Il GEPD ha pubblicato oggi il suo parere su due proposte di accordi tra l’Unione europea (UE) e il Regno Unito (Regno Unito): l’accordo sugli scambi e la cooperazione (TCA) e un accordo sulle procedure di sicurezza per lo scambio e la protezione delle informazioni classificate.
Data la stretta cooperazione che dovrebbe proseguire tra l’UE e il Regno Unito, il GEPD accoglie con favore questi due accordi. In particolare, il GEPD rileva che il TCA si basa sul rispetto e sulla salvaguardia dei diritti umani e sull’impegno delle parti a garantire un livello elevato di protezione dei dati personali.
Tuttavia, il GEPD si rammarica che il TCA non recepisca fedelmente le disposizioni orizzontali dell’UE per i flussi di dati transfrontalieri e per la protezione dei dati personali . Tali disposizioni, che la Commissione europea ha ripetutamente dichiarato non negoziabili, consentono all’UE di includere misure per facilitare i flussi di dati transfrontalieri negli accordi commerciali, preservando i diritti fondamentali delle persone alla protezione dei dati e alla privacy. Pertanto, modificando queste disposizioni orizzontali, il TCA crea incertezza giuridica sulla posizione dell’UE sulla protezione dei dati personali nel contesto degli accordi commerciali e rischia di creare attriti con il quadro giuridico dell’UE sulla protezione dei dati.
Il GEPD formula anche osservazioni sull’applicazione della legge e sulla cooperazione giudiziaria in materia penale UE-Regno Unito. Pur accogliendo favorevolmente le garanzie in materia di protezione dei dati introdotte nel TCA, il GEPD deplora che manchino alcune garanzie e commenta in particolare le disposizioni su PNR e Prüm.
Inoltre, il GEPD sottolinea che la disposizione provvisoria che consente il trasferimento di dati personali tra l’UE e il Regno Unito senza garanzie procedurali – come se il Regno Unito fosse ancora un membro dell’UE – dovrebbe rimanere eccezionale e non costituire un precedente per i futuri TCA con altri paesi extra UE.
Le norme per la protezione dei dati nelle istituzioni dell’UE, nonché i doveri del Garante europeo della protezione dei dati (GEPD), sono stabiliti nel regolamento (UE) 2018/1725 .
Trattamento dei dati personali: ai sensi dell’articolo 3, paragrafo 3, del regolamento (UE) 2018/1725, il trattamento dei dati personali si riferisce a “qualsiasi operazione o insieme di operazioni eseguite su dati personali o su serie di dati personali, indipendentemente dal fatto che con mezzi automatizzati, come raccolta, registrazione, organizzazione, strutturazione, archiviazione, adattamento o alterazione, recupero, consultazione, utilizzo, divulgazione mediante trasmissione, diffusione o altrimenti messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione “. Vedere il glossario sul sito web del GEPD.
“Disposizioni orizzontali dell’UE sui flussi di dati transfrontalieri e sulla protezione dei dati personali e della privacy nel titolo del commercio digitale degli accordi commerciali dell’UE” : approvate dalla Commissione europea nel 2018, queste disposizioni orizzontali consentono all’UE di includere misure per facilitare flussi di dati negli accordi commerciali, preservando pienamente i diritti fondamentali delle persone alla protezione dei dati e alla privacy. Le disposizioni orizzontali raggiungono un compromesso equilibrato tra interessi pubblici e privati in quanto consentono all’UE di affrontare le pratiche protezionistiche nei paesi terzi in relazione al commercio digitale, garantendo nel contempo che gli accordi commerciali non possano essere utilizzati per contestare l’elevato livello di protezione garantito dalla Carta dell’UE Diritti fondamentali e la legislazione dell’UE sulla protezione dei dati personali.
I poteri di consultazione legislativa del GEPD sono stabiliti all’articolo 42 del regolamento (UE) 2018/1725 che obbliga la Commissione europea a consultare il GEPD su tutte le proposte legislative e accordi internazionali che potrebbero avere un impatto sul trattamento dei dati personali. Tale obbligo si applica anche ai progetti di atti delegati e di esecuzione. Il termine legale per l’emissione di un parere del GEPD è di 8 settimane.
I pareri del GEPD sono pubblicati sul nostro sito web e, successivamente, nella Gazzetta ufficiale dell’UE e trasmessi ufficialmente al Parlamento europeo, al Consiglio e alla Commissione.
Il GEPD ha inoltre il potere di formulare pareri su qualsiasi questione rilevante per la protezione dei dati personali, rivolti al legislatore dell’UE o al pubblico in generale, in risposta a una consultazione di un’altra istituzione o di propria iniziativa.