Il Comitato europeo per la protezione dei dati (EDPB) nell’ultima sessione plenaria ha adottato il Parere su alcuni obblighi derivanti dal rapporto di responsabile, esecutore e subresponsabile del trattamento, le Linee guida sull’interesse legittimo, la dichiarazione sull’istituzione di norme procedurali aggiuntive per l’attuazione del regolamento generale sulla protezione dei dati e il programma di lavoro dell’EDPB per il periodo 2024-2025. Inoltre, è stata accolta la richiesta dell’Agenzia per l’informazione e la privacy del Kosovo di diventare un osservatore nelle attività del Comitato europeo per la protezione dei dati (EDPB).
Il direttore dell’Agenzia per la protezione dei dati personali e il vicepresidente del Comitato europeo per la protezione dei dati, Zdravko Vukić, hanno fornito pieno sostegno alla concessione dello status di osservatore all’organismo di vigilanza del Kosovo. Lui ha sottolineato che l’Agenzia per l’informazione e la privacy del Kosovo soddisfa tutti i criteri prescritti, vale a dire che l’Agenzia opera in modo indipendente e che è nell’interesse del Comitato avere l’organismo di vigilanza del Kosovo come osservatore, e che il Kosovo è un potenziale candidato per l’adesione all’UE, che ha assunto obblighi internazionali vincolanti per armonizzare pienamente le proprie norme sulla protezione dei dati con quelle dell’UE.
“Una delle priorità dell’Agenzia per la protezione dei dati personali è migliorare gli standard di protezione dei dati nei Balcani occidentali in conformità con gli standard dell’UE. Abbiamo compiuto sforzi considerevoli nella Macedonia del Nord e siamo disposti a fare lo stesso in Kosovo. L’armonizzazione degli standard di protezione dei dati personali nei Balcani occidentali con gli standard dell’UE è importante per tutti i membri dell’UE e dell’EDPB. Credo che la concessione dello status di osservatore al Kosovo contribuirà in modo significativo a questo obiettivo e migliorerà ulteriormente le pratiche di protezione dei dati nella regione”, ha affermato il vicepresidente dell’EDPB Zdravko Vukić, sottolineando che l’Agenzia per la protezione dei dati personali ha finora collaborato con successo con l’Agenzia per l’informazione e la privacy. Agenzia.
Il Comitato europeo per la protezione dei dati ha adottato le Linee guida sul trattamento dei dati personali basato sull’interesse legittimo e l’Agenzia per la protezione dei dati personali ha partecipato al team che ha redatto le Linee guida.
Le presenti Linee Guida analizzano i criteri stabiliti dall’articolo 6, paragrafo 1, lettera f), del Regolamento generale sulla protezione dei dati, che i titolari del trattamento devono soddisfare per trattare lecitamente i dati personali sulla base del legittimo interesse. Si tiene conto anche della recente sentenza della Corte di Giustizia dell’Unione Europea su tale tema (C-621/22, 4 ottobre 2024).
Per poter far valere un interesse legittimo, il titolare del trattamento deve soddisfare tre condizioni cumulative:
1. realizzazione dell’interesse legittimo del titolare del trattamento o di terzi;
2. la necessità del trattamento dei dati personali al fine del perseguimento di un interesse legittimo;
3. gli interessi o le libertà e i diritti fondamentali delle persone non prevalgono sugli interessi legittimi del titolare del trattamento o di terzi (bilanciamento).
Innanzitutto possono ritenersi legittimi soltanto interessi legittimi, chiaramente e precisamente formulati, reali ed attuali. Ad esempio, tali interessi legittimi potrebbero esistere in una situazione in cui un individuo è un cliente o è al servizio di un responsabile del trattamento. In secondo luogo, se esistono alternative ragionevoli, ugualmente efficaci, ma meno invasive per raggiungere gli interessi desiderati, il trattamento non può essere considerato necessario. La necessità del trattamento dovrebbe essere esaminata anche secondo il principio della minimizzazione dei dati. In terzo luogo, il responsabile del trattamento deve garantire che il suo interesse legittimo non prevalga sugli interessi dell’individuo, sui diritti e sulle libertà fondamentali. Nel valutare tale aspetto, il titolare del trattamento deve tenere conto degli interessi delle persone, degli effetti del trattamento e delle loro ragionevoli aspettative, nonché dell’esistenza di ulteriori misure di protezione che potrebbero limitare gli effetti sull’individuo. Le presenti linee guida spiegano anche come tale valutazione dovrebbe essere effettuata nella pratica, tra l’altro in una serie di contesti specifici come la prevenzione delle frodi, il marketing diretto e la sicurezza delle informazioni. Il documento spiega inoltre la relazione tra questa base giuridica e una serie di diritti degli interessati ai sensi del regolamento generale sulla protezione dei dati.
Le linee guida saranno soggette a consultazione pubblica fino al 20 novembre 2024.
Il Comitato europeo per la protezione dei dati ha inoltre adottato un Parere su alcuni obblighi derivanti dal rapporto tra responsabile, esecutore e subresponsabile del trattamento , sulla base della richiesta del Garante danese per la protezione dei dati trasmessa al Comitato ai sensi dell’articolo 64, comma 2 del Regolamento generale sulla protezione dei dati. Il parere si riferisce all’interpretazione di alcuni obblighi del titolare del trattamento che si affidano a responsabili e sub-responsabili, nonché al testo del contratto tra titolare e responsabile del trattamento. Il parere spiega che i titolari del trattamento dovrebbero avere in ogni momento informazioni prontamente disponibili sull’identità (vale a dire nome, indirizzo, persona di contatto) di tutti i responsabili del trattamento, subresponsabili del trattamento, ecc. al fine di adempiere al meglio ai loro obblighi ai sensi dell’articolo 28 del regolamento generale sulla protezione dei dati. protezione dei dati. Inoltre, l’obbligo del titolare del trattamento di verificare che esistano “garanzie sufficienti” del (sub)responsabile del trattamento dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà dell’interessato, sebbene la portata di tale verifica possa variare, in particolare in base al i rischi connessi al trattamento. Il parere afferma inoltre che, sebbene il responsabile originario del trattamento debba garantire di proporre subresponsabili con garanzie sufficienti, la decisione finale e la responsabilità di assumere un particolare subresponsabile spettano comunque al titolare del trattamento.
Il Comitato europeo per la protezione dei dati ritiene che, ai sensi del Regolamento generale sulla protezione dei dati, il titolare del trattamento non sia obbligato a richiedere sistematicamente che i contratti di ritrattamento verifichino se gli obblighi in materia di protezione dei dati siano stati trasferiti a valle della catena di trattamento. Il titolare del trattamento dovrebbe valutare se sia necessario richiedere una copia di tali contratti o esaminarli per dimostrare la conformità al regolamento generale sulla protezione dei dati.
Inoltre, se i trasferimenti di dati personali al di fuori dello Spazio Economico Europeo hanno luogo tra due (sotto)responsabili del trattamento, il responsabile del trattamento in qualità di esportatore dei dati dovrebbe preparare la documentazione pertinente, come quella relativa alla base del trasferimento utilizzata, alla valutazione dell’impatto dei il trasferimento e le eventuali misure integrative. Tuttavia, poiché il responsabile del trattamento è ancora soggetto agli obblighi derivanti dall’articolo 28, paragrafo 1 del regolamento generale sulla protezione dei dati sulle “garanzie sufficienti”, oltre a quelli di cui all’articolo 44, per garantire che i trasferimenti di dati personali non compromettano il livello di protezione dei dati, dovrebbe valutare tale documentazione ed essere in grado di mostrarla al garante della protezione dei dati.
Inoltre, il Comitato ha adottato la dichiarazione dopo le modifiche apportate dal Parlamento europeo e dal Consiglio alla proposta della Commissione per un regolamento che stabilisce norme procedurali aggiuntive in relazione all’attuazione della legge sulla sicurezza sociale.
La Dichiarazione accoglie in generale con favore i cambiamenti introdotti dal Parlamento Europeo e dal Consiglio e raccomanda un’ulteriore considerazione di elementi specifici al fine di raggiungere gli obiettivi del nuovo regolamento di semplificare la cooperazione tra le autorità e migliorare l’attuazione del Regolamento generale sulla protezione dei dati.
La dichiarazione fornisce raccomandazioni pratiche che possono essere utilizzate nel contesto dei prossimi triloghi. In particolare, l’EDPB ribadisce la necessità di una base giuridica e di una procedura armonizzata per le soluzioni negoziate e formula raccomandazioni per garantire che il consenso su una sintesi delle questioni chiave sia raggiunto nel modo più efficace. Il Comitato accoglie inoltre con favore l’inclusione di scadenze aggiuntive e ricorda che devono essere realistiche e incoraggia i colegislatori a eliminare le disposizioni relative alle obiezioni pertinenti e motivate e al “ragionamento” nel processo di risoluzione delle controversie.
Sebbene la Dichiarazione accolga con favore l’obiettivo di raggiungere una maggiore trasparenza, l’introduzione di un fascicolo comune, come proposto dal Parlamento Europeo, richiederebbe modifiche complesse ai sistemi di gestione dei documenti e di comunicazione utilizzati a livello europeo e nazionale. Le soluzioni tecniche per la sua attuazione dovrebbero essere attentamente valutate e le modalità per garantire l’accesso a tali soluzioni dovrebbero essere ulteriormente chiarite.
Il Comitato europeo per la protezione dei dati accoglie con favore l’emendamento del Consiglio che consente all’autorità capofila per la protezione dei dati di essere esentata dalla cosiddetta cooperazione rafforzata nei casi semplici, ma sottolinea la necessità di un ulteriore chiarimento della portata di tale esenzione.
Il presidente del comitato europeo per la protezione dei dati, Anu Talus, ha dichiarato: “Il progetto di regolamento potrebbe semplificare in modo significativo l’attuazione del regolamento generale sulla protezione dei dati aumentando l’efficienza nella gestione dei casi. È necessaria una maggiore armonizzazione a livello dell’UE per massimizzare l’efficacia dei meccanismi di cooperazione e coerenza del regolamento generale sulla protezione dei dati”.
Infine, il Comitato ha adottato il suo programma di lavoro per il periodo 2024-2025 . È il primo di due programmi di lavoro che attueranno la strategia dell’EDPB per il periodo 2024-2027. adottato nell’aprile 2024. Si basa sulle priorità stabilite nella strategia del comitato europeo per la protezione dei dati e tiene conto delle esigenze identificate come più importanti per le parti interessate.