EDPB: adottata una relazione sulla direttiva per l’applicazione della legge LED e nuove raccomandazioni sulle BCR-P

Nel corso dell’ultima sessione plenaria, svoltasi a Bruxelles il 19 gennaio, il Comitato europeo per la protezione dei dati (EDPB) ha adottato una relazione a supporto della valutazione della direttiva (UE) 2016/680 sul trattamento dei dati personali da parte delle autorità competenti in materia penale (Law Enforcement Directive – LED), attualmente in corso da parte della Commissione europea.

La Commissione è chiamata a presentare entro il 6 maggio 2026 una relazione pubblica al Parlamento europeo e al Consiglio sull’applicazione e sul riesame della direttiva. In vista di tale scadenza, tra gennaio 2022 e agosto 2025 sono stati raccolti i contributi delle autorità europee di protezione dei dati (DPA), confluiti ora nel documento adottato dall’EDPB.

La relazione ribadisce il ruolo centrale della LED nella tutela dei dati personali nell’ambito delle attività di contrasto, evidenziando come le autorità di protezione dei dati abbiano intensificato sia le attività di vigilanza sia quelle di supporto alle autorità nazionali, anche attraverso iniziative di sensibilizzazione e l’adozione di linee guida operative.

Tra i principali profili critici segnalati, l’EDPB richiama la necessità di maggiore chiarezza sull’ambito di applicazione della direttiva, in particolare rispetto al confine con il GDPR, nonché l’esigenza di affrontare in modo più strutturato le sfide poste dall’uso crescente di nuove tecnologie, inclusa l’intelligenza artificiale, nelle attività di contrasto. In tale contesto, il Comitato sottolinea che l’impiego di questi strumenti deve avvenire nel rigoroso rispetto dei principi di necessità, proporzionalità e adeguate garanzie previste dalla LED.

Il documento evidenzia inoltre l’importanza di rafforzare l’attuazione nazionale della direttiva in tutta l’Unione europea, alla luce dell’evoluzione della giurisprudenza, e di potenziare il ruolo dei responsabili della protezione dei dati (RPD) nelle autorità di contrasto, al fine di garantire un’applicazione coerente ed efficace delle norme.

Particolare attenzione è riservata anche al tema della cooperazione, sia tra le autorità competenti per l’applicazione della LED sia, più in generale, tra le autorità di contrasto. In parallelo, l’EDPB sottolinea la necessità di risorse finanziarie e umane aggiuntive per le autorità di protezione dei dati e per lo stesso Comitato, soprattutto alla luce dei nuovi compiti derivanti dai recenti atti normativi europei e delle attività di supervisione svolte dal Comitato di vigilanza coordinato (CSC), che oggi includono anche sistemi come VIS, Prüm II ed EES.

Nel corso della stessa plenaria, l’EDPB ha inoltre adottato raccomandazioni aggiornate sulle norme vincolanti d’impresa per i responsabili del trattamento (BCR-P). Il nuovo documento aggiorna e integra il precedente referenziale, unificando i criteri di approvazione con il modulo di domanda standard, sulla base dell’esperienza maturata dalle autorità di protezione dei dati dall’entrata in applicazione del GDPR.

Le raccomandazioni chiariscono l’ambito di utilizzo delle BCR-P, che possono essere impiegate esclusivamente per trasferimenti infragruppo tra responsabili del trattamento, quando il titolare del trattamento non fa parte del gruppo, e specificano che tali strumenti soddisfano i requisiti dell’articolo 28, paragrafo 4, del GDPR. Le nuove indicazioni mirano a garantire un livello di protezione dei dati sostanzialmente equivalente a quello previsto dal regolamento europeo.

Le raccomandazioni sulle BCR-P saranno aperte alla consultazione pubblica fino al 2 marzo 2026. Durante la riunione, i membri dell’EDPB hanno infine avviato uno scambio di opinioni preliminare in vista del prossimo parere congiunto sull’“omnibus digitale”, la cui adozione è prevista per la plenaria di febbraio.

Approfondimenti:

• Relazione della Commissione europea sull’applicazione della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie, COM(2022) 364 final