Bruxelles, 14 febbraio — Nel corsodella sua ultima sessione plenaria,l'EDPB ha adottato un parere sulla nozione di stabilimento principale e sui criteri per l'applicazione del meccanismo dello sportello unico, a seguito di una richiesta di cui all'articolo 64, paragrafo 2, del GDPR dell'autorità francese per la protezione dei dati (DPA). Il parere chiarisce la nozione di "stabilimento principale" di un titolare del trattamento nell'UE, in particolare nei casi in cui le decisioni relative al trattamento sono prese al di fuori dell'UE.
Il presidente dell'EDPB Anu Talus ha dichiarato: "La nozione di stabilimento principale è uno dei capisaldi dello sportello unico. È fondamentale per determinare quale, se del caso, la DPA è l'autorità di controllo capofila nei casi transfrontalieri di protezione dei dati. Il parere dell'EDPB chiarisce ulteriormente le condizioni in cui i controllori possono accedere allo sportello unico e fornisce ulteriori orientamenti per le autorità di protezione dei dati nel determinare quale autorità di protezione dei dati è all'avanguardia."
Nel suo parere, l'EDPB ritiene che il "luogo dell'amministrazione centrale" di un titolare del trattamento nell'UE possa essere considerato uno stabilimento principale ai sensi dell'articolo 4, paragrafo 16, lettera a), del RGPD solo se adotta le decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali e se ha il potere di far attuare tali decisioni. L'EDPB spiega inoltre che il meccanismo dello sportello unico può applicarsi solo se vi sono prove che uno degli stabilimenti del responsabile del trattamento nell'Unione adotta decisioni in merito alle finalità e ai mezzi per le operazioni di trattamento pertinenti e ha il potere di far attuare tali decisioni. Ciò significa che, quando le decisioni sulle finalità e sui mezzi del trattamento sono prese al di fuori dell'UE, non dovrebbe esistere uno stabilimento principale del responsabile del trattamento nell'Unione e pertanto lo sportello unico non dovrebbe applicarsi.
Il presente parere è l'ultimo di una serie di azioni concrete adottate dall'EDPB a seguito della dichiarazione di Vienna sull'applicazione transfrontaliera, al fine di semplificare l'applicazione e la cooperazione tra le autorità di protezione dei dati.
Successivamente, l'EDPB ha adottato una dichiarazione sugli sviluppi legislativi relativi alla proposta di regolamento che stabilisce norme per prevenire e combattere gli abusi sessuali sui minori. La dichiarazione fa seguito al parere congiunto EDPB-EDPS sulla proposta di regolamento della Commissione europea e si concentra sugli ultimi sviluppi legislativi, in particolare la posizione del Parlamento europeo del novembre 2023.
L'EDPB accoglie con favore i numerosi miglioramenti proposti dal Parlamento, quali l'esenzione dalle comunicazioni crittografate end-to-end dagli ordini di rilevamento. Tuttavia, l'EDPB deplora che il testo proposto dal Parlamento non sembri risolvere pienamente questioni importanti segnalate dall'EDPB e dal GEPD relative al monitoraggio generale e indiscriminato delle comunicazioni private, in particolare in relazione all'emissione di ordini di individuazione.
Il presidente dell'EDPB Anu Talus ha dichiarato: "L'abuso sessuale sui minori è un crimine particolarmente atroce e richiede soluzioni efficaci. È importante che qualsiasi nuovo strumento giuridico sia privo di ambiguità e rispetti i diritti fondamentali alla vita privata e alla protezione dei dati. Un livello eccessivo di accesso alle comunicazioni online pregiudicherebbe questi importanti principi e potrebbe avere a sua volta ripercussioni negative sui diritti e sulla sicurezza degli adulti e dei bambini; dobbiamo stare molto attenti alle azioni che alla fine fanno più male che bene. L'EDPB è del parere che la formulazione proposta dal Parlamento dovrebbe fornire garanzie adeguate che gli ordini di accertamento siano sufficientemente mirati, per garantire che possa proteggere le vittime senza pregiudicare in modo sproporzionato i diritti e le libertà tutelati dal diritto dell'UE."
L'EDPB sottolinea l'importanza di limitare ulteriormente il rischio che tali ordini possano riguardare persone che difficilmente saranno coinvolte in reati connessi agli abusi sessuali su minori. Inoltre, l'EDPB deplora che gli ordini di individuazione non siano limitati ai materiali per abusi sessuali su minori (CSAM) già noti alle autorità, nonostante il fatto che le tecnologie utilizzate per rilevare i nuovi CSAM abbiano dimostrato in passato di avere tassi di errore significativi.
Durante la sessione plenaria, l'EDPB ha inoltre discusso l'ambito di applicazione degli orientamenti relativi al modello di consenso o di pagamento. Oltre al prossimo parere di cui all'articolo 64, paragrafo 2, che affronterà il modello di consenso o di pagamento nel contesto delle piattaforme online di grandi dimensioni, è stato convenuto che è necessario elaborare consecutivamente orientamenti con un campo di applicazione più ampio.
Infine, l'EDPB ha nominato diversi rappresentanti per partecipare, rispettivamente, al gruppo di revisione del quadro sulla privacy dei dati della Commissione europea, al sottogruppo ad alto livello della legge sui mercati digitali sull'articolo 5, paragrafo 5, del DMA e alla task force della legge sui servizi digitali sulla verifica dell'età.
Il comunicato stampa qui pubblicato è stato tradotto automaticamente dall'inglese. L'EDPB non garantisce l'esattezza della traduzione. Si prega di fare riferimento al testo ufficiale nella sua versione inglese in caso di dubbi.