Bruxelles, 19 gennaio - Nel corso della sua ultima sessione plenaria, l'EDPB ha adottato una relazione a sostegno della valutazione della direttiva sull'applicazione della legge da parte della Commissione europea.
La Commissione deve presentare al Parlamento europeo e al Consiglio la sua relazione pubblica* sulla valutazione e sul riesame della presente direttiva entro il 6 maggio 2026. In precedenza, la Commissione ha raccolto i pareri delle autorità europee per la protezione dei dati (DPA) sull'applicazione e sul funzionamento della LED nel periodo compreso tra gennaio 2022 e il 31 agosto 2025.**
"Accogliamo con favore le valutazioni periodiche della Commissione europea sull'applicazione della LED e ci impegniamo a fornire le nostre competenze per tali valutazioni al fine di garantire che la LED continui a mantenere elevati standard di protezione dei dati nel contesto delle attività di contrasto."
Presidente dell'EDPB, Anu Talus
L'EDPB facilita la cooperazione e il coordinamento tra le autorità di protezione dei dati nella supervisione del trattamento delle attività di contrasto. Il segretariato dell'EDPB fornisce inoltre il segretariato del comitato di vigilanza coordinato (CSC) che garantisce la supervisione coordinata dei sistemi IT su larga scala e degli organi e delle agenzie dell'UE nei settori dell'applicazione della legge e della giustizia penale.
Nella sua relazione, l'EDPB sottolinea il ruolo chiave della LED nella protezione dei dati personali nel contesto delle attività di contrasto. Le autorità di protezione dei dati hanno sempre più consigliato alle autorità nazionali competenti di mitigare le violazioni dei dati, mentre molte di esse hanno anche svolto attività di sensibilizzazione e pubblicato orientamenti.
L'EDPB prende atto della richiesta delle autorità di protezione dei dati di fare maggiore chiarezza sull'ambito di applicazione della LED, in particolare sul suo confine con il GDPR, e di affrontare in modo più approfondito le sfide poste dal crescente uso di nuove tecnologie, come l'IA, nel contesto delle attività di contrasto. L'EDPB sottolinea la necessità che le autorità di contrasto utilizzino tali strumenti nel rigoroso rispetto della LED, garantendo che il loro utilizzo sia necessario, proporzionato e soggetto a garanzie adeguate.
Secondo l'EDPB, nel contesto della giurisprudenza elaborata dall'ultima valutazione della direttiva, è essenziale rafforzare ulteriormente l'attuazione nazionale della LED in tutta l'Unione europea. Inoltre, il ruolo dei responsabili della protezione dei dati (RPD) dovrebbe essere rafforzato per garantire l'applicazione efficace e coerente delle norme in materia di protezione dei dati nelle attività di contrasto.
La relazione sottolinea inoltre la necessità di migliorare la cooperazione, sia tra le autorità competenti responsabili della LED che tra le autorità di contrasto in generale.
Infine, l'EDPB sottolinea che sia le autorità di protezione dei dati che l'EDPB hanno bisogno di risorse finanziarie e umane supplementari per svolgere i nuovi compiti derivanti dai recenti atti giuridici, comprese le responsabilità legate al CSC, le cui attività comprendono ora anche la supervisione di sistemi quali il sistema di informazione visti (VIS), Prüm II e il sistema di ingressi/uscite (EES).
Successivamente, l’EDPB ha adottato raccomandazioni sulla domanda di approvazione e sugli elementi e i principi contenuti nelle norme vincolanti d’impresa per i responsabili del trattamento (BCR-P).
Queste raccomandazioni costituiscono un aggiornamento del referenziale BCR-P esistente, che contiene i criteri per l'approvazione BCR-P, e lo fondono con il modulo di domanda standard per BCR-P.
Le BCR-P sono uno strumento di trasferimento che può essere utilizzato da un gruppo di imprese o imprese per trasferire dati personali al di fuori dello Spazio economico europeo a responsabili del trattamento all'interno dello stesso gruppo. Le BCR creano diritti azionabili e stabiliscono impegni per stabilire un livello di protezione dei dati sostanzialmente equivalente a quello previsto dal GDPR.
Le nuove raccomandazioni si basano sugli accordi raggiunti e sull'esperienza acquisita dalle autorità di protezione dei dati nel corso delle procedure di approvazione delle applicazioni BCR-P concrete dall'entrata in applicazione del GDPR, nonché sul lavoro svolto nel contesto delle raccomandazioni aggiornate sulle norme vincolanti d'impresa vincolanti per i titolari del trattamento (BCR-C).
Le raccomandazioni forniscono criteri e spiegazioni chiari per garantire che il BCR-P sviluppato da gruppi di imprese o imprese sia conforme al GDPR. Le raccomandazioni chiariscono quando il BCR-P può essere utilizzato, in particolare solo per i trasferimenti infragruppo tra responsabili del trattamento, quando il titolare del trattamento non fa parte del gruppo.
Inoltre, le raccomandazioni chiariscono che le BCR-P sono concepite per soddisfare i requisiti di cui all'articolo 28, paragrafo 4, GDPR. Ciò significa che qualsiasi processore all'interno del Gruppo che utilizza BCR-P non ha bisogno di firmare un accordo di sub-elaborazione separato con ciascun sub-processore del Gruppo.
Le raccomandazioni saranno aperte alla consultazione pubblica fino al 2 marzo 2026.
I membri dell'EDPB hanno inoltre proceduto a uno scambio di opinioni sul prossimo parere congiunto sull'omnibus digitale, la cui adozione è prevista per la riunione plenaria di febbraio.
Nota per gli editori
*La base giuridica dell'azione della Commissione è l'articolo 62 della direttiva (UE) 2016/680 (direttiva sull'applicazione della legge), che impone alla Commissione di valutare l'applicazione della direttiva e di riferire in merito.
**Cfr. anche la relazione della Commissione europea sull'applicazione della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie, COM(2022) 364 final, alla quale l'EDPB ha contribuito.
Il comunicato stampa qui pubblicato è stato tradotto automaticamente dall'inglese. L'EDPB non garantisce l'esattezza della traduzione. Si prega di fare riferimento al testo ufficiale nella sua versione inglese in caso di dubbi.