Nella newsletter del I trimestre 2021 Motif fornisce un aggiornamento su tutte le novità in tema di tutela dei dati personali
PARERE EDPS SULLE MODIFICHE ALLA DIRETTIVA NIS
Il 12 marzo il Garante Europeo per la Protezione dei Dati (EDPS) con il parere 2/2021 si è pronunciato con favore relativamente alla proposta di aggiornamento della Direttiva NIS avanzata dalla Commissione europea. L’EDPS ha tuttavia raccomandato, tra le altre cose, di assicurarsi che la nuova Direttiva non indebolisca in alcun modo la crittografia end-to-end e che venga prevista una maggiore collaborazione tra le autorità NIS e le autorità di controllo della privacy.
EDPB E GEPD: PARERE CONGIUNTO SUL DGA
L’11 marzo, durante lo svolgimento della 46ma sessione plenaria, il Comitato Europeo per la Protezione dei Dati (EDPB) e il Garante Europeo per la Protezione di Dati (GEPD) hanno adottato un parere congiunto sulla proposta di legge relativa alla governance dei dati (DGA). L'EDPB e il GEPD, pur apprezzando l'obiettivo della DGA di migliorare le condizioni per la condivisione dei dati nel mercato interno e tra enti pubblici, chiedono ai legislatori di garantire che la futura DGA sia pienamente conforme al GDPR anche rispetto alla competenza delle Autorità di controllo, i ruoli dei diversi attori coinvolti, la base giuridica del trattamento dei dati personali, le garanzie necessarie e l'esercizio dei diritti degli interessati. Con riguardo ai fornitori di servizi di condivisione dei dati, il parere congiunto sottolinea la necessità di garantire informazioni e controlli preventivi per le persone, tenendo conto dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, trasparenza e limitazione delle finalità. Alla luce dei possibili rischi per gli interessati legati al trattamento di dati personali da parte dei fornitori di servizi di condivisione dei dati o di organizzazioni che impiegano i dati personali per scopi di interesse generale (ad es. la ricerca medica), l'EDPB e il GEPD ritengono che le procedure di controllo e i regimi di registrazione non sono sufficientemente rigorosi e raccomandano di implementare procedure alternative che prevedano l'adesione a codici di condotta o a meccanismi di certificazione. Il parere congiunto include anche raccomandazioni sulla designazione delle autorità di vigilanza come principali autorità competenti per il controllo del rispetto delle disposizioni DGA, in consultazione con le autorità settoriali pertinenti.
APPROVATA LA DECISIONE SUL LIBERO FLUSSO DI DATI VERSO IL REGNO UNITO
Il 19 febbraio la Commissione Europea ha rilasciato il “Progetto di decisione sulla protezione adeguata dei dati personali da parte del Regno Unito” per consentire ai dati di continuare a fluire liberamente dall'Unione europea al Regno Unito dopo l’accordo post Brexit. Il provvedimento sarà a favore delle aziende che trasferiscono regolarmente le informazioni personali dei clienti, in particolare nei settori sanitario, assicurativo e tecnologico. L’iter di approvazione definitiva della decisione di adeguatezza prevede il parere del Comitato Europeo per la Protezione dei Dati (EDPB) e, a seguire, l'approvazione di ciascuno Stato membro dell’Unione.
OK DELLE CAMERE AL SECONDO DPCM SUL PERIMETRO DI SICUREZZA NAZIONALE
Dopo il primo Decreto del Presidente del Consiglio dei Ministri (DPCM) sul Perimetro di sicurezza nazionale cibernetica dello scorso 25 novembre, il Consiglio dei Ministri ha approvato il 29 gennaio il decreto attuativo relativo alla definizione di procedure, modalità e termini con cui il Centro di valutazione e certificazione nazionale (CVCN) svolgerà le verifiche e le valutazioni dei beni e dei sistemi di Information and Communication Technologies (ICT) che i soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica intendono acquisire. Il 18 febbraio, anche la Commissioni Difesa della Camera, a seguito dell’ok del Senato, ha detto “sì” al secondo DPCM attuativo del Perimetro di sicurezza nazionale cibernetica e relativo alle modalità di notifica degli incidenti cyber da parte dei soggetti inclusi nel Perimetro stesso e alle misure di sicurezza da adottare. Occorre ora attendere la pubblicazione in Gazzetta Ufficiale.
PARLAMENTO EUROPEO: RAFFORZARE IL GDPR
Il 25 marzo il Parlamento europeo ha adottato una risoluzione con 483 voti favorevoli su 687 con cui si chiede di mettere in atto e rinforzare effettivamente il GDPR, considerato un importante strumento per promuovere l’innovazione digitale e accelerare la crescita economica nell’UE.
CONSIGLIO UE: ACCORDO SU E-PRIVACY
Il 10 febbraio i rappresentanti degli Stati membri dell'UE hanno raggiunto un accordo sul mandato negoziale del Consiglio dell'Unione europea per il progetto di regolamento ePrivacy, che sostituirà l'attuale direttiva ePrivacy. Il testo, approvato dagli Stati membri dell'UE, è stato preparato sotto la presidenza portoghese e sarà alla base dei negoziati del Consiglio con il Parlamento europeo sui termini finali del regolamento ePrivacy. Il Consiglio Europeo ha raggiunto un’intesa sulla riforma del Regolamento ePrivacy. Le nuove norme definiranno i casi in cui i fornitori di servizi possono trattare i dati delle comunicazioni elettroniche o avere accesso ai dati memorizzati sui dispositivi degli utenti finali. In base al mandato del Consiglio, il Regolamento coprirà i contenuti delle comunicazioni elettroniche trasmessi utilizzando servizi e reti accessibili al pubblico e i metadati relativi alla comunicazione. I metadati includono, ad esempio, informazioni sulla posizione, l'ora e il destinatario della comunicazione. Per garantire la piena protezione dei diritti alla privacy e per promuovere un Internet of Things affidabile e sicuro, le regole riguarderanno anche i dati da macchina a macchina trasmessi tramite una rete pubblica. I dati delle comunicazioni elettroniche saranno riservati e qualsiasi interferenza, compreso l'ascolto, il monitoraggio e il trattamento dei dati da parte di chiunque non sia l'utente finale, sarà vietata, salvo quando consentito dalla normativa ePrivacy. Una volta adottato dal Consiglio e dal Parlamento europeo, il progetto di testo prevede un periodo di transizione di due anni, a partire da venti giorni dopo la pubblicazione del testo definitivo del regolamento ePrivacy nella Gazzetta ufficiale dell'UE.
IL PRIMO CODICE DI CONDOTTA PER IL SISTEMA SANITARIO
Il 5 febbraio, con un evento trasmesso via streaming che ha visto tra l’altro la partecipazione del Garante insieme ad alcuni referenti della Commissione Europea, è stato presentato il primo Codice di Condotta del Sistema sanitario per la Regione Veneto. I codici di condotta, ai sensi dell’articolo 40 del GDPR, sono strumenti di autoregolazione che individuano misure di protezione dei dati per specifiche categorie di enti e imprese, la cui elaborazione può contribuire alla corretta applicazione della normativa privacy. Il Codice, elaborato dalla Regione Veneto e dall’Azienda sanitaria “ULSS 9 Scaligera”, è stato approvato il 14 gennaio, disciplina le modalità di elaborazione, mediante tecniche di anonimizzazione e di pseudonimizzazione, attraverso le quali i dati personali e di salute possono essere utilizzati per fini didattici e di redazione di pubblicazione scientifica da parte dei professionisti sanitari per tesi di laurea, presentazioni a convegni, convention, seminari, position paper, poster scientifici, case-study per finalità didattiche e discussione di casi clinici.
RINVIATO IL NUOVO REGISTRO DELLE OPPOSIZIONI
Era prevista per i primi di dicembre 2020 ma è slittata di almeno tre mesi l’entrata in vigore del D.P.R. relativo al nuovo Registro delle Opposizioni contro il telemarketing selvaggio aperto anche ai numeri dei cellulari. Il D.P.R. ha ricevuto l’ok delle commissioni parlamentari al Senato e, prima della pubblicazione in Gazzetta Ufficiale, è in attesa dell’approvazione definitiva dalla Camera.
ACCORDO UE E UK: “CLAUSOLA PONTE” E ONE STOP SHOP
L’Accordo commerciale e di cooperazione stipulato il 30 dicembre tra Regno Unito e Unione europea prevede, tra l’altro, che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati fino al 30 giugno 2021. Di conseguenza, per i prossimi sei mesi il Regno Unito non sarà considerato un paese terzo. Nel contempo la Commissione europea e il Governo inglese saranno impegnati nell’assumere reciproche decisioni di adeguatezza che consentano di proseguire i flussi di dati senza interruzioni. In mancanza, troveranno applicazione le disposizioni del Capo V del GDPR, che richiedono l’esistenza di garanzie adeguate (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta), per trasferire dati dall’Unione europea verso un Paese terzo non adeguato, oppure ammettono alcune deroghe in assenza di garanzie adeguate (consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE, ecc.). Inoltre, dal 1° gennaio 2021, per eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito non sarà più applicabile il meccanismo dello “sportello unico” (one stop shop) che disciplina questi contenziosi fra i paesi del SEE. In altre parole, le imprese con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” per i vari obblighi previsti dal Regolamento europeo. In ultimo, i titolari e i responsabili del trattamento con sede nel Regno Unito che siano soggetti all'applicazione del GDPR ai sensi dell'articolo 3 paragrafo 2, sono tenuti a designare un “rappresentante” nel SEE a norma dell'articolo 27 del GDPR.
EURID, NUOVE MISURE POST BREXIT
A seguito delle modifiche normative intercorse tra l’Unione Europea e il regno Unito, la società Eurid che gestisce il registro dei nomi di dominio “.eu” ha deciso di sospendere i domini registrati da cittadini britannici. La normativa attuale infatti stabilisce che i siti web .eu possono essere assegnati solo ai cittadini dell'UE, indipendentemente dal loro luogo di residenza, nonché ai cittadini e alle organizzazioni non UE stabilite in uno Stato membro.