NEWS
Il secondo anno di attività del Comitato Europeo per la Protezione dei Dati: pubblicata la Relazione Annuale 2019
In data 18 maggio 2020, il Comitato Europeo per la Protezione dei Dati (“EDPB” o “Comitato”) ha pubblicato sul proprio sito web1 la Relazione Annuale che riepiloga l’attività svolta nel corso del 2019, ai sensi dell’articolo 71, paragrafo 2, Regolamento (UE) 2016/679 (“GDPR” o “Regolamento”).
La Relazione include, tra l’altro, l’applicazione pratica degli orientamenti pubblicati dal Comitato, le raccomandazioni e le relazioni sulle migliori pratiche formulate dallo stesso, finalizzate all’applicazione coerente e unitaria del GDPR nonchè le decisioni vincolanti adottate ai sensi dell’articolo 65, GDPR.
In particolare, nel periodo temporale considerato, il Comitato ha adottato cinque nuove linee guida - di cui due in versione finale post consultazione pubblica - e sedici pareri che hanno riguardato, inter alia, la privacy by design e default, il diritto all’oblio, le valutazioni d’impatto sulla protezione dei dati, l’interazione tra il GDPR e la c.d. Direttiva ePrivacy2. Sono state altresì approvate, in via definitiva, tre guidelines del 2018 recanti i chiarimenti in relazione alla certificazione e ai criteri di accreditamento degli organismi di certificazione ai sensi dell’articolo 43 GDPR nonché all’ambito di applicazione territoriale del Regolamento.
L’EDPB ha inoltre pubblicato due report sulla seconda e terza revisione annuale della Decisione di Esecuzione (UE) 2016/1250 sull'adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy (c.d. Privacy Shield) effettuata dalla Commissione europea. Nella prima ha accolto con favore gli sforzi compiuti dalle autorità statunitensi e dalla Commissione europea per attuare tale decisione, esprimendo tuttavia preoccupazioni significative, tra l’altro, circa la mancanza di garanzie concrete volte a escludere la raccolta indiscriminata e l'accesso ai dati personali per finalità legate alla sicurezza nazionale, mentre nella seconda ha rilevato che diverse questioni sollevate in precedenza sono rimaste irrisolte.
La Relazione Annuale contiene, peraltro, una panoramica non esaustiva delle più rilevanti violazioni del Regolamento accertate dai Garanti nazionali e che hanno visto l’applicazione di
provvedimenti correttivi ai sensi dell’articolo 58, paragrafo 2, GDPR. Nello specifico, buona parte delle fattispecie considerate hanno a oggetto il trattamento non conforme al Regolamento delle categorie particolari di dati personali ai sensi dell’articolo 9 GDPR, tra cui i dati relativi alle opinioni politiche e i dati biometrici e riguardano l’esercizio del diritto di accesso e del diritto alla cancellazione nonché il mancato rispetto del principio di privacy by design e default e la non corretta attuazione di misure tecniche e organizzative adeguate.
Per il secondo anno consecutivo l’EDPB ha poi fornito i risultati del sondaggio sul grado di soddisfazione relativo al contenuto e al processo di adozione delle linee guida, a cui hanno aderito società operanti, tra gli altri, nel settore dei financial services, del commercio all'ingrosso e al dettaglio, nonché delle tecnologie dell'informazione e sanitario. La maggioranza dei partecipanti ha ritenuto le linee guida utili, il 46% (quasi la metà) di essi sufficientemente pragmatiche e l’80% facilmente accessibili, incoraggiando tuttavia il Comitato all’emissione di chiarimenti in merito in particolare alla relazione tra titolare e responsabile del trattamento e con riferimento al legittimo interesse quale base giuridica del trattamento di dati personali.
Raccogliendo l’invito di coloro che hanno partecipato al sondaggio, il Comitato conclude la propria Relazione Annuale prefiggendosi gli obiettivi per il 2020 che includono le guidance richieste e promettendo un’intensificazione della propria attività nell’ambito delle tecnologie avanzate quali la blockchain, l’intelligenza artificiale, i veicoli connessi e gli assistenti digitali.
