Bruxelles, 9 ottobre - Nel corso della sua ultima sessione plenaria, il comitato europeo per la protezione dei dati (EDPB) ha adottato un parere su alcuni obblighi derivanti dal ricorso a responsabili del trattamento e sub-responsabili del trattamento, orientamenti sull'interesse legittimo, una dichiarazione sulla definizione di norme procedurali aggiuntive per l'applicazione del GDPR e il programma di lavoro dell'EDPB 2024-2025.
In primo luogo, l'EDPB ha adottato un parere su determinati obblighi derivanti dall'affidamento ai responsabili del trattamento e ai sub-responsabili del trattamento a seguito di una richiesta al comitato ai sensi dell'articolo 64, paragrafo 2, GDPR da parte dell'autorità danese per la protezione dei dati. L'articolo 64, paragrafo 2, GDPR prevede che qualsiasi autorità di protezione dei dati possa chiedere al comitato di emettere un parere su questioni di applicazione generale o che producono effetti in più di uno Stato membro.
Il parere riguarda situazioni in cui i titolari del trattamento si affidano a uno o più responsabili del trattamento e sub-responsabili del trattamento. In particolare, affronta otto questioni sull'interpretazione di determinati doveri dei titolari del trattamento che si affidano a responsabili del trattamento e sub-responsabili del trattamento, nonché sulla formulazione dei contratti tra titolare del trattamento e responsabile del trattamento, derivanti in particolare dall'articolo 28 GDPR.
Il parere spiega che i titolari del trattamento dovrebbero avere le informazioni sull'identità (ossia nome, indirizzo, persona di contatto) di tutti i responsabili del trattamento, sub-responsabili del trattamento ecc. prontamente disponibili in ogni momento in modo da poter adempiere al meglio ai loro obblighi ai sensi dell'articolo 28 GDPR. Inoltre, l'obbligo del titolare del trattamento di verificare se i (sub)responsabili del trattamento presentino "garanzie sufficienti" dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene la portata di tale verifica possa variare, in particolare sulla base dei rischi associati al trattamento.
Il parere afferma inoltre che, mentre il responsabile del trattamento iniziale dovrebbe garantire di proporre sub-responsabili del trattamento con garanzie sufficienti, la decisione finale e la responsabilità sull'assunzione di uno specifico sub-responsabile del trattamento spettano al responsabile del trattamento.
L'EDPB ritiene che, ai sensi del GDPR, il titolare del trattamento non abbia il dovere di chiedere sistematicamente ai contratti di subtrattamento di verificare se gli obblighi in materia di protezione dei dati sono stati trasmessi lungo la catena di trattamento. Il titolare del trattamento dovrebbe valutare se la richiesta di una copia di tali contratti o il loro riesame siano necessari per poter dimostrare la conformità al GDPR.
Inoltre, qualora i trasferimenti di dati personali al di fuori dello Spazio economico europeo avvengano tra due (sub)responsabili del trattamento, il responsabile del trattamento in quanto esportatore di dati dovrebbe preparare la documentazione pertinente, ad esempio relativa al motivo del trasferimento utilizzato, alla valutazione d'impatto del trasferimento e alle eventuali misure supplementari. Tuttavia, poiché il titolare del trattamento è ancora soggetto agli obblighi derivanti dall'articolo 28, paragrafo 1, GDPR in materia di "garanzie sufficienti", oltre a quelli di cui all'articolo 44 per garantire che il livello di protezione non sia compromesso dai trasferimenti di dati personali, dovrebbe valutare tale documentazione ed essere in grado di mostrarla all'autorità di protezione dei dati competente.
Successivamente, il comitato ha adottato orientamenti sul trattamento dei dati personali basato su un interesse legittimo.
I titolari del trattamento hanno bisogno di una base giuridica per trattare i dati personali in modo lecito. L'interesse legittimo è una delle sei possibili basi giuridiche.
Le presenti linee guida analizzano i criteri di cui all'articolo 6, paragrafo 1, lettera f), GDPR che i titolari del trattamento devono soddisfare per trattare legittimamente i dati personali sulla base di un interesse legittimo. Prende inoltre in considerazione la recente sentenza della Corte di giustizia dell'Unione europea in materia (C-621/22, 4 ottobre 2024).
Per poter invocare un interesse legittimo, il titolare del trattamento deve soddisfare tre condizioni cumulative:
- il perseguimento di un interesse legittimo da parte del responsabile del trattamento o di terzi;
- la necessità di trattare i dati personali al fine di perseguire l'interesse legittimo;
- gli interessi o le libertà e i diritti fondamentali delle persone non prevalgono sugli interessi legittimi del titolare del trattamento o di terzi (esercizio di bilanciamento).
Anzitutto, solo gli interessi leciti, chiaramente e precisamente articolati, reali e presenti possono essere considerati legittimi. Ad esempio, tali interessi legittimi potrebbero sussistere in una situazione in cui la persona fisica è un cliente o al servizio del titolare del trattamento.
In secondo luogo, se esistono alternative ragionevoli, altrettanto efficaci, ma meno intrusive per conseguire gli interessi perseguiti, il trattamento può non essere considerato necessario. Anche la necessità di un trattamento dovrebbe essere esaminata con il principio della minimizzazione dei dati.
In terzo luogo, il titolare del trattamento deve garantire che il suo interesse legittimo non prevalga sugli interessi della persona, i diritti fondamentali delle libertà. In questo esercizio di bilanciamento, il titolare del trattamento deve tenere conto degli interessi delle persone fisiche, dell'impatto del trattamento e delle loro ragionevoli aspettative, nonché dell'esistenza di garanzie aggiuntive che potrebbero limitare l'impatto sulla persona fisica.
Inoltre, i presenti orientamenti spiegano in che modo tale valutazione dovrebbe essere effettuata nella pratica, anche in una serie di contesti specifici quali la prevenzione delle frodi, il marketing diretto e la sicurezza delle informazioni. Il documento spiega anche il rapporto tra questa base giuridica e una serie di diritti degli interessati ai sensi del GDPR.
Gli orientamenti saranno oggetto di consultazione pubblica fino al 20 novembre 2024.
Successivamente, il comitato ha adottato una dichiarazione a seguito delle modifiche apportate dal Parlamento europeo e dal Consiglio alla proposta di regolamento della Commissione europea che stabilisce norme procedurali supplementari relative all’applicazione del RGPD.
La dichiarazione accoglie in generale con favore le modifiche introdotte dal Parlamento europeo e dal Consiglio e raccomanda di affrontare ulteriormente elementi specifici affinché il nuovo regolamento consegua gli obiettivi di razionalizzare la cooperazione tra le autorità e migliorare l'applicazione del regolamento generale sulla protezione dei dati.
La dichiarazione formula raccomandazioni pratiche che possono essere utilizzate nel contesto dei prossimi triloghi. In particolare, l'EDPB ribadisce la necessità di una base giuridica e di una procedura armonizzata per la composizione amichevole e formula raccomandazioni al fine di garantire che il consenso sulla sintesi delle questioni chiave sia raggiunto nel modo più efficiente possibile. Il Comitato accoglie inoltre con favore l'inclusione di termini aggiuntivi, ricordando nel contempo che devono essere realistici, ed esorta i colegislatori a eliminare le disposizioni relative alle obiezioni pertinenti e motivate e alla "motivazione" nella procedura di risoluzione delle controversie.
Sebbene la dichiarazione accolga con favore l'obiettivo di conseguire una maggiore trasparenza, l'introduzione di un fascicolo congiunto, come proposto dal Parlamento europeo, richiederebbe complesse modifiche ai sistemi di gestione dei documenti e di comunicazione utilizzati a livello europeo e nazionale. Le soluzioni tecniche per la sua attuazione dovrebbero essere attentamente valutate e le modalità per concederne l'accesso dovrebbero essere ulteriormente chiarite.
L'EDPB accoglie con favore la modifica del Consiglio che consente all'autorità di protezione dei dati capofila di non partecipare alla cosiddetta cooperazione rafforzata in casi semplici e diretti, ma sottolinea la necessità di chiarire ulteriormente l'ambito di applicazione di tale non partecipazione.
Il presidente dell'EDPB Anu Talus ha dichiarato: "Il progetto di regolamento ha il potenziale per semplificare notevolmente l'applicazione del GDPR aumentando l'efficienza del trattamento dei casi. È necessaria una maggiore armonizzazione a livello dell'UE, al fine di massimizzare la piena efficacia dei meccanismi di cooperazione e coerenza del GDPR."
Nel corso dell'ultima sessione plenaria il comitato ha adottato il suo programma di lavoro per il periodo 2024-2025. Si tratta del primo dei due programmi di lavoro che attueranno la strategia dell'EDPB per il periodo 2024-2027 adottata nell'aprile 2024. Si basa sulle priorità stabilite nella strategia dell'EDPB e tiene conto anche delle esigenze individuate come le più importanti per i portatori di interessi.
Infine, i membri dell'EDPB hanno convenuto di concedere lo status di osservatore alle attività dell'EDPB all'Agenzia kosovara per l'informazione e la privacy (APD del Kosovo), in linea con l'articolo 8 del regolamento interno dell'EDPB.
Il comunicato stampa qui pubblicato è stato tradotto automaticamente dall'inglese. L'EDPB non garantisce l'esattezza della traduzione. Si prega di fare riferimento al testo ufficiale nella sua versione inglese in caso di dubbi.