Nona sessione plenaria dell’EDPB

Alert Normativo del 18 aprile 2019

La nona sessione plenaria dell’EDPB si è tenuta il 9 e 10 aprile 2019 affrontando alcuni temi di rilievo come il rilascio definitivo delle linee guida n.1/2018 sulla certificazione nonché le linee guida riguardo alla portata e all'applicazione della base giuridica dell’esecuzione di obblighi contrattuali [articolo 6(1)(b), GDPR] nel contesto dei servizi della società dell'informazione.

Linee guida sulla base giuridica dell’esecuzione di obblighi contrattuali

Secondo il comunicato stampa rilasciato dal Comitato (il documento, infatti, all’atto della redazione di questo Alert non è ancora disponibile, in attesa dei preliminari «controlli legali, linguistici e di formattazione»), queste linee guida contengono «osservazioni generali riguardanti i principi di protezione dei dati e l'interazione dell'articolo 6 (1) (b) con altre basi legali. Inoltre, le linee guida contengono indicazioni sull'applicabilità dell'articolo 6 (1) (b) in caso di raggruppamento di servizi separati e di risoluzione del contratto».

Si ricorda che l’articolo 6(1)(b) indica una delle basi giuridiche che rendono legittimo il trattamento di dati personali (né sensibili né giudiziari) quando: «b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso».

Queste linee guida formeranno oggetto di un nostro approfondimento non appena il documento sarà reso disponibile.

Linee guida 1/2018 sulla certificazione

Nel corso della nona riunione plenaria, l’EDPB ha approvato le linee guida 1/2018 sulla certificazione, in versione definitiva. Per un’analisi generale sul tema, si rinvia a quanto già indicato nei precedenti Editoriali del 14 giugno 2018 e del 28 giugno 2018; le considerazioni contenute negli Editoriali citati rimangono tuttora attuali. In questa sede seguiremo un approccio di sintesi per una migliore comprensione di questo tema complesso e ad alto contenuto tecnico. In questo senso, affronteremo i seguenti profili:

Antefatti

Le linee guida 1/2018 prendono spunto dal documento wp261 elaborato dal WPArt29 prima della costituzione dell’EDPB e mai venuto alla luce in versione finale. Dal suo canto, in una delle sue prime uscite ufficiali, il 25 maggio 2018 l’EDPB ha adottato una prima versione delle linee guida 1/2018 che integravano il precedente wp261. All’esito dei risultati avuti a seguito della procedura di consultazione pubblica tenutasi tra maggio e luglio 2018, l’EDPB ha infine adottato una versione finale il 23 gennaio 2019, con una correzione intervenuta il 9 aprile 2019; il testo finale rappresenta il documento qui in esame. 

Struttura delle linee guida 1/2018

Analogamente alla versione originaria, il documento passa in rassegna le finalità ed i concetti chiave relativi al tema della certificazione - come prevista dagli articoli 42 e 43 del GDPR - precisando il ruolo delle autorità di supervisione nazionali e degli organismi di certificazione, con un focus specifico sul processo di approvazione dei criteri di certificazione spettante all’ASN o all’EDPB.

Forme d’uso delle linee guida 1/2018

Come indicato nello stesso documento, le linee guida possono essere utilizzate da diversi attori per svariate finalità, come sintetizzato nella tabella che segue:

Utilizzatore

Finalità

Fonte normativa

ASN ed EDPB

ai fini dell'approvazione dei criteri di certificazione

[art. 42(5), 58(3)(f), 70(1)(o)]

Organismi di certificazione

per la stesura e revisione dei criteri di certificazione prima della presentazione all’ASN competente per l'approvazione

art. 42(5)

ASN

al fine della stesura dei propri criteri di certificazione

art. 42(5)

EDPB

ai fini dell'approvazione di un sigillo europeo di protezione dei dati

[artt. 42(5) e 70(1)(o)]

EDPB

quando fornisce alla Commissione europea un parere sugli obblighi di certificazione

art. 70(1)(q) e 43(8)

Commissione europea

al fine di specificare i requisiti da prendere in considerazione per i meccanismi di certificazione, se e quando adotta atti delegati

art. 43(8)

(omissis)

Prova il Servizio Editoriale gratuitamente per un mese