Rapporto annuale EDPB 2020: garantire i diritti alla protezione dei dati in un mondo in evoluzione

Il Comitato europeo per la protezione dei dati (EDPB) ha presentato il 2 giugno scorso la sua relazione annuale 2020 "2020 Annual Report - Ensuring data protection rights in a changing world", nella quale viene fornita una panoramica dettagliata del lavoro svolto dall'EDPB in un anno segnato dalla pandemia COVID-19.

Il presidente dell'EDPB, Andrea Jelinek, ha dichiarato:

"Il 2020 e la pandemia di COVID-19 hanno modificato in modo significativo il modo in cui viviamo e lavoriamo. Data la crescente presenza di tecnologie basate sui dati nell'affrontare la pandemia, la consapevolezza dei diritti alla protezione dei dati tra individui e organizzazioni non è mai stata più critica. È importante notare che i lockdown e le altre limitazioni del 2020 in tutti i nostri Paesi non hanno significato un rallentamento delle attività dell'EDPB. Il 2020 è stato caratterizzato da molti importanti sviluppi nella sfera giuridica della protezione dei dati dell'UE, che hanno richiesto l'esperienza e la guida dell'EDPB".

Durante la pandemia di COVID-19, gli Stati membri del SEE hanno iniziato ad adottare misure per monitorare, contenere e mitigare la diffusione del virus. L'EDPB ha emesso linee guida, tra le altre, sulle app di localizzazione e tracciamento dei contatti, sull'elaborazione di dati sanitari per ricerca scientifica, sulle restrizioni ai diritti degli interessati in uno stato di emergenza e sul trattamento dei dati nel contesto della riapertura delle frontiere. 

La sentenza della Corte di Giustizia dell'Unione Europea in Schrems II (causa C-311/18) ha avuto implicazioni significative per le entità con sede nel SEE che trasferiscono dati negli Stati Uniti e in altri paesi terzi. L'EDPB ha emesso un documento FAQ, seguito in seguito da Raccomandazioni per misure supplementari quando si utilizzano strumenti di trasferimento internazionale, per garantire il rispetto del livello di protezione richiesto dal diritto dell'UE, e Raccomandazioni sulle garanzie essenziali europee che contribuiscono alla valutazione delle misure di sorveglianza che consentono l'accesso ai dati personali dati da parte di autorità pubbliche in paesi terzi. Le raccomandazioni per le misure supplementari sono state oggetto di consultazione pubblica. L'EDPB ha ricevuto oltre 200 contributi da varie parti interessate, che sta attualmente analizzando. 

Nel corso del 2020, l'EDPB ha definito la sua Strategia per il 2021-2023, che copre quattro pilastri principali con obiettivi strategici: 

• promuovere l'armonizzazione e facilitare la conformità; 
• sostenere un'applicazione efficace e una cooperazione efficiente tra le Autorità di vigilanza nazionali; 
• seguire un approccio dei diritti fondamentali alle nuove tecnologie;
• attuare la dimensione globale. 

Per ciascuno dei pilastri, sono definite una serie di azioni chiave per aiutare a raggiungere questi obiettivi. All'inizio del 2021, l'EDPB ha adottato il suo programma di lavoro biennale per il 2021-2022 . Il programma di lavoro segue le priorità stabilite nella strategia EDPB 2021-2023 e metterà in pratica gli obiettivi strategici del Comitato europeo.

Nel 2020, l'EDPB ha adottato 10 Linee guida su temi come la nozione di titolare e responsabile del trattamento e il targeting degli utenti dei social media, nonché 3 Linee guida nelle loro versioni finali post-consultazione su dispositivi video, diritto all'oblio e protezione dei dati fin dalla progettazione e per impostazione predefinita. 

Oltre a fornire orientamenti, garantire la coerenza nell'applicazione e nella cooperazione tra le Autorità nazionali è compito fondamentale del Comitato europeo, che, nel 2020, ha emesso 32 pareri ai sensi dell'art. 64 GDPR. La maggior parte di questi pareri riguarda progetti sui requisiti di accreditamento per un organismo di monitoraggio del codice di condotta o un organismo di certificazione, nonché regole aziendali vincolanti per il controllore per varie società.

Il 9 novembre 2020, l'EDPB ha adottato la sua prima decisione di risoluzione delle controversie sulla base dell'art. 65 GDPR. La decisione vincolante ha affrontato la controversia sorta dopo che la SA irlandese, in qualità di SA Lead, ha emesso un progetto di decisione riguardante Twitter International Company e le successive obiezioni pertinenti e motivate espresse da alcune SA interessate. 

Il Regolamento (UE) 27 aprile 2016, n. 2016/679 richiede alle Autorità di vigilanza del SEE di collaborare strettamente per garantire l'applicazione coerente del GDPR e la protezione del diritto alla tutela dei dati delle persone in tutto il SEE. 

Tra il 1° gennaio e il 31 dicembre 2020, ci sono stati 628 casi transfrontalieri di cui 461 originati da una denuncia, mentre 167 hanno avuto altre origini, come indagini, obblighi legali e/o resoconti dei media. 

Il meccanismo One-Stop-Shop stabilisce un obbligo di cooperazione tra l’Autorità di controllo capofila e le altre autorità interessate nell'ambito dei c.d. casi cross-border, i quali presentano dei profili di trans-nazionalità. L’Autorità capofila, infatti, ha il compito di predisporre un progetto di decisione da sottoporre all'attenzione dei Garanti nazionali, al fine di potere tenere debitamente conto delle loro opinioni ed obiezioni al fine di ottenere il relativo consenso. Tra il 1° gennaio 2020 e il 31 dicembre 2020 sono stati elaborati 203 progetti di decisione, di cui 93 sono sfociati in decisioni finali.

La procedura di mutua assistenza consente alle SA di chiedere informazioni ad altre SA o di richiedere altre misure per una cooperazione efficace, come autorizzazioni o indagini preliminari. Tra il 1° gennaio 2020 e il 31 dicembre 2020, le SA hanno avviato 246 procedure formali di assistenza reciproca. Hanno avviato 2.258 procedure informali di mutua assistenza. L'assistenza reciproca viene utilizzata anche dalle SA chiedendo alla SA competente di gestire i reclami ricevuti che non riguardano il trattamento transfrontaliero come definito dal GDPR.