Con la 37° plenaria, il Comitato Europeo per la protezione dei dati (EDPB) ha adottato nuove linee guida che approfondiscono e definiscono le figure di titolare e responsabile del trattamento, ma anche i limiti e le possibilità del targeting degli utenti dei social. Due linee guida che vogliono calare nel concreto, in maniera pratica, i concetti e i principi previsti dal GDPR rispondendo a dubbi e perplessità sollevate nel corso del tempo da parte degli addetti ai lavori. 

Titolare e responsabile del trattamento
Le linee guida che vanno a definire queste due figure, cercano di rispondere ad una serie di dubbi e interrogativi che sono stati sollevati riguardo ad alcuni punti d'ombra non esplicitamente chiariti nel testo del GDPR: in particolare è stato puntualizzato il concetto di contitolarità del trattamento.

Queste linee guida prendono le mosse da un incontro pubblico che l'EDPB aveva organizzato nel Marzo 2019 con le parti interessate, al fine di valutare le problematiche sollevate e puntualizzare e specificare in maniera più pratica i punti del Regolamento che gli addetti ai lavori hanno trovato poco chiari o non esausitivi. Le nuove linee guida si articolano in due sezioni: una che illustra e dettaglia i concetti di titolare e responsabile del trattamento e l'altra che invece che contiene orientamenti dettagliati e pratici sulle conseguenze che il GDPR fa derivare per i titolari e responsabili di un trattamento, ma anche per i contitolari.

Le linee guida sono consultabili qui (testo in inglese). 

Targeting utenti social
Anche queste linee guida sono improntate sulla necessità di fornire orientamenti pratici agli addetti del settore: contengono non a caso esempi pratici di diverse situazioni che possono aiutare gli addetti ad applicare correttamente gli obblighi e le garanzie previste dal GDPR nei vari contesti che si potrebbero presentare. Ad esempio sono analizzati diversi meccanismi di targeting e sono definiti i criteri per il trattamento di categoria particolari di dati.

Vengono chiariti, in maniera esplicita, i ruoli e le responsabilità del fornitore del social media e della persona interessata, i requisiti fondamentali per la protezione dei dati (trasparenza e liceità del trattamento, ma anche obbligo di approntare il PIA - privacy impact assesment), i punti chiave per una corretta disciplina del rapporto che intercorre tra il fornitore del social e gli interessati. Inoltre, nella consapevolezza della difficoltà di affrontare il mondo dei social, si tratteggiano anche i potenziali rischi che potrebbero derivare per le libertà individuali.

Le linee guida sono consultabili qui (testo in inglese).

Dopo la sentenza sul Privacy Shield nasce un'apposita task force
Ricordete che, poco prima dell'Estate, la Corte di Giustizia Europea ha dichiarato inadeguato rispetto ai criteri previsti dal GDPR il cosidetto Privacy Shield, ovvero l'accordo UE-USA che istituiva vincoli e protezioni per quei dati di cittadini europei che vengono spostati in server negli Stati Uniti. L'EDPB ha ritenuto necessaria la creazione di un task force che si occupi di esaminare i reclami presentati a seguito della sentenza Schrems II: parliamo di circa 101 reclami presentati alle varie Authority nazionali per la protezione dei dati. I reclamanti, rappresentati dall'ONG NOYB, sostengono che in particolare Google e Facebook trasferiscano dati personali negli USA basandosi ancora sullo scudo UE-USA, cosa che, alla luce della sentenza della Corte di Giustizia Europea, rende impossibile al titolare del trattamento garantire un livello adeguato di protezione dei dati trasferiti. La task force avrà il compito di esaminare i reclami ed elaborare raccomandazioni per titolari e responsabili nell'individuare e attuare adeguate misure supplementari in caso di trasferimento dati verso paesi terzi.

Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: "Il comitato è ben consapevole del fatto che la sentenza Schrems II attribuisce ai titolari del trattamento una responsabilità importante. Oltre alla dichiarazione e alle FAQ pubblicate subito dopo la sentenza, elaboreremo raccomandazioni per supportare titolari e responsabili del trattamento nella necessaria individuazione e attuazione di adeguate misure supplementari di natura giuridica, tecnica e organizzativa al fine di soddisfare il requisito di « equivalenza sostanziale » nel trasferimento di dati personali verso paesi terzi. Tuttavia, la sentenza ha implicazioni di ampia portata e i contesti dei trasferimenti di dati verso paesi terzi sono molto diversi. Pertanto, non si può pensare a una soluzione unica e di immediata applicazione. Ciascun titolare o responsabile dovrà valutare i trattamenti svolti e i relativi trasferimenti, adottando le misure opportune."