Dal Privacy Shield alle possibili conseguenze della Brexit, passando per trattamento dei dati clinici e certificazioni, sono diversi i temi su cui si è espresso l’Edpb (European Data Protection Board, l’ex Gruppo di lavoro Articolo 29) nel corso della sua sesta sessione plenaria, di scena il 22 e il 23 gennaio a Bruxelles.
Rispetto al framework per la tutela dei dati dei cittadini europei trasferiti oltreoceano elaborato da Ue e Stati Uniti, il board ha espresso apprezzamento per gli sforzi fatti dalle autorità americane e dalla Commissione europea per implementare lo “scudo”. Si è sottolineato in particolare il valore delle azioni intraprese per adattare i processi di certificazione e l’introduzione di nuovi membri all’interno del Pclob (Privacy and Civil Liberties oversight board), con la nomina di un difensore civico permanente. Restano comunque alcune criticità, come si legge nel comunicato diramato dall’Edpb. Innanzitutto la mancanza di assicurazioni concrete che siano esclusi la raccolta e l’accesso indiscriminati per motivi di sicurezza nazionale. E il difensore civico non sarebbe stato investito di poteri sufficienti per contrastare la non conformità di alcune condotte. Infine, il Board puntualizza che occorre più forza rispetto alla compliance con i principi sostanziali del Privacy Shield.
Rispetto alla Brexit, i membri dell’Edpb hanno convenuto che è necessario cooperare e condividere il più possibile le informazioni sugli strumenti disponibili per trasferire i dati in UK una volta che la Gran Bretagna non sarà più parte dell’Unione europea.
In risposta a una richiesta dalla Commissione europea, il Board ha stabilito il proprio punto di vista sulle basi legali rispetto alla possibilità di utilizzare i dati in possesso degli studi clinici per supportare la ricerca scientifica, ed è ora pronto a inviare il documento alla Commissione.
Lo European Data Protection Board ha anche definito la propria posizione sulle liste Dpia (Data Protection Impact Assessment) inviate da Liechtenstein e Norvegia. Queste liste rappresentano a livello nazionale un importante strumento per l’applicazione del Gdpr (General Data Protection Regulation) dell’Eea (Economic european Area), in quanto processi che aiutano a identificare e mitigare i rischi legati alla data protection che potrebbero coinvolgere libertà e diritti individuali.
L’Edpb, facendo riferimento alla consultazione pubblica aperta in merito, ha poi adottato la versione definitiva delle linee guida sulla certificazione, che da maggio erano solo una bozza. Lo scopo delle linee guida è evidenziare i criteri che possono risultare rilevanti per tutti i meccanismi di certificazione presi in considerazione dagli articolo 42 e 43 del Gdpr. Dagli strumenti di accountability fino alle spiegazioni per i concetti chiave, le linee guida chiariscono lo scopo e l’ambito dei processi di certificazione e aiuteranno gli Stati membri, le autorità e gli enti di accreditamento a operare nel migliore dei modi in ciascuno dei propri ambiti d’azione.
La sesta sessione plenaria ha infine risposto all’Autorità australiana sul tema della notifica di incidenti di data breach, che lo scorso ottobre aveva chiesto chiarimenti in merito. Il Board ha apprezzato l’interesse del commissionario australiano alla cooperazione e ha risposto fornendo i dettagli del caso.
