Report annuale EDPB – Linee Guida

Il Regolamento europeo generale sulla protezione dei dati (di seguito GDPR) dedica la terza sezione del Capo VI al Comitato europeo per la protezione dei dati personali (di seguito EDPB) quale attore protagonista nell’applicazione del GDPR e nell’attività di cooperazione delle autorità competenti per la protezione dei dati.

L’articolo 68 del GDPR ne definisce i tratti essenziali: indipendenza, personalità giuridica, rappresentanza di figure di vertice delle autorità di controllo degli stati membri, del Garante europeo della protezione dei dati e dei rispettivi rappresentanti[1].

La mission perseguita dall’Autorità richiede l’assunzione di compiti e poteri di ampia portata: dalla definizione di orientamenti generali, mediante la pubblicazione di linee guida e raccomandazioni, alle attività di consulenza prestate alla Commissione europea.

La pubblicazione della relazione annuale redatta dall’Autorità, in ottemperanza all’articolo 71 del Regolamento Europeo Privacy – GDPR, risulta uno strumento utile per agevolare la comprensione delle mansioni demandate all’EDPB e per favorire la conoscenza dei contenuti delle decisioni vincolanti e delle linee guida.

Report annuale 2021 EDPB

A tale riguardo, lo scorso 12 maggio, l’EDPB ha reso disponibile sul proprio sito web, il report annuale 2021[2] delle sue attività, attualmente disponibile in lingua inglese.

Il titolo della relazione “Enhancing the depth and breadth of data protection” chiarisce immediatamente il principio regolatore delle attività svolte nel corso del 2021. È stato un anno particolarmente produttivo[3], nonostante i rallentamenti dettati dalla contingente situazione emergenziale dovuta al Covid-19.

Nella prefazione del documento, il Presidente chiarisce come i progetti seguiti ed implementati siano conformi alla predefinita strategia d’azione pluriennale 2021-2023, fondata sui seguenti pilastri:

• Comprensione ed armonizzazione della normativa;
• Cooperazione tra le autorità di controllo;
• Valutazione dei rischi impattanti sui dati personali relativi alle nuove tecnologie;
• Trasferimenti internazionali di dati.

Di seguito, ripercorriamo le attività principali segnalate quali “highlights” nella relazione, ricollegandoci all’ampio spettro di poteri riconosciuti all’Autorità dal GDPR.

Linee guida o raccomandazioni

Il Capo VI del GDPR conferisce all’EDPB il potere di elaborare orientamenti generali (fra cui linee guida, raccomandazioni e migliori prassi) finalizzati al chiarimento delle disposizioni del Regolamento. Sul punto, la relazione annuale riporta l’elenco delle “Guidelines” rilasciate dal Comitato, col supporto della Segreteria, messa a disposizione da parte del Garante europeo sulla protezione dei dati personali. Tra le diverse linee guida pubblicate, segnaliamo:

• Linee Guida 01/2021 relative agli esempi di violazione dei dati personali.

Il documento suddivide in sette categorie gli episodi di violazione dei dati personali segnalati alle Autorità di controllo degli stati membri.  Tra queste vengono citate attacchi ransomware, intrusioni non autorizzate cagionate dalle vulnerabilità degli apparati elettronici, furto di dispositivi, errori umani, etc…

Per ciascuna delle suddette categorie, il documento fornisce un elenco non esaustivo di misure di sicurezza, che potrebbero essere implementate per ridurre il rischio di violazione.

• Linee Guida 02/2021 in tema di assistenti vocali virtuali (AVV).

Il Comitato europeo pone l’attenzione sulla mole di dati personali raccolti dagli assistenti vocali virtuali (AVV) oramai installati di default nei nostri smartphone, veicoli ed elettrodomestici che ospitano le nostre case.

Tra le raccomandazioni fornite si evidenzia la necessità di fornire un’informativa adeguata agli interessati ai sensi dell’articolo 13 del GDPR, così da assicurare la trasparenza del trattamento dei dati posto in essere.

Inoltre, particolare attenzione va riservata alla limitazione della finalità e base giuridica utilizzata. In altre parole, il trattamento di richieste vocali da parte degli AVV persegue una finalità esplicitamente connessa all’esecuzione della richiesta, ma, nondimeno, potrebbero esservi ulteriori finalità che dovranno essere note all’interessato: miglioramento dell’AVV, profilazione dell’utente a fini di personalizzazione dei contenuti o della pubblicità, …

• Linee Guida 03/2021. L’elaborato si riconduce alla previsione di cui articolo 65 del GDPR, che contempla la possibilità per l’EDPB di adottare decisioni vincolanti. Le linee guida illustrano la procedura di adozione, con particolar focus sulle garanzie procedurali applicabili (diritto di accesso ai documenti, obbligo di motivazione, etc…).
• Linee Guida 04/2021 inerenti i codici di condotta come strumenti di legittimazione del trasferimento dei dati al di fuori dello Spazio Economico Europeo (SEE). Si tratta di disposizioni supplementari alle linee guida pubblicate nel 2019, che fissano in una check-list i requisiti minimi che il codice di condotta dovrebbe prevedere per il trasferimento ed evidenziano la necessità di assicurare misure integrative che variano a seconda dello scenario di riferimento.
• Linee Guida 05/2021 sempre in tema di trasferimento di dati verso Paesi terzi. Il documento stabilisce le condizioni, in presenza delle quali, si configura un trasferimento al di fuori dello SEE.

Pareri

Nell’intento di perseguire l’applicazione coerente del Regolamento europeo Privacy, nel corso del 2021, il Comitato ha rilasciato molteplici pareri, tra cui una buona parte (circa 18) concernenti progetti di norme vincolanti di impresa (BCR), sottoposti al vaglio da parte delle Autorità di controllo nazionali. In tutti i casi esaminati, l’EDPB ha ritenuto che le proposte fossero conformi agli elementi richiesti dalla normativa europea e garantissero le misure atte ad assicurare un livello adeguato di protezione dei dati.

I pareri emessi nel corso dell’anno hanno interessato ulteriori aspetti degni di nota. Tra questi spiccano i requisiti per l’accreditamento degli organismi di certificazione. Sul punto, le raccomandazioni del Comitato propendono per un approccio più coerente ed armonizzato. Ulteriore argomento da annoverare è rappresentato dalle bozze dei codici di condotta, presentate da parte di cinque Autorità di controllo.

Decisioni vincolanti

L’articolo 65, paragrafo 1, stabilisce: “Al fine di assicurare l’applicazione corretta e coerente del presente Regolamento, il comitato adotta una decisione vincolante nel caso in cui un’autorità di controllo interessata ha sollevato un’obiezione pertinente e motivata a un progetto di decisione dell’autorità di controllo capofila e l’autorità capofila non abbia dato seguito all’obiezione o abbia rigettato tale obiezione”. A questo proposito, il report condivide due decisioni vincolanti adottate dall’EDPB:

-Caso Whatsapp Ireland: il Comitato impartisce all’Autorità di controllo irlandese l’ordine di modificare la bozza di decisione nei punti concernenti le violazioni di trasparenza, data retention definitiva ed il calcolo della sanzione;

-Caso Facebook Ireland: nella decisione, l’EDPB, richiede all’Autorità di controllo irlandese di verificare se effettivamente si è configurato un trattamento di dati personali da parte del colosso e, in caso affermativo, la base giuridica che legittima il trattamento dei dati.

Non può mancare al presente compendio delle attività svolte dal Comitato, il riferimento alle attività di consultazione: il recap del 2021 riporta l’attenzione agli eventi organizzati al fine di raccogliere input e spunti su questioni specifiche inerenti la data protection, nell’interesse dello sviluppo di future linee guida. Tra questi segnaliamo l’evento relativo alla ricerca scientifica.

Rientrano nella categoria di tali attività anche le consultazioni pubbliche che hanno preceduto l’entrata in vigore delle linee guida succitate, nonché la conduzione di survey specifiche al fine di valutare il lavoro prestato (tra i risultati ottenuti, il Comitato condivide la richiesta di predisporre delle short versions dei documenti e degli orientamenti predisposti).

Con l’intento di aver attenzionato i punti salienti del documento condiviso dal Comitato, vi invitiamo ad una lettura approfondita dei testi di vostro maggiore interesse, così da comprendere appieno l’efficienza ed il contributo significativo di una delle principali istituzioni europee di riferimento nell’ambito della protezione dei dati.

[1] Art. 68, Reg. UE 2016/679 (Regolamento generale sulla protezione dei dati)

[2] https://edpb.europa.eu/our-work-tools/our-documents/annual-report/edpb-annual-report-2021_lt

[3] ivi, Andrea Jelinek in “2021 Annual Report”