on

Initiatives in the EU and international perspectives

25 October 2018

Rue de la Loi 170

2:30 pm

Side event by EDPS and EDPB

Registration closed

 

Welcome from Giovanni Buttarelli, European Data Protection Supervisor

Introduction by Andrea Jelinek, Chair European Data Protection Board

 

 

Part 1    Initiatives in the EU - a new quality of cooperation

  • Helen Dixon, Irish Data Protection Commissioner

  • Cristina Angela Gulisano, Director Danish Data Protection Agency

  • Isabelle Vereecken, Head of the EDPB Secretariat

     

  • Questions by moderator to 3 panelists

At 3:15 PM:

  • Keynote: Catherine De Bolle, Executive Director of Europol, The broader framework for EU data protection: a law enforcement perspective – TBC

  • Comments by the audience and questions to EDPB Members

     

    BREAK

     

    At 4:00 PM:

  • Keynote: Koen Lenaerts, President European Court of Justice - Accountability in a digitalized world: the Court’s role in enhancing data protection in the European Union

     

Part 2   International perspectives and cross-border cooperation

  • Bruno Gencarelli, Head of the International Data Flows and Protection Unit, European Commission

  • Professor Masao Horibe, Chairman Personal Information Protection Commission Japan 

  • Professor Danilo Doneda Instituto Brasiliense de Direito Público 

  • Felipe Harboe, Senator of the Republic of Chile

  • Ludmila Georgieva, Co-Chair HWP Cyber Issues, Co-Chair DAPIX (Data Protection), Perm Rep Austria

  • Joan Antokol, Managing partner, Park Legal LLC
  • Florence Raynal, Deputy Director, Head of the Department of European and International Affairs, CNIL

 

 

  • Questions by the moderator to the 5 panelists

  • Comments by the audience and questions to the panel

  • Wrap-up

     

     

Generic image
20 July 2018

Brussels, 19 July – An important innovation of the General Data Protection Regulation (GDPR) is the new way in which the supervisory authorities of the Member States closely cooperate to ensure a consistent application as well as a consistent protection of individuals throughout the EU.

During its second plenary meeting on 4 and 5 July the EDPB discussed the consistency and the cooperation systems, sharing first experiences on the functioning of the One-Stop Shop mechanism, the performance of the Internal Market Information System (IMI), the challenges the authorities are facing and the type of questions received since 25 May. Most data protection authorities reported a substantial increase in complaints received. The first cross-border cases were initiated in IMI on 25 May. Currently, around 100 cross-border cases in IMI are under investigation.

The EDPB Chair Andrea Jelinek said: “Despite the sharp increase in the number of cases in the last month, the Members of the EDPB report that the workload is manageable for the moment, in large part thanks to a thorough preparation in the past two years by the Article 29 Data Protection Working Party. However, we should only expect the first results of the new procedures to deal with cross-border cases in a few months from now. To handle complaints lead supervisory authorities will have to carry out investigations, observe procedural rules, and coordinate and share information with other supervisory authorities. The GDPR sets specific deadlines for each phase of the procedure. All of this takes time. During this time, complainants are entitled to be kept informed on the state of play of a case. The GDPR does not offer a quick fix in case of a complaint but we are confident the procedures detailing the way in which the authorities work together are robust and efficient.”

Generic press release pictures
05 July 2018

Bruxelles, 5 luglio 2018 - Le autorità europee per la protezione dei dati si sono riunite il 4 e 5 luglio in seno al Comitato europeo per la protezione dei dati (“Comitato”) per la seconda riunione plenaria. Durante la riunione sono stati discussi vari temi.
 
Procedure di cooperazione e coerenza - situazione
Il Comitato ha discusso dei meccanismi di coerenza e di cooperazione, con uno scambio di esperienze sul funzionamento del meccanismo dello sportello unico; sul funzionamento del sistema di informazione del mercato interno (IMI), che funge da piattaforma per gli scambi su questioni transfrontaliere; sulle sfide che le autorità devono affrontare; sulle tipologie di quesiti ricevuti dopo il 25 maggio. La maggior parte delle autorità di protezione dei dati ha segnalato un aumento sostanziale dei reclami ricevuti. I primi casi sono stati avviati, nell’ambito dell’IMI, il 25 maggio. Attualmente sono oggetto di accertamenti circa 30 reclami transfrontalieri nell’IMI. La presidente del Comitato, sig.ra Andrea Jelinek, ha dichiarato: “Nonostante il forte aumento del numero di casi nell’ultimo mese, i membri del Comitato riferiscono che per il momento il carico di lavoro è gestibile, in gran parte grazie alla preparazione accurata condotta dal Gruppo di lavoro “Articolo 29” durante gli ultimi due anni. Il regolamento generale sulla protezione dei dati non offre una soluzione rapida in caso di reclamo, ma contiamo sulla robustezza e sull’efficacia delle procedure che disciplinano le modalità di collaborazione tra le autorità nell’ambito del meccanismo di coerenza”.
 
ICANN
Il Comitato, a nome della presidente, ha adottato e inviato all’ICANN (Internet Corporation for Assigned Names and Numbers) una lettera contenente orientamenti per contribuire a sviluppare un modello conforme al regolamento generale sulla protezione dei dati per l’accesso ai dati personali trattati nell’ambito di WHOIS.
Nella lettera sono affrontati i seguenti punti: il principio di specificazione delle finalità, la raccolta di “dati WHOIS integrali”, la registrazione delle persone giuridiche, la registrazione degli accessi ai dati WHOIS non pubblici, la conservazione dei dati, i codici di condotta e l’accreditamento.
Dal 2003 il Gruppo di lavoro “Articolo 29”, predecessore del comitato, fornisce  all’ICANN orientamenti sulle modalità per conformare WHOIS alla normativa europea sulla protezione dei dati.
Il Comitato auspica che l’ICANN sviluppi e attui un modello WHOIS che consenta l’uso legittimo, da parte delle parti interessate come le autorità giudiziarie e di polizia, dei dati personali riguardanti i soggetti che si sono registrati, in conformità con il regolamento generale sulla protezione dei dati, senza che ciò comporti una pubblicazione illimitata di tali dati.
 
Seconda direttiva sui servizi di pagamento (PSD2)
Il Comitato, a nome della presidente, ha adottato e inviato alla sig.ra Sophie in’t Veld una lettera concernente la direttiva riveduta sui servizi di pagamento  (direttiva PSD2), in cui ha fornito ulteriori chiarimenti sui “dati della parte silente” trattati da fornitori terzi, sulle procedure per l’espressione e la revoca del consenso, sulle norme tecniche di regolamentazione, sulla cooperazione tra le banche e la Commissione europea, il GEPD e il Gruppo di lavoro “Articolo 29” e su quanto resta da fare per colmare le rimanenti lacune in materia di protezione dei dati.
 
Scudo per la privacy
L’ambasciatrice Judith Garber, il Mediatore (“Ombudsperson”) statunitense responsabile della gestione dei reclami concernenti la sicurezza nazionale nell’ambito dello “Scudo per la privacy” (Privacy Shield), è stata invitata alla riunione plenaria del Comitato per uno scambio di opinioni con i membri. L’interesse del Comitato si concentrava in modo particolare sulle preoccupazioni espresse agli Stati Uniti dal Gruppo di lavoro “Articolo 29”, il predecessore del Comitato stesso, soprattutto rispetto alla nomina di un mediatore permanente, alle nomine formali dei componenti del Comitato per la tutela della vita privata e delle libertà civili (PCLOB) negli USA, alla mancanza di informazioni supplementari sull’operatività del Mediatore e alla più estesa declassificazione delle norme procedurali, soprattutto quelle sulle modalità di interazione del Mediatore con i servizi di intelligence.
 
Il Comitato ha sottolineato che la riunione con il Mediatore è stata interessante e partecipata, ma non ha fornito una risposta definitiva alle preoccupazioni sopra espresse, e che tali questioni rimarranno tra le voci prioritarie all’ordine del giorno del secondo riesame annuale (previsto per ottobre 2018). Il Comitato ha chiesto alle autorità statunitensi evidenze supplementari per dissipare le  preoccupazioni suddette. Ha inoltre rilevato che queste stesse preoccupazioni saranno affrontate dalla Corte di giustizia dell’Unione europea nell’ambito di procedimenti già pendenti dinanzi ad essa e sui quali, se richiesto della Corte, il Comitato è pronto a fornire il proprio contributo.

Generic image for fintech
05 July 2018

The EDPB adopted a letter on behalf of the EDPB Chair addressed to Sophie in’t Veld MEP regarding the revised Payments Services Directive (PSD2 Directive). In its reply to Sophie in’t Veld the EDPB sheds further light on ‘silent party data’ by Third Party Providers, the procedures with regard to giving and withdrawing consent, the Regulatory Technical Standards, the cooperation between banks and the European Commission, EDPS and WP29 and what remains to be done to close any remaining data protection gaps.

ICANN generic letter image
05 July 2018

The EDPB adopted a letter on behalf of the EDPB Chair addressed to the Internet Corporation for Assigned Names and Numbers (ICANN), providing guidance to enable ICANN to develop a GDPR-compliant model for access to personal data processed in the context of WHOIS.

The letter addresses the issues of purpose specification, collection of “full WHOIS data”, registration of legal persons, logging of access to non-public WHOIS data, data retention and codes of conduct and accreditation.

The EDPB’s predecessor, WP29, has been offering guidance to ICANN on how to bring WHOIS in compliance with European data protection law since 2003.

The EDPB expects ICANN to develop and implement a WHOIS model which will enable legitimate uses by relevant stakeholders, such as law enforcement, of personal data concerning registrants in compliance with the GDPR, without leading to an unlimited publication of those data.

Generic image of plenary
04 July 2018

On 4 and 5 July the second plenary of the European Data Protection Board is taking place in Brussels. Please consult the agenda for more information.

Generic IMI Picture
27 June 2018

It has been just a month ago that the General Data Protection Regulation (GDPR) entered into application, the long awaited revamp of the EU’s data protection rules. Under the GDPR, the supervisory authorities of the Member States closely cooperate to ensure a consistent application of the GDPR throughout the European Union, as well as consistent protection of individuals. They assist each other and coordinate decision-making in these cross-border data protection cases. Via the so-called consistency mechanism the European Data Protection Board issues opinions and takes binding decisions to arbitrate different positions on cross border cases between national data protection authorities.

IMI (Internal Market Information System) was chosen as the IT platform to support cooperation and consistency procedures under the GDPR. IMI helps public authorities across the EU to cooperate and exchange information. The GDPR is the 13th legal area supported by the system.

IMI has been developed by the European Commission’s DG GROW and was adapted to cater for the needs of the GDPR, in close cooperation with the Secretariat of the European Data Protection Board and the national supervisory authorities.

On 25 May, the first case was initiated in IMI, and shortly afterwards the supervisory authorities started to cooperate via the system. Currently, more than 30 cross-border cases are under investigation.

14 IMI modules, 19 forms and more than 10.000 data fields were put in place to address the needs of data protection authorities and the GDPR procedures. 

Generic picture derogation guidelines
30 May 2018

During its first plenary meeting, the EDPB adopted the final version of the Guidelines on derogations applicable to international transfers (art 49). The Article 29 Working Party conducted a public consultation on a draft of these guidelines. The EDPB took into consideration the replies received and integrated the appropriate changes into the adopted version. 

Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679

Generic picture certification guidelines
30 May 2018

During its first plenary meeting, the EDPB adopted a draft version of the Guidelines on certification. A public consultation is available for 6 weeks. If you are interested to contribute, please go to the “Public Consultations” section of our website or click the link bellow:

Public consultation: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation 2016/679

Generic picture
28 May 2018

Nel corso della prima riunione plenaria del 25 maggio, il Comitato europeo per la protezione dei dati ha adottato una dichiarazione sulla revisione del regolamento in materia di privacy nelle comunicazioni elettroniche e sull'impatto che avrà sulla protezione delle persone fisiche per quanto riguarda la tutela della vita privata e la riservatezza delle loro comunicazioni.

La dichiarazione contiene l’invito a una rapida adozione del nuovo regolamento in materia e suggerimenti su alcune questioni specifiche relative alle modifiche proposte dai colegislatori.

Dichiarazione sul progetto di regolamento in materia di privacy nelle comunicazioni elettroniche (e-privacy)

Generic picture Icann
27 May 2018

Il Comitato europeo per la protezione dei dati ha approvato la dichiarazione del gruppo di lavoro "Articolo 29" su ICANN/WHOIS nel corso della prima riunione plenaria del 25 maggio.

Dichiarazione del gruppo di lavoro "Articolo 29" su WHOIS

Il gruppo di lavoro "Articolo 29" riconosce le importanti funzioni svolte dal servizio WHOIS. 

Dal 2003 il gruppo di lavoro "Articolo 29" offre all’ICANN orientamenti su come adeguare WHOIS alla normativa europea sulla protezione dei dati personali (si veda il parere del 2003, consultabile a questo indirizzo). Sembra che un processo teso a garantire la conformità dell’ICANN con il regolamento generale sulla protezione dei dati sia stato formalmente avviato nel corso del 2017, il che potrebbe in parte spiegare i timori delle parti interessate riguardo all'entrata in vigore del regolamento il 25 maggio 2018.
 
Il regolamento generale sulla protezione dei dati non consente né alle autorità nazionali di controllo né al Comitato europeo per la protezione dei dati (il gruppo di lavoro "Articolo 29" diventerà Comitato europeo per la protezione dei dati (CEPD) il 25 maggio 2018) di istituire una "moratoria sull'applicazione" destinata a singoli titolari del trattamento. La protezione dei dati è un diritto fondamentale delle persone, che possono presentare un reclamo alle loro autorità nazionali per la protezione dei dati qualora ritengano che siano stati violati i loro diritti a norma del regolamento generale sulla protezione dei dati. 
 
Tuttavia, le autorità di protezione dei dati possono prendere in considerazione le misure che sono già state adottate o sono in corso di adozione al fine di individuare una risposta normativamente adeguata ai reclami ricevuti.

Come risulta dalla corrispondenza intercorsa con l'ICANN (compresa questa lettera del dicembre 2017 e questa lettera dell'aprile 2018), il gruppo di lavoro "Articolo 29" si aspetta che l'ICANN elabori e applichi un modello WHOIS che permetta alle parti interessate, come le autorità di contrasto, di utilizzare legittimamente i dati personali relativi alle persone registrate nel rispetto del regolamento generale sulla protezione dei dati, senza che ciò comporti  una pubblicazione illimitata di tali dati.

Il gruppo di lavoro "Articolo 29" riconosce gli sforzi prodigati di recente dall’ICANN per garantire la conformità del sistema WHOIS e continuerà a monitorare attentamente i progressi in materia. I membri del gruppo di lavoro continueranno verosimilmente a collaborare con l’ICANN, affinché venga tenuto il debito conto degli obblighi giuridici derivanti dalla normativa dell’UE sulla protezione dei dati.

Generic picture Press release
25 May 2018

Transparency and awareness are two core principles of the Board. Therefore, following the first plenary meeting of the Board, the newly elected EDPB Chair will hold a press conference on 25 May at 12.30 in the Brussels Press Club (Rue Froissart 95, Brussels). The press conference will be broadcast in EbS: http://ec.europa.eu/avservices/ebs/live.cfm?page=2 

Generic picture Secretariat
25 May 2018

The European Data Protection Board needs to rely on an effective Secretariat to be able to effectively accomplish all the tasks it is required to carry out under the GDPR. The EDPB Secretariat is composed of legal experts, communication and IT officers and administrative staff.

This brand-new team has worked hard to make the launch of the EDPB possible.  They will, without a doubt, have busy months ahead to organise the meetings of the Board and answer questions on the Board’s tasks and responsibilities.   

 

Generic picture Press release
25 May 2018

Bruxelles, 25 maggio - Si è tenuta oggi la prima riunione plenaria del Comitato europeo per la protezione dei dati (CEPD). Il nuovo organo decisionale indipendente dell’UE, dotato di personalità giuridica, è stato istituito dal regolamento generale sulla protezione dei dati, che entra in vigore a partire da oggi. Il CEPD, che sostituisce il gruppo di lavoro "Articolo 29", riunisce il Garante europeo della protezione dei dati e le autorità di controllo degli Stati membri, al fine di garantire un’applicazione coerente del regolamento generale sulla protezione dei dati in tutta l’Unione europea e una tutela coerente delle persone fisiche. Inoltre, il Comitato supervisiona l’attuazione della direttiva sulla protezione dei dati nelle attività giudiziarie e di polizia.

Andrea Jelinek, presidente del Comitato europeo per la protezione dei dati, ha dichiarato: "Questo atto legislativo tanto atteso offre ai cittadini un maggiore controllo sui propri dati personali e fornisce un unico complesso di norme applicabili a chiunque tratti i dati personali delle persone fisiche nell’UE. In un mondo in cui i dati sono trattati come una valuta, i diritti degli individui sono spesso trascurati quando non addirittura violati. Non dobbiamo mai dimenticare che i dati personali riguardano esseri umani. Sono convinta che il regolamento generale sulla protezione dei dati fornisca ai cittadini e alle autorità di controllo gli strumenti per tutelare efficacemente e far rispettare questo diritto fondamentale.

I nuovi requisiti in materia di protezione dei dati sono stati spesso banalizzati limitando l’attenzione  al rischio di sanzioni pecuniarie elevate, ma nel regolamento generale sulla protezione dei dati c’è molto di più. Si tratta di mettere in primo piano i diritti delle persone fisiche aggiornando le norme dell’UE sulla protezione dei dati in modo da renderle efficaci e in grado di affrontare le sfide future. Al contempo, il regolamento generale sulla protezione dei dati garantisce la certezza del diritto e rende più facile operare in tutto il mercato interno, e sarà quindi vantaggioso per le imprese che operano in Europa. Inoltre, le imprese che si conformano al regolamento generale sulla protezione dei dati ne guadagnano in termini di buona reputazione. In un'economia basata sui dati come la nostra bastano pochi giorni per distruggere la reputazione se le persone perdono fiducia nel fatto che un’impresa tratti i loro dati con la massima attenzione".

Andrea Jelinek ha concluso sottolineando l’importanza della cooperazione per la riuscita di quanto sancito dal regolamento generale sulla protezione dei dati: "È di fondamentale importanza che in qualità di CEPD uniamo le nostre forze per garantire un livello elevato e coerente di protezione dei dati delle persone fisiche, indipendentemente dal paese dell’UE in cui esse risiedono. Intendiamo inoltre sensibilizzare i cittadini al diritto alla protezione dei dati. Il CEPD è un nuovo organismo dell’UE dotato di un nuovo modello di gestione e di coordinamento e del potere di adottare decisioni vincolanti. Ciò ci consentirà di svolgere efficacemente il nostro lavoro e di fornire orientamenti sui principali concetti del regolamento generale sulla protezione dei dati".

Il regolamento generale sulla protezione dei dati è una nuova legge europea che rafforza il controllo sulle modalità di utilizzo e circolazione dei dati personali da parte di soggetti pubblici e privati. Si applica anche ai soggetti stabiliti al di fuori dell’Europa che offrono i loro servizi a persone nell'UE o ne monitorano i comportamenti. Il regolamento generale sulla protezione dei dati sostituisce la direttiva UE sulla protezione dei dati, che risale al 1995, anno in cui Internet era ancora agli albori. Anziché un mosaico di leggi nazionali, oggi abbiamo un unico regolamento dell'UE volto a responsabilizzare maggiormente chi tratta dati personali, ad attribuire alle persone un maggiore controllo sui loro dati e a migliorare la certezza del diritto per le imprese, in modo da promuovere l’innovazione e lo sviluppo futuro del mercato unico digitale.

Generic picture MoU
25 May 2018

Nel corso della prima riunione plenaria del Comitato europeo per la protezione dei dati è stato firmato un protocollo d’intesa tra il Comitato e il Garante europeo della protezione dei dati. Il protocollo definisce i termini della cooperazione tra il Comitato e il GEPD.

Protocollo d’intesa

generic picture guidelines
25 May 2018

During its first plenary meeting the European Data Protection Board endorsed the GDPR related WP29 Guidelines(Corrigendum: In document nr 8 reference to the WP 259 has been replaced by the correct WP 244).

Generic picture Plenary
25 May 2018

On 25 May 2018, the greatly anticipated General Data Protection Regulation (GDPR) entered into application and its pre-decessor Directive 95/46/EC was repealed. On that date, the Article 29 Working Party, the body bringing together the independent data protection authorities, ceased to exist and was replaced by a new body: the European Data Protection Board or EDPB.

The Board is composed of the heads of national supervisory authorities and the European Data Protection Supervisor (EDPS). The Board also includes a representative of the European Commission who, however, does not have a right to vote.

The Board’s primary role is to safeguard the consistent application of the GDPR, but it has additional competences. It advises the European Commission on, for example, the level of data protection offered by third countries. In addition, the Board promotes cooperation between the national supervisory authorities and plays a role in conciliation procedures for disputes between national supervisory authorities. In exercising its powers, the Board issues guidelines, recommendations and statements of best practice on myriad topics.

During its first plenary meeting on 25 May the Board elected its Chair and two Vice-Chairs. The EDPB Chair will lead the Board for the coming five years and will exert an important influence on data protection in Europe and beyond. The Chair’s role will be crucial for the success and effectiveness of the GDPR.

Generic picture Cocktail
24 May 2018

A new regulation and a new EU Body need to be celebrated! To do so, a cocktail reception took place on the 24th of May. Within the beautiful venue of the Bibliotheque Solvay in Brussels, Commissioner Vera Jourova, Jan Philipp Albrecht MEP, European Data Protection Supervisor Giovanni Buttarelli and WP29 Chair Andrea Jelinek held speeches looking back at the coming into application of the GDPR and the challenges ahead. Many of those who played an active role in the negotiations of the GDPR were present and proud to see the achievement of such a long process.