Le autorità per la protezione dei dati europee adottano le linee guida sul legittimo interesse e un parere sui responsabili del trattamento
Durante la sua ultima sessione plenaria del 9 ottobre 2024, il Comitato Europeo per la Protezione dei Dati (European Data Protection Board) ha adottato un parere su alcuni obblighi derivanti dal ricorso a responsabili del trattamento e sub-responsabili, le linee guida sul legittimo interesse, una dichiarazione per stabilire ulteriori regole procedurali per l'applicazione del GDPR, e il programma di lavoro del board europeo nel biennio 2024-2025.
Innanzitutto, il Comitato europeo ha adottato un parere su alcuni obblighi derivanti dal ricorso a responsabili e sub-responsabili del trattamento, a seguito di una richiesta dell'Art. 64(2) del GDPR avanzata dal Garante della privacy danese. L'Art. 64(2) del Regolamento UE prevede che qualsiasi autorità di controllo possa chiedere al board di emettere un parere su questioni di applicazione generale o che producono effetti in più di uno Stato membro Ue.
Il parere riguarda situazioni in cui i titolari del trattamento si affidano a uno o più responsabili e sub-responsabili del trattamento. In particolare, affronta otto questioni relative all'interpretazione di alcuni doveri dei titolari che si affidano a responsabili e sub-responsabili del trattamento, nonché alla formulazione dei contratti tra titolare e responsabile, derivanti in particolare dall'Art. 28 del GDPR.
Il parere spiega che i titolari dovrebbero disporre delle informazioni sull'identità (ovvero nome, indirizzo, persona di contatto) di tutti i responsabili e sub-responsabili in qualsiasi momento per poter adempiere al meglio agli obblighi previsti dall'Art. 28 del GDPR. Inoltre, l'obbligo del titolare di verificare se i (sub-)responsabili presentano “garanzie sufficienti” dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene l'estensione di tale verifica possa variare, in particolare sulla base dei rischi associati al trattamento.
Il parere afferma inoltre che, mentre il responsabile iniziale dovrebbe garantire che i sub-responsabili proposti offrano garanzie sufficienti, la decisione finale e la responsabilità di ingaggiare un sub-responsabile specifico spettano al titolare. L’European Data Protection Board ritiene che il titolare non sia tenuto, in base al GDPR, a richiedere sistematicamente i contratti di sub-trasmissione per verificare se gli obblighi di protezione dei dati siano stati trasferiti lungo la catena del trattamento. Il titolare dovrebbe valutare se richiedere una copia di tali contratti o esaminarli sia necessario per poter dimostrare la conformità al GDPR.
Inoltre, nei casi in cui avvengano trasferimenti di dati personali al di fuori dello Spazio Economico Europeo (SEE) tra due (sub-)responsabili del trattamento, il responsabile come esportatore di dati dovrebbe preparare la documentazione pertinente, come quella relativa alla base del trasferimento utilizzata, alla valutazione dell'impatto del trasferimento e alle eventuali misure supplementari.
Tuttavia, poiché il titolare è ancora soggetto agli obblighi derivanti dall'Art. 28(1) del GDPR sulle “garanzie sufficienti”, oltre a quelli dell'art. 44 per garantire che il livello di protezione non venga compromesso dai trasferimenti di dati personali, dovrebbe valutare questa documentazione ed essere in grado di mostrarla all'Autorità di protezione dei dati competente.
Successivamente, il Comitato europeo ha adottato delle “Linee guida sul trattamento dei dati personali basato sull'interesse legittimo”.
I titolari del trattamento necessitano di una base giuridica per trattare i dati personali in modo lecito. L'interesse legittimo è una delle sei possibili basi giuridiche.
Queste Linee guida analizzano i criteri stabiliti dall'Art. 6(1)(f) del GDPR che i titolari devono rispettare per trattare i dati personali lecitamente sulla base dell'interesse legittimo. Prende in considerazione anche la recente sentenza della Corte di Giustizia Europea su questo argomento (C-621/22, 4 ottobre 2024).
Per basarsi sull'interesse legittimo, il titolare deve soddisfare tre condizioni cumulative:
1) Il perseguimento di un legittimo interesse da parte del titolare o di un terzo;
2) La necessità di trattare i dati personali per perseguire tale legittimo interesse;
3) Gli interessi o i diritti e le libertà fondamentali delle persone non devono prevalere sugli interessi legittimi del titolare o di un terzo (bilanciamento degli interessi).
Prima di tutto, solo gli interessi che sono leciti, chiaramente e precisamente definiti, reali e presenti possono essere considerati legittimi. Ad esempio, tali interessi legittimi potrebbero esistere in una situazione in cui l'individuo è cliente o è al servizio del titolare.
In secondo luogo, se esistono alternative ragionevoli, altrettanto efficaci ma meno invasive per perseguire gli interessi perseguiti, il trattamento potrebbe non essere considerato necessario. La necessità del trattamento dovrebbe anche essere esaminata in base al principio di minimizzazione dei dati.
Con il terzo aspetto, il titolare deve assicurarsi che il proprio interesse legittimo non prevalga sugli interessi, sui diritti e sulle libertà fondamentali dell'individuo. In questo bilanciamento, il titolare deve tenere conto degli interessi degli individui, dell'impatto del trattamento e delle loro aspettative ragionevoli, nonché dell'esistenza di garanzie aggiuntive che potrebbero limitare l'impatto sull'individuo.
Inoltre, queste linee guida spiegano come questa valutazione dovrebbe essere condotta in pratica, anche in diversi contesti specifici come la prevenzione delle frodi, il marketing diretto e la sicurezza delle informazioni. Il documento spiega anche la relazione tra questa base giuridica e una serie di diritti degli interessati ai sensi del GDPR. Le Linee guida saranno soggette a consultazione pubblica fino al 20 novembre 2024.
Successivamente, a seguito delle modifiche apportate dal Parlamento Europeo e dal Consiglio alla proposta della Commissione UE, il Comitato europeo ha adottato la Dichiarazione 4/2024, su un regolamento che stabilisca ulteriori norme procedurali per l'applicazione del GDPR.
La dichiarazione accoglie favorevolmente le modifiche introdotte dal Parlamento Europeo e dal Consiglio Ue e raccomanda di affrontare ulteriormente alcuni elementi specifici affinché il nuovo regolamento possa raggiungere gli obiettivi di razionalizzazione della cooperazione tra le autorità e migliorare l'applicazione del GDPR.
La dichiarazione fornisce raccomandazioni pratiche che possono essere utilizzate nel contesto dei prossimi triloghi. In particolare, l’European Data Protection Board ribadisce la necessità di una base giuridica e di una procedura armonizzata per le risoluzioni amichevoli e fornisce raccomandazioni per garantire che il consenso sul riassunto delle questioni chiave venga raggiunto nel modo più efficiente possibile. Il Comitato delle autorità per la protezione dei dati dell’Ue accoglie inoltre con favore l'inclusione di ulteriori scadenze, ricordando tuttavia che devono essere realistiche, e invita i co-legislatori a rimuovere le disposizioni relative alle obiezioni pertinenti e motivate e alla “dichiarazione di motivi” nella procedura di risoluzione delle controversie.
Pur accogliendo l'obiettivo di ottenere una maggiore trasparenza, l'introduzione di un fascicolo congiunto, come proposto dal Parlamento Europeo, richiederebbe cambiamenti complessi nei sistemi di gestione e comunicazione dei documenti utilizzati a livello europeo e nazionale. Le soluzioni tecniche per la sua attuazione dovrebbero essere attentamente valutate e le modalità per concedervi l'accesso dovrebbero essere ulteriormente chiarite.
(Nella foto: Anu Talus, Presidente dell’European Data Protection Board)
Il Board dei Garanti della privacy europei, accoglie con favore l'emendamento del Consiglio che consente all'autorità capofila di rinunciare alla cosiddetta cooperazione rafforzata in casi semplici e diretti, ma sottolinea la necessità di chiarire ulteriormente la portata di questa rinuncia.
La Presidente dell’European Data Protection Board, Anu Talus, ha dichiarato: “Il regolamento proposto ha il potenziale per snellire notevolmente l'applicazione del GDPR aumentando l'efficienza nella gestione dei casi. È necessaria una maggiore armonizzazione a livello dell'UE per massimizzare la piena efficacia dei meccanismi di cooperazione e coerenza del GDPR”.
Durante l'ultima plenaria, il Comitato ha adottato anche il proprio programma di lavoro per il biennio 2024-2025. Questo è il primo di due programmi di lavoro che attueranno la strategia dell’European Data Protection Board per il 2024-2027 adottata nell’ aprile 2024. È basato sulle priorità fissate nella strategia del board e tiene conto delle esigenze identificate come più importanti per le parti interessate.
infine, i membri del Comitato hanno concordato di concedere lo status di osservatore alle attività dell'EDPB all'Agenzia per l'Informazione e la Privacy del Kosovo (DPA del Kosovo), in conformità con l'Art. 8 del Regolamento di Procedura dell'EDPB.
Fonte: European Data Protection Board
