Sono state definitivamente varate le Linee Guida sull’ambito di applicazione territoriale del GDPR: già il 16 novembre 2018, il Comitato Europeo per la Protezione dei Dati (EDPB) aveva pubblicato il testo che, poi, in considerazione del forte impatto che le Linee Guida possono produrre, è stato sottoposto a consultazione pubblica prima della sua definitiva approvazione.
Per garantire che siano rispettate le norme del Regolamento UE 679/2016 in relazione ai trattamenti che i responsabili debbano eseguire per conto del titolare, il Legislatore Europeo ha previsto, tra l’altro, che l’esecuzione dei compiti del responsabile venga disciplinata da un atto con valenza giuridica, nomina quindi non più meramente facoltativa ma obbligatoria in forza di un contratto o altro atto giuridico vincolante.
Il Wall Street Journal ha pubblicato pochi giorni fa un articolo a firma Sam Schechner che annuncia un vero e proprio terremoto nel modello di business che è alla base dei successi di Meta e delle piattaforme ad essa ricollegabili. Inoltre l’annuncio del WSJ costituisce anche una notizia importante circa il ruolo che sempre più sta assumendo lo European Data Protection Board nell’applicazione del Gdpr anche rispetto ai meccanismi di controllo e coerenza tra le Autorità di controllo sull’uso dei dati personali.
La consultazione pubblica delle linee guida EDPB 9/2022 sulla notifica delle violazioni dei dati personali riguarda un’unica modifica, relativa al paragrafo 73. Dalla versione originale WP250 rev.01 viene proposto un aggiornamento limitatamente all’esigenza di chiarire i requisiti per provvedere alla notifica nell’ambito di attività svolte da parte di titolari non stabiliti nel territorio dell’Unione le cui attività riguardano “l’offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato” oppure “il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione” (art. 3.2 GDPR).
Le imprese e le organizzazioni della società civile avranno tempo fino al 30 settembre per proporre modifiche alle “Linee guida sulle certificazioni come strumento per i trasferimenti” dei dati personali in Paesi fuori dallo Spazio economico europeo, appena approvate dai Garanti privacy europei in seno all’EDPB.
L’utilizzo delle app per il contact tracing, ovvero il tracciamento degli spostamenti delle persone finalizzato al contenimento dei contagi da coronavirus, deve essere volontario, non obbligatorio. Lo ha detto la Commissione europea col pieno supporto del Comitato europeo per la protezione dei dati (Edpb, European data protection board).
La geolocalizzazione, quale misura di prevenzione del contagio da Covid-19, è possibile, ma solo a tre condizioni: deve avere una base giuridica normativa; deve rispettare i principi di proporzionalità; deve essere garantito il diritto di difesa in via giudiziale. Questa la sintesi della dichiarazione ufficiale del Comitato Europeo per la protezione dei dati (Edpb), che è intervenuto il 16 marzo 2020 con una dichiarazione ufficiale del presidente Andrea Jelinek, il quale ha indicato i parametri generali per bilancio l’interesse alla salute pubblica e il diritto alla protezione dei dati personali.
Il 12 maggio 2022 il Comitato europeo per la protezione dei dati ha adottato le Linee Guida 04/2022 che hanno l’obiettivo di armonizzazione le metodologie di calcolo delle sanzioni amministrative pecuniarie connesse alle violazioni del Regolamento UE 2016/679 sulla protezione dei dati personali (Gdpr) all’interno dell’area UE.
Come è noto, uno dei nodi importanti affrontato dal GDPR è stato quello di assicurare che fossero chiari i rapporti tra le autorità di protezione dei dati dei vari paesi, sia sotto il profilo della ripartizione delle competenze tra esse, che sotto quello della conformità dei criteri adottati per applicare le norme del Regolamento UE, e sia per gli aspetti relativi alla qualificazione degli eventuali trattamenti illeciti di dati, che alla definizione delle sanzioni da adottare.
Il 19 gennaio 2022, durante la sessione plenaria, l’EDPB ha adottato le Linee guida sul diritto di accesso ai dati personali da parte dell’interessato. Già nel novembre 2019, nel corso di un evento su questo tema, i più importanti player avevano espresso le proprie opinioni in merito al diritto di accesso. Il Board, raccogliendo queste opinioni, ha sentito l’esigenza di pubblicare Linee guida per fornire, tra l’altro chiarimenti sulla portata del diritto di accesso, sulle informazioni che il titolare del trattamento deve fornire all’interessato, sul formato della richiesta di accesso, sulle principali modalità di fornitura dell’accesso e sulla nozione di “manifestamente infondata” o “richiesta eccessiva”.
