EDPB – 37esima sessione plenaria: le nuove linee guida e task force incaricata a verificare i reclami a seguito della sentenza Schrems II
Il 3 settembre a Bruxelles il Comitato europeo per la protezione dei dati (in seguito EDPB), ovvero l’organo indipendente composto dai rappresentanti delle autorità nazionali per la protezione dei dati e dal Garante europeo della protezione dei dati, ha rilasciato alcune importati novità durante la 37esima sessione plenaria.
In particolare, sono state rilasciate due linee guida, le prime riguardano i concetti di Titolare del trattamento e di Responsabile del trattamento, figure che hanno sollevato alcuni interrogativi una volta entrato in vigore il regolamento europeo, numerosi sono stati i dubbi sul tema della contitolarità ed alcuni aspetti riguardanti le rispettive responsabilità. Tali linee guida hanno quindi l’obiettivo di chiarire le perplessità più comuni e per eliminare tali perplessità esse sono state articolate in due parti, nella prima vengono evidenziati i singoli concetti mentre la seconda parte esse si focalizza su orientamenti dettagliati.
Le seconde linee guida adottate invece hanno come focus il tema del targeting degli utenti dei social media. Questo documento ha come obiettivo quello di fornire orientamenti pratici fornendo esempi di situazioni reali in modo da chiarire i ruoli e le responsabilità delle parti coinvolte, evidenziando anche i pericoli possibili per questa attività. Le linee guida saranno oggetto di consultazione pubblica per consentire una partecipazione attiva delle parti coinvolte.
Infine, l’ultima attività effettuata dall’EDPB nella recente sessione plenaria, è stata quella di istituire una specifica task force che si è resa necessaria in seguito alla sentenza Schrems II della CGUE (Corte di giustizia dell’Unione europea), con la quale è stata dichiarata invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione dei dati offerta dallo scudo UE-USA, comunemente chiamato Privacy Shield. L’istituzione di questa task force si è resa necessaria a seguito della presentazione di 101 reclami nei confronti di big come Google e Facebook che non hanno adottato delle contromisure adeguate come quella dell’istituzione di clausole speciali oltre a quella standard per garantire un livello di sicurezza equivalente a quello previsto dal regolamento GDPR.