Nella sessione plenaria dello scorso 9 ottobre, il Comitato europeo per la protezione dei dati (EDPB) è intervenuto su alcune questioni di particolare rilevanza per la tutela dei nostri dati: partendo dall’adozione di un parere su alcuni obblighi derivanti dal ricorso a responsabili e sub-responsabili del trattamento, ha poi proseguito con la definizione delle linee guida sull’interesse legittimo, con l’adozione di una dichiarazione sulla definizione di norme procedurali aggiuntive per l’applicazione del GDPR ed infine ha annunciato il programma di lavoro per l’anno 2024-2025.

I dettagli del parere

L’EDPB ha adottato un parere su determinati obblighi derivanti dall’affidamento ai responsabili del trattamento e ai sub-responsabili del trattamento a seguito di una richiesta pervenuta dall’Authory danese. Nello specifico, il parere riguarda situazioni in cui i titolari del trattamento si affidano a uno o più responsabili e sub-responsabili del trattamento, spiegando che i titolari dovrebbero avere le informazioni sull’identità (ossia nome, indirizzo, persona di contatto) di tutti i responsabili e sub-responsabili del trattamento, prontamente disponibili in ogni momento, in modo da poter adempiere al meglio ai loro obblighi, ai sensi dell’articolo 28 GDPR. Inoltre, l’obbligo del titolare di verificare se i (sub)responsabili del trattamento presentino “garanzie sufficienti”, dovrebbe applicarsi indipendentemente dal rischio per i diritti e le libertà degli interessati, sebbene la portata di tale verifica possa variare, sulla base dei rischi associati al trattamento.
Particolare attenzione viene prestata anche alla questione del trasferimento dei dati al di fuori dello Spazio economico europeo, per la quale viene specificata che qualora avvenga tra due (sub)responsabili, il responsabile del trattamento, in quanto esportatore di dati, dovrebbe preparare la documentazione pertinente. Inoltre, il titolare del trattamento, poichè soggetto all’art. 28 del GDPR, dovrebbe poi valutare tale documentazione ed essere in grado di mostrarla all’autorità di protezione dei dati competente.

Le linee guida sull’interesse legittimo, le norme procedurali e il programma 2024-2025

Il Comitato ha adottato, successivamente, orientamenti sul trattamento dei dati personali basato su un interesse legittimo. I titolari del trattamento hanno bisogno di una base giuridica per trattare i dati personali in modo lecito e l’interesse legittimo rappresenta una delle sei possibili basi giuridiche. Le linee guida analizzano i criteri di cui all’articolo 6, paragrafo 1, lettera f), GDPR che i titolari del trattamento devono soddisfare per trattare legittimamente i dati personali sulla base di un interesse legittimo, prendendo in considerazione la recente sentenza della Corte di giustizia dell’Unione europea in materia (C-621/22, 4 ottobre 2024).

Per poter invocare un interesse legittimo, il titolare del trattamento deve soddisfare tre condizioni cumulative:

1. il perseguimento di un interesse legittimo da parte del responsabile del trattamento o di terzi;
2. la necessità di trattare i dati personali al fine di perseguire l’interesse legittimo;
3. gli interessi o le libertà e i diritti fondamentali delle persone non prevalgono sugli interessi legittimi del titolare del trattamento o di terzi (esercizio di bilanciamento).

Gli orientamenti saranno comunque oggetto di consultazione pubblica fino al 20 novembre 2024.
Il Comitato ha poi adottato una dichiarazione a seguito delle modifiche apportate dal Parlamento europeo e dal Consiglio alla proposta di regolamento della Commissione europea che stabilisce norme procedurali supplementari relative all’applicazione del RGPD e per l’occasione ha presentato anche il programma dell’EDPB per l’anno 2024-2025.

Per maggiori dettagli puoi consultare la notizia completa dal portale dell’EDPB: