Linee guida e task force dalla 37esima plenaria del Comitato Europeo per la Protezione dei Dati
In occasione della 37esima plenaria, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel regolamento generale sulla protezione dei dati (RGPD) e linee-guida sul targeting degli utenti dei social media. Inoltre, il comitato ha creato una task force che si occuperà dei reclami pervenuti a seguito della sentenza Schrems II della CGUE, oltre a una task force dedicata alle misure supplementari che gli esportatori e gli importatori di dati possono essere tenuti ad adottare per garantire una protezione adeguata in caso di trasferimento dei dati, alla luce della sentenza Schrems II della CGUE.
Il comitato ha adottato Linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel RGPD. Dopo l'entrata in vigore del RGPD sono stati sollevati vari interrogativi in merito agli effetti del RGPD stesso su tali concetti, in particolare per quanto riguarda la nozione di contitolarità del trattamento (di cui all'articolo 26 del RGPD, anche alla luce di alcune sentenze della CGUE), nonché gli obblighi dei responsabili del trattamento (fissati, in particolare, all'articolo 28 del RGPD) di cui al capo IV del RGPD.
Nel marzo 2019 il comitato, insieme al suo segretariato, ha organizzato un evento pubblico con le parti interessate che ha segnalato chiaramente la necessità di orientamenti più pratici e ha consentito al comitato di comprendere meglio le esigenze e le preoccupazioni in tale ambito. Le nuove linee-guida si articolano in due sezioni principali: una prima sezione in cui sono illustrati i singoli concetti, e una seconda sezione contenente orientamenti dettagliati sulle principali conseguenze che ne derivano per i titolari e i responsabili del trattamento nonché per i contitolari del trattamento. Un diagramma di flusso fornisce ulteriori orientamenti pratici. Le linee-guida saranno oggetto di una consultazione pubblica.
Il comitato ha adottato Linee-guida sul targeting degli utenti dei social media. Le linee-guida mirano a fornire orientamenti pratici alle parti interessate e presentano esempi di situazioni diverse così da consentire di individuare rapidamente lo "scenario" più vicino all’attività di targeting che i singoli soggetti intendono mettere in pratica. L'obiettivo principale delle linee-guida è chiarire ruoli e responsabilità del fornitore di social media e della persona interessata. A tal fine, vengono delineati, tra l'altro, i potenziali rischi per le libertà individuali, i principali attori e i rispettivi ruoli, l'applicazione dei requisiti fondamentali in materia di protezione dei dati, quali la liceità e la trasparenza dei trattamenti e la valutazione d'impatto sulla protezione dei dati, nonché gli elementi chiave degli accordi che disciplinano i rapporti tra i fornitori di social media e gli interessati. Inoltre, le linee-guida si concentrano sui diversi meccanismi di targeting, sul trattamento di categorie particolari di dati e sull'obbligo per i contitolari del trattamento di prevedere un accordo adeguato a norma dell'articolo 26 del RGPD. Le linee-guida saranno oggetto di una consultazione pubblica.
Il comitato ha creato una task force incaricata di esaminare i reclami presentati a seguito della sentenza Schrems II della CGUE. Sono stati presentati complessivamente 101 reclami identici alle autorità per la protezione dei dati del SEE nei confronti di diversi titolari del trattamento negli Stati membri del SEE, in merito al loro utilizzo di servizi di Google/Facebook che comportano il trasferimento di dati personali. In particolare, i reclamanti, rappresentati dall'ONG NOYB, sostengono che Google/Facebook trasferiscano dati personali negli Stati Uniti basandosi sullo scudo UE-USA per la privacy (Privacy Shield) o sulle clausole contrattuali tipo e che, alla luce della recente sentenza della CGUE nella causa C-311/18, il titolare del trattamento non sia in grado di garantire un'adeguata protezione dei dati personali dei reclamanti. La task force analizzerà la questione e garantirà una stretta cooperazione tra i membri del comitato.
A seguito della sentenza Schrems II della CGUE, e in aggiunta alle FAQ adottate il 23 luglio, il comitato ha creato una task force specifica con il compito di elaborare raccomandazioni per titolari e responsabili del trattamento nell'individuazione e nell'attuazione di adeguate misure supplementari finalizzate a garantire un'adeguata protezione in caso di trasferimento di dati verso paesi terzi.
Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: "Il comitato è ben consapevole del fatto che la sentenza Schrems II attribuisce ai titolari del trattamento una responsabilità importante. Oltre alla dichiarazione e alle FAQ pubblicate subito dopo la sentenza, elaboreremo raccomandazioni per supportare titolari e responsabili del trattamento nella necessaria individuazione e attuazione di adeguate misure supplementari di natura giuridica, tecnica e organizzativa al fine di soddisfare il requisito di « equivalenza sostanziale » nel trasferimento di dati personali verso paesi terzi. Tuttavia, la sentenza ha implicazioni di ampia portata e i contesti dei trasferimenti di dati verso paesi terzi sono molto diversi. Pertanto, non si può pensare a una soluzione unica e di immediata applicazione. Ciascun titolare o responsabile dovrà valutare i trattamenti svolti e i relativi trasferimenti, adottando le misure opportune."
Fonte: Garante Privacy