Permangono “preoccupazioni” sull’attuazione dello Scudo della Privacy (Privacy Shield), l’accordo sullo scambio di dati personali fra UE e USA che ha sostituito il precedente Safe Harbour, inibito da una sentenza della Corte UE. Lo ribadisce il board dei garanti europei (Edpb, European data Protection Board, ex Gruppo dell’art. 21), riunito nella sesta plenaria a Bruxelles nei giorni scorsi, sostanzialmente confermando la valutazione già fatta in passato. Si tratta infatti della seconda revisione del ‘Privacy Shield’, e nonostante i progressi fatti dagli USA nel garantire gli impegni presi con l’Ue, restano preoccupazioni sulla mancanza di “garanzie concrete” che assicurino che non avvenga una raccolta indiscriminata di dati per motivi di sicurezza. Criticità sono state rilevate anche sulla figura del Difensore Civico (Ombudsman) previsto dall’Accordo, che tuttora appare dotato di poteri insufficienti per rimediare a eventuali abusi; e sui controlli esperibili sull’attuazione dello “Scudo”.
Si tratta della prima revisione dopo l’entrata in vigore del GDPR di cui la plenaria si è occupata in tema di elenchi della valutazione di impatto dei dati (DPIA) presentati al Consiglio dal Liechtenstein e dalla Norvegia. La DPIA è un processo per aiutare a identificare e mitigare i rischi di protezione dei dati che potrebbero influenzare i diritti e le libertà delle persone. Mentre in generale il titolare del trattamento (data controller) deve valutare se è necessaria una DPIA prima di intraprendere l’attività di trattamento, le autorità di vigilanza nazionali stabiliscono e stilano un elenco del tipo di operazioni di trattamento che sono soggette al requisito di una valutazione d’impatto sulla protezione dei dati. Questi due pareri seguono i 22 pareri adottati durante la plenaria di settembre e i quattro pareri adottati durante la plenaria di dicembre e contribuiranno ulteriormente a stabilire criteri comuni per gli elenchi di DPIA in tutto lo Spazio Economico Europeo.
L’EDPB ha anche adottato la versione finale delle linee guida sulla certificazione, a seguito di una consultazione pubblica comprensiva di un nuovo allegato (ancora non disponibile sul sito dell’Autorità europea). Una versione provvisoria degli orientamenti era stata adottata a maggio. Scopo principale di queste linee guida è identificare i criteri generali rilevanti per tutti i tipi di meccanismi di certificazione emessi ai sensi dell’art. 42 e art. 43 GDPR. Le linee guida aiuteranno Stati membri, autorità di vigilanza e organismi nazionali di accreditamento (NAB) a rivedere e approvare i criteri di certificazione ai sensi dei succitati articoli del GDPR. L’allegato sarà sottoposto a consultazione pubblica.