EDPB-relazione-annuale

Relazione annuale EDPB 2022

31 Maggio 2023

Anche il Comitato Europeo per la Protezione dei Dati (EDPB – European Data Protection Board), come già l’EDPS (Garante Europeo per la Protezione dei Dati), ha presentato la propria relazione annuale in merito alle attività svolte nel corso dell’ultimo anno per implementare la diretta applicabilità del Regolamento Europeo Privacy (GDPR), nel rispetto dei principi e degli obiettivi che delineano la sua strategia per il periodo 2021-2023.

Cos’è l’EDPB?

L’EDPB è un organismo europeo indipendente, composto dall’EDPS, dai capi delle autorità di controllo dell’UE (SA) e dalla Commissione Europea, avente il duplice scopo di garantire l’applicazione delle norme sulla protezione dei dati in tutto lo SEE e di promuovere la cooperazione tra le autorità di vigilanza nazionali, anche attraverso l’emanazione di provvedimenti, decisioni e linee guida in tema di interpretazione e di applicazione del GDPR.

Ripercorriamo quindi i punti salienti dell’attività condotta dall’EDPB nell’anno 2022.

 

PROMOZIONE DELLA COOPERAZIONE

Nel 2022 l’EDPB si è occupato di numerosi progetti finalizzati a garantire l’applicazione coerente del GDPR in tutto lo Spazio Economico Europeo (SEE) e a promuovere la cooperazione tra gli Stati Membri dell’UE.

Innanzitutto, nel corso dell’ultimo anno il Comitato ha proposto diverse iniziative per stimolare alla semplificazione dei meccanismi di cooperazione in sede di applicazione della legge privacy attraverso:

  • l’istituzione di task force che analizza e opera sugli argomenti chiave alla luce delle caratteristiche tipiche del panorama transfrontaliero in cui si procederà con le attività di enforcement;
  • l’espletamento di indagini coordinate su mille sistemi in cloud utilizzati dalle Amministrazioni Pubbliche di tutto lo SEE;
  • l’istituzione di un pool di supporto alle attività di sorveglianza, di indagine e di applicazione.

L’EDPB ha provveduto poi all’adozione delle linee guida 2/2022 sull’applicazione del principio dello sportello unico (OSS – One-Stop-Shop) ex art. 60 GDPR: le imprese-titolari del trattamento si possono interfacciare solo con l’Autorità di controllo competente per il Paese nel cui territorio esse abbiano stabilito la sede principale; in proposito, le norme vincolanti di impresa adottate dall’Autorità nazionale avranno efficacia anche presso gli altri Stati Membri. Pertanto, l’ottemperanza al principio-meccanismo OSS, favorisce l’applicazione delle procedure nazionali in un clima di cooperazione tra l’EDPB (quale autorità di controllo capofila), le autorità di sorveglianza Interessate (SA) e le terze parti.

Ulteriore importanza può essere riconosciuta poi alle attività collegate all’emanazione dell’orientamento 4/2022 finalizzato ad armonizzare la procedura di commisurazione delle sanzioni da parte delle SA, adottato per favorire la cooperazione delle medesime Autorità sui casi di rilievo transfrontaliero. Il nuovo metodo è articolato in cinque fasi:

  1. valutazione delle condotte sanzionabili e delle eventuali infrazioni conseguenti;
  2. calcolo dell’ammenda attraverso tre parametri (categorizzazione delle infrazioni per natura, gravità dell’infrazione e fatturato dell’impresa);
  3. determinazione delle eventuali circostanze aggravanti ed attenuanti;
  4. definizione della sanzione entro il massimo legale comminato nel GDPR;
  5. accertamento della conformità della sanzione commisurata, rispetto ai princìpi di efficacia, dissuasività e proporzionalità, ed eventuali aggiustamenti all’importo da irrogare.

Infine, l’EDPB si è preoccupato di risolvere alcune particolari controversie presentate alla sua attenzione dalle autorità di vigilanza, secondo la procedura ex art. 65, par. 1, lett. a), GDPR.  Nello specifico possiamo ricordare cinque liti di maggior rilievo, disciplinate dal Comitato attraverso l’emanazione di decisioni vincolanti:

  • decisione vincolante 01/2022: caso “SA francese Accor SA”;
  • decisione vincolante 02/2022: caso “progetto di decisione della SA irlandese in merito alle Piattaforme Meta Ireland Limited (Instagram)”;
  • decisione vincolante 03/2022: caso “SA irlandese Piattaforme Meta Ireland Limited-servizio Facebook”;
  • decisione vincolante 04/2022: caso “SA irlandese Piattaforme Meta Ireland Limited-servizio Instagram”;
  • decisione vincolante 05/2022: caso “SA irlandese WhatsApp Ireland Limited”.

 

ALTRE ATTIVITA’ DELL’EDPB

L’EDPB si è occupato anche della pubblicazione di orientamenti generali per chiarire la normativa europea in materia di protezione dei dati, in particolare ha emanato:

  • 12 linee guida contenenti le regole di condotta per i trasferimenti di dati personali nel rispetto dei diritti degli interessati, le procedure di calcolo o di commisurazione delle sanzioni amministrative; le procedure di adozione di accordi amichevoli;
  • 8 documenti legislativi rivolti alle Istituzioni dell’UE (IUE) e alle autorità nazionali, di cui 4 pareri congiunti riguardanti progetti dell’UE e adottati insieme all’EDPS;
  • 32 pareri di coerenza in tema di accreditamento degli organismi di certificazione o degli organismi di controllo, a garanzia della applicazione coerente del GDPR da parte delle SA nazionali.

 

ATTIVITA’ DELLE AUTORITA’ DI VIGILANZA

A differenza dell’EDPB, le SA si impegnano ad offrire forme e strumenti di tutela e di salvaguardia alla riservatezza degli Interessati, esercitano poteri correttivi ed assumono decisioni in merito a specifici diritti ex artt. 17, 21 GDPR (diritto all’oblio e diritto di opposizione), decisioni che vengono conservate poi in un apposito registro.

In concreto, le Autorità di vigilanza si occupano principalmente di promuovere la cooperazione, nello specifico:

  • coordinano il processo decisionale (cd. procedura di assistenza reciproca) in tema di trattamento transfrontaliero di dati. Su 714 procedure OSS, 330 sono giunte alla conclusione attraverso l’adozione di una decisione finale;
  • favoriscono il miglioramento della cooperazione attraverso l’inoltro di richieste di informazioni o di altre misure (autorizzazioni preventive, consultazioni, ispezioni o indagini) ad altri Stati;
  • intraprendono procedure formali di assistenza reciproca. Durante il 2022 le SA hanno dato avvio a 248 procedure formali di assistenza reciproca e di 2924 procedure formali di assistenza reciproca volontaria.

 

CONSULTAZIONE DEGLI STAKEHOLDERS

Infine, l’EDPB ha compiuto una revisione dell’attività svolta nell’anno 2022 attraverso indagini e sondaggi rivolti agli esperti di privacy e di informatica, ai rappresentanti delle Organizzazioni di DPO nell’UE, ai docenti universitari e agli avvocati privacy.

 

PREVISIONI PER L’ ANNO 2023

Per l’anno 2023 ed in vista dell’esito della strategia 2021-2023, l’EDPB ha pianificato le ultime azioni da compiere, individuate in relazione agli obiettivi chiave e ai pilastri del proprio progetto. Il Comitato intende innanzitutto persistere nella sua opera, continuerà a promuovere l’armonizzazione e la conformità della normativa privacy, la cooperazione tra le SA nazionali e il Comitato, l’approccio alle tecnologie di ultima generazione nel rispetto dei diritti fondamentali degli Interessati, la dimensione globale di applicazione del GDPR.

 

Scarica la relazione annuale EDPB 2022 – PDF

Ti serve una consulenza privacy?

Il nostro team sarà felice di trovare la soluzione perfetta per te!

Contattaci