Bruxelles, 21 giugno — Durante la sessione plenaria, il Comitato ha adottato la versione definitiva delle raccomandazioni sulle misure supplementari a seguito della consultazione pubblica. Le raccomandazioni sono state adottate inizialmente nel novembre 2020 a seguito della sentenza della CGUE Schrems II. Esse mirano ad assistere i titolari e responsabili del trattamento che agiscono in qualità di esportatori di dati nell'individuazione e nell'attuazione di adeguate misure supplementari ove queste ultime siano necessarie per garantire un livello di protezione sostanzialmente equivalente ai dati trasferiti verso paesi terzi.
La versione finale delle raccomandazioni contiene varie modifiche per rispondere alle osservazioni e ai riscontri ricevuti nel corso della consultazione pubblica e pone l'accento sulle pratiche delle autorità pubbliche di un paese terzo.
Tra le principali modifiche figurano: l'evidenziazione dell'importanza di esaminare le pratiche delle autorità pubbliche dei paesi terzi nella valutazione giuridica degli esportatori al fine di determinare se la legislazione e/o le pratiche del paese terzo incidano — nella pratica — sull'efficacia dello strumento di trasferimento a norma dell'articolo 46 del RGPD; la possibilità che l'esportatore tenga conto, nella sua valutazione, dell'esperienza pratica dell'importatore quale uno degli elementi da prendere in considerazione seppur con alcune riserve; la precisazione che l’esistenza di una legislazione del paese terzo di destinazione che consente alle autorità di tale paese di accedere ai dati trasferiti, anche senza l'intervento dell'importatore, può incidere sull'efficacia dello strumento utilizzato per il trasferimento.
Per quanto riguarda le nuove clausole contrattuali tipo per i trasferimenti internazionali pubblicate di recente dalla Commissione europea, le raccomandazioni sono utili per verificare "leggi e pratiche locali che incidono sul rispetto delle clausole" (clausola 14 delle nuove clausole contrattuali tipo) e l'eventuale necessità di attuare misure supplementari.
Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: "L'impatto di Schrems II non deve essere sottovalutato: i flussi di dati internazionali sono già oggetto di un monitoraggio molto più attento da parte delle autorità di controllo che conducono accertamenti ai rispettivi livelli. L'obiettivo delle raccomandazioni del comitato europeo per la protezione dei dati è fornire orientamenti agli esportatori rispetto alla liceità dei trasferimenti di dati personali verso paesi terzi, garantendo nel contempo che ai dati trasferiti sia garantito un livello di protezione sostanzialmente equivalente a quello garantito all'interno dello Spazio economico europeo. Chiarendo alcuni dubbi espressi dalle parti interessate, e in particolare l'importanza di esaminare le pratiche delle autorità pubbliche nei paesi terzi, vogliamo facilitare per gli esportatori di dati la valutazione dei rispettivi trasferimenti verso paesi terzi nonché l’individuazione e attuazione di efficaci misure supplementari ove necessario. L'EDPB continuerà a riflettere sugli effetti della sentenza Schrems II anche alla luce delle osservazioni ricevute dalle parti interessate."
Il testo integrale delle raccomandazioni è disponibile al seguente indirizzo:https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en
Il comitato ha adottato una lettera indirizzata alle istituzioni dell'UE sugli aspetti relativi alla privacy e alla protezione dei dati di un futuro euro digitale. Nella lettera, l'EDPB sottolinea l’esigenza di un livello molto elevato di protezione della privacy e dei dati personali per rafforzare la fiducia degli utenti finali quale elemento distintivo nell'offerta di un euro digitale nonché fattore chiave ai fini del suo successo. Tali elementi dovrebbero essere presi in considerazione fin dalla fase di progettazione. Inoltre, il comitato raccomanda che l'organismo dell'UE incaricato della definizione del progetto effettui una valutazione d'impatto ad alto livello sulla protezione dei dati. Il comitato segnala inoltre la propria disponibilità a fornire consulenza alla BCE o ad altre istituzioni dell'UE.
Infine, il comitato ha designato tre rappresentanti in seno alla commissione di orientamento sui diritti fondamentali del sistema europeo di informazione e autorizzazione ai viaggi (ETIAS), incaricata di valutare l'impatto del trattamento delle richieste di autorizzazione e di svolgere un ruolo importante nel garantire il rispetto dei diritti fondamentali da parte del sistema, in particolare per quanto riguarda la protezione della vita privata e dei dati personali. Il comitato sarà composto da rappresentanti di FRONTEX, del GEPD, dell'EDPB e dell'Agenzia per i diritti fondamentali (FRA).
Durante la plenaria, il comitato ha inoltre adottato un parere congiunto con il GEPD sul progetto di regolamento in materia di intelligenza artificiale. Sul punto, seguirà uno specifico comunicato stampa.
Nota editoriale:
Tutti i documenti adottati durante la plenaria del comitato sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno resi disponibili sul sito web dell'EDPB una volta completati tali controlli.
EDPB_Press Release_2021_05