• Privacy

15 marzo 2019

EDPB in sessione plenaria: direttiva ePrivacy, elenchi per la valutazione d'impatto, uso dei dati personali nelle campagne politiche

Il 12 e 13 marzo 2019, il Comitato europeo per la protezione dei dati  (EDPB), composto dai rappresentanti delle Autorità nazionali per la protezione dei dati dell'European Economic Area (EEA) e dal Garante europeo della protezione dei dati (EDPS), si è riunito per l'ottava sessione plenaria, nel corso della quale sono stati discussi numerosi temi. 

 
Interazione Direttiva ePrivacy e GDPR

Il Comitato europeo per la protezione dei dati ha adottato un parere sull'interazione tra la direttiva ePrivacy ed il regolamento generale sulla protezione dei dati. Il parere cerca di fornire una risposta sulla questione se il fatto che il trattamento dei dati personali coinvolga l'ambito di applicazione sia del GDPR che della direttiva ePrivacy, limiti le competenze, i compiti ed i poteri delle Autorità di protezione dei dati ai sensi del GDPR. L'EDPB stabilisce che le Autorità di protezione dei dati sono competenti per far rispettare il GDPR. Il semplice fatto che un sottoinsieme del trattamento rientri nell'ambito della direttiva ePrivacy, non limita la competenza delle Autorità di protezione dei dati ai sensi del GDPR.

Una violazione del GDPR può allo stesso tempo costituire una violazione delle regole nazionali di ePrivacy. Le SA possono tenerne conto nell'applicare il GDPR (ad esempio quando si valuta la conformità ai principi di legalità o correttezza).  

Dichiarazione sulla futura disciplina della ePrivacy

L'EDPB ha adottato una dichiarazione in cui invita i legislatori dell'UE ad intensificare gli sforzi verso l'adozione della nuova direttiva ePrivacy, che è essenziale per completare il quadro normativo UE in materia di protezione dei dati e la riservatezza delle comunicazioni elettroniche.

La futura direttiva sulla ePrivacy non dovrebbe in nessun caso abbassare il livello di protezione offerto dall'attuale legislazione in materia (direttiva 12 luglio 2002, n. 2002/58/CE) e dovrebbe integrare il GDPR, fornendo ulteriori garanzie per tutti i tipi di comunicazioni elettroniche.

Elenchi di DPIA 

L'EDPB ha adottato due pareri sugli elenchi della valutazione dell'impatto sulla protezione dei dati (DPIA) presentati da Spagna e Islanda. Queste liste costituiscono uno strumento importante per l'applicazione coerente del GDPR attraverso il SEE. La DPIA è un processo per aiutare ad identificare e mitigare i rischi di protezione dei dati che potrebbero influenzare i diritti e le libertà delle persone. Mentre, in generale, il controllore dei dati deve valutare se è necessaria una DPIA prima di intraprendere l'attività di trattamento, le Autorità di vigilanza nazionali stabiliscono e stilano un elenco del tipo di operazioni di trattamento che sono soggette al requisito di una valutazione d'impatto sulla protezione dei dati. Questi due pareri seguono i 28 pareri adottati durante le precedenti riunioni plenarie e contribuiranno ulteriormente a stabilire criteri comuni per gli elenchi DPIA in tutto il SEE.

Dichiarazione sull'uso dei dati personali nel corso di campagne politiche

Alla luce delle imminenti elezioni europee e di altre elezioni in corso in tutta l'Unione Europea o che si svolgeranno nel 2019, l'EDPB ha adottato una dichiarazione sull'uso dei dati personali durante le campagne elettorali con un relativo annesso. Le tecniche di trattamento dei dati a fini politici possono comportare gravi rischi, non solo per quanto riguarda i diritti alla privacy e alla protezione dei dati, ma anche all'integrità del processo democratico. Nella sua dichiarazione, l'EDPB evidenzia una serie di punti chiave che devono essere presi in considerazione quando i partiti politici elaborano i dati personali nel corso delle attività elettorali.