L’European Data Protection Board (EDPB) ha adottato il suo parere sul progetto di decisione di adeguatezza della Commissione europea per la Repubblica di Corea. L’EDPB si è concentrato sugli aspetti generali del GDPR e sull’accesso da parte delle autorità pubbliche ai dati personali trasferiti dallo Spazio Economico Europeo (SEE) alla Repubblica di Corea ai fini dell’applicazione della legge e della sicurezza nazionale, compresi i rimedi giuridici a disposizione degli individui nello Spazio Economico Europeo (SEE). L’EDPB ha anche valutato se le salvaguardie previste dal quadro giuridico coreano sono efficaci.

Parere 32/2021 relativo al progetto di decisione di esecuzione della Commissione europea decisione di esecuzione ai sensi del regolamento (UE) 2016/679 sull’adeguata protezione dei dati personali nella Repubblica di Corea.

Questa decisione di adeguatezza è di fondamentale importanza, in quanto coprirà i trasferimenti sia nel settore pubblico che in quello privato. Un alto livello di protezione dei dati è essenziale per sostenere i legami di lunga data con la Corea del Sud e per salvaguardare i diritti e le libertà degli individui. Mentre si sottolinea che gli aspetti fondamentali del quadro coreano di protezione dei dati sono essenzialmente equivalenti a quelli dell’Unione europea, si chiede alla Commissione di chiarire ulteriormente alcuni aspetti e di monitorare attentamente la situazione.”

Per quanto riguarda il quadro generale di protezione dei dati, l’EDPB nota che ci sono aree chiave di allineamento tra i quadri di protezione dei dati dell’UE e della Corea del Sud per quanto riguarda alcune disposizioni fondamentali, come:

• concetti di protezione dei dati (ad esempio, informazioni personali; trattamento; persona interessata);
• motivi per un trattamento legittimo per scopi legittimi
• limitazione delle finalità;
• conservazione dei dati, sicurezza e riservatezza; e
• la trasparenza.

L’EDPB accoglie con favore gli sforzi compiuti dalla Commissione europea e dalle autorità coreane per garantire che la Repubblica di Corea fornisca un livello di protezione dei dati essenzialmente equivalente a quello del GDPR. Come, ad esempio, l’adozione di notifiche da parte dell’autorità di protezione dei dati della Corea del Sud (PIPC), che mirano a colmare le lacune tra il GDPR e il quadro coreano di protezione dei dati, come le protezioni aggiuntive fornite dalla notifica n. 2021-1.

L’EDPB invita la Commissione europea a fornire ulteriori informazioni sulla natura vincolante, l’applicabilità e la validità della notifica n. 2021-1, e raccomanda un attento monitoraggio di questo nella pratica.

Per quanto riguarda l’accesso delle autorità pubbliche ai dati trasferiti nella Repubblica di Corea, l’EDPB osserva che le disposizioni del PIPA si applicano senza limitazioni nel settore dell’applicazione della legge. L’EDPB osserva inoltre che il trattamento dei dati nel settore della sicurezza nazionale è soggetto a una serie più limitata di disposizioni sancite dalla PIPA, sebbene i principi fondamentali della PIPA, nonché le garanzie fondamentali per i diritti delle persone interessate e le disposizioni in materia di controllo, applicazione e rimedi, si applichino all’accesso e all’uso di dati personali da parte delle autorità di sicurezza nazionale. La costituzione sudcoreana sancisce anche principi essenziali di protezione dei dati, che sono applicabili all’accesso ai dati personali da parte delle autorità pubbliche nei settori dell’applicazione della legge e della sicurezza nazionale. Inoltre, l’EDPB concorda con la conclusione della Commissione che la Corea del Sud può essere considerata dotata di un sistema di controllo indipendente ed efficace.

Infine, per quanto riguarda i rimedi efficaci e i diritti di ricorso, l’EDPB chiede alla Commissione di chiarire i requisiti sostanziali e/o procedurali, come l’onere della prova, a cui è soggetta una denuncia presso il PIPC o qualsiasi azione davanti a un tribunale, e se gli individui dell’UE sarebbero in grado di soddisfare tale condizione preliminare.

Per la sua valutazione, l’EDPB ha utilizzato il GDPR Adequacy Referential e le raccomandazioni EDPB 2/2020 sulle garanzie essenziali europee per le misure di sorveglianza, nonché la giurisprudenza esistente della CGUE e della Corte europea dei diritti dell’uomo in materia di accesso da parte delle autorità pubbliche.

Criteri di riferimento per l’adeguatezza:

🇮🇹: Italiano
🇬🇧: English
🇪🇸: Español
🇫🇷: Français

Raccomandazioni 2/2020 relative alle garanzie essenziali europee per le misure di sorveglianza:

🇮🇹: Italiano
🇬🇧: English
🇪🇸: Español
🇫🇷: Français

FONTE: EUROPEAN DATA PROTECTION BOARD – EDPB