Comitato europeo per la protezione dei dati — Sesta sessione plenaria: Scudo per la privacy, Brexit, FAQ sulle sperimentazioni cliniche, elenchi relativi alla valutazione di impatto sulla protezione dei dati (DPIA), orientamenti sulla certificazione, risp

24 January 2019

Bruxelles, 24 gennaio — Il 22 gennaio e il 23 gennaio le autorità europee per la protezione dei dati, riunite nel Comitato europeo per la protezione dei dati, si sono incontrate per la sesta sessione plenaria. Nel corso della sessione plenaria sono stati discussi numerosi temi.

Scudo per la privacy
 Il Comitato ha adottato la relazione sulla seconda revisione annuale dello Scudo UE-USA per la privacy. Il Comitato accoglie con favore gli sforzi compiuti dalle autorità statunitensi e dalla Commissione per attuare lo Scudo per la privacy, in particolare le azioni intraprese al fine di adeguare il processo di certificazione iniziale, l’avvio  di attività di controllo e attuazione  d’ufficio, nonché gli sforzi volti a pubblicare una serie di documenti importanti, in parte declassificati (come le decisioni del tribunale FISA), la nomina di un nuovo presidente nonché di tre nuovi membri del Privacy and Civil Liberties Oversight Board (Comitato per la tutela della vita privata e delle libertà civili, PCLOB) e la nomina recentemente annunciata di un Ombudsperson (mediatore) permanente.

Alla luce dei risultati della seconda revisione congiunta, permangono le seguenti preoccupazioni circa l’attuazione dello Scudo per la privacy. Si tratta di preoccupazioni già espresse dal WP29, il predecessore del Comitato europeo per la protezione dei dati, relativamente alla mancanza di garanzie concrete quanto all’esclusione di forme di raccolta e accesso indiscriminati ai dati personali per scopi di sicurezza nazionale. Inoltre, sulla base delle informazioni finora fornite, il Comitato non può attualmente ritenere che il mediatore (Ombudsperson) sia dotato di poteri sufficienti per porre rimedio alle non conformità. Inoltre, il Comitato fa notare che i controlli relativi al rispetto sostanziale dei principi dello Scudo per la privacy non sono sufficientemente forti.

Il Comitato nutre alcune preoccupazioni supplementari per quanto riguarda i controlli necessari a rispettare le prescrizioni in materia di trasferimenti ulteriori, la portata della nozione di dati relativi alle risorse umane e la procedura di rinnovo della certificazione, nonché con riguardo a un elenco di questioni sollevate dopo la prima revisione congiunta e tuttora irrisolte.

Brexit
Il Comitato ha esaminato le possibili conseguenze della Brexit nel settore della protezione dei dati. I membri hanno convenuto di cooperare e di scambiarsi informazioni sulle misure in preparazione e sugli strumenti disponibili per il trasferimento dei dati verso il Regno Unito, una volta che quest’ultimo non sarà più membro dell’UE.

FAQ sulle sperimentazioni cliniche
In seguito a una richiesta della Commissione europea (DG SANTE), il Comitato ha adottato il proprio parere in merito alle FAQ sulle  sperimentazioni cliniche. Il parere esamina in particolare gli aspetti relativi alle basi giuridiche adeguate nel contesto delle sperimentazioni cliniche e gli usi secondari dei dati della sperimentazione clinica a fini scientifici. Il parere sarà ora trasmesso alla Commissione europea.  

Elenchi DPIA
Il Comitato ha adottato i previsti pareri in merito agli elenchi dei trattamenti soggetti obbligatoriamente a valutazione d’impatto sulla protezione dei dati (DPIA), presentati al Comitato dal Liechtenstein e dalla Norvegia. Tali elenchi costituiscono uno strumento importante per l’applicazione coerente del regolamento generale sulla protezione dei dati in tutto il SEE. La valutazione d’impatto sulla protezione dei dati è un processo volto a individuare e attenuare i rischi per la protezione dei dati che potrebbero ledere i diritti e le libertà delle persone. In via generale spetta al titolare del trattamento stabilire se una valutazione d’impatto sulla protezione dei dati sia necessaria prima di avviare l’attività di trattamento, tuttavia le autorità di controllo nazionali devono definire ed elencare le tipologie di trattamenti soggetti all’obbligo di una valutazione d’impatto sulla protezione dei dati. Questi due pareri sono stati preceduti dai 22 pareri adottati durante la sessione plenaria di settembre, e dai quattro pareri adottati nel corso della sessione plenaria di dicembre e contribuiranno ulteriormente a stabilire criteri comuni per gli elenchi DPIA in tutto il SEE.

Orientamenti sulla certificazione
 Il Comitato ha adottato la versione definitiva degli orientamenti relativi alla certificazione all’esito della consultazione pubblica. Inoltre, il comitato ha anche adottato un nuovo allegato. Una bozza degli orientamenti era stata adottata durante la prima plenaria del Comitato in maggio. L’obiettivo principale dei presenti orientamenti è identificare i criteri generali che possono applicarsi a tutti i tipi di meccanismi di certificazione emessi a norma dell’articolo 42 e dell’articolo 43 del regolamento generale sulla protezione dei dati. In quanto tali, gli orientamenti esaminano la logica alla base della certificazione come strumento di responsabilizzazione, illustrano i concetti chiave delle disposizioni in materia di certificazione di cui agli articoli 42 e 43, spiegano la portata delle attività di certificazione e ne definiscono lo scopo. Gli orientamenti aiuteranno gli Stati membri, le autorità di controllo e gli organismi nazionali di accreditamento nell’esame e nell’approvazione di criteri di certificazione a norma dell’articolo 42 e dell’articolo 43 del regolamento generale sulla protezione dei dati. L’allegato sarà oggetto di una consultazione pubblica.

Risposta all’Autorità di vigilanza australiana in materia di notifica delle violazioni dei dati personali
Nel mese di ottobre 2018 la presidente del comitato ha ricevuto una richiesta scritta dell’Ufficio dell’Australian Information Commissioner in merito alla pubblicazione delle notifiche di violazione dei dati da parte delle autorità di controllo. Il Comitato accoglie con favore l’interesse manifestato dall’autorità australiana a  cooperare sulla questione con il Comitato  stesso  e sottolinea l’importanza della collaborazione internazionale. Nella sua risposta, il Comitato fornisce ulteriori informazioni in merito alla possibilità per  le autorità di controllo di gestire la pubblicazione di informazioni relative alle notifiche di violazioni dei dati, e alle relative modalità.