EDPB chiarisce il concetto di stabilimento principale e sollecita i legislatori dell’UE a garantire che il Regolamento CSAM rispetti i diritti alla privacy e alla protezione dei dati

Durante la sua ultima sessione plenaria, l’EDPB, European Data Protection Board, ha adottato un parere sul concetto di “stabilimento principale” e sui criteri per l’applicazione del meccanismo dello sportello unico, in seguito a una richiesta dell’Autorità francese di protezione dei dati (DPA) ai sensi dell’Art. 64(2) del GDPR. Il parere chiarisce il concetto di “stabilimento principale” di un responsabile del trattamento nell’UE, in particolare per i casi in cui le decisioni riguardanti il trattamento sono prese al di fuori dell’UE.

Il presidente dell’EDPB, Anu Talus, ha dichiarato: “Il concetto di stabilimento principale è uno dei pilastri dello sportello unico. È fondamentale per determinare quale, se del caso, sia l’autorità di controllo principale nei casi transfrontalieri di protezione dei dati. Il parere dell’EDPB getta ulteriore luce sulle condizioni per i responsabili del trattamento di accedere allo sportello unico e fornisce ulteriori orientamenti alle DPA per determinare quale DPA abbia il ruolo principale.”

Nel suo parere, l’EDPB considera che il “luogo di amministrazione centrale” di un responsabile del trattamento nell’UE possa essere considerato come stabilimento principale ai sensi dell’Art. 4(16)(a) del GDPR solo se prende le decisioni sui fini e sui mezzi del trattamento dei dati personali e se ha il potere di far implementare tali decisioni. L’EDPB spiega inoltre che il meccanismo dello sportello unico può applicarsi solo se vi è evidenza che uno degli stabilimenti del responsabile del trattamento nell’Unione prenda decisioni sui fini e sui mezzi per le operazioni di trattamento pertinenti e abbia il potere di far implementare tali decisioni. Ciò significa che, quando le decisioni sui fini e sui mezzi del trattamento vengono prese al di fuori dell’UE, non dovrebbe esserci alcuno stabilimento principale del responsabile del trattamento nell’Unione e quindi lo sportello unico non dovrebbe applicarsi.

Questo parere è l’ultimo di una serie di azioni concrete intraprese dall’EDPB a seguito della sua Dichiarazione di Vienna sulla vigilanza transfrontaliera, mirata a razionalizzare la vigilanza e la cooperazione tra le DPA.

Successivamente, l’EDPB ha adottato una Dichiarazione sulle evoluzioni legislative riguardanti la Proposta di regolamento che stabilisce norme per prevenire e combattere gli abusi sessuali su minori. La Dichiarazione segue il parere congiunto EDPB-EDPS sulla Proposta di regolamento della Commissione europea e si concentra sulle ultime evoluzioni legislative, in particolare la posizione del Parlamento europeo del novembre 2023.

L’EDPB accoglie con favore i numerosi miglioramenti proposti dal Parlamento, come l’esenzione delle comunicazioni crittografate end-to-end dagli ordini di rilevamento. Tuttavia, l’EDPB deplora che il testo proposto dal Parlamento sembri non risolvere completamente questioni importanti sollevate dall’EDPB e dall’EDPS riguardanti il monitoraggio generale e indiscriminato delle comunicazioni private, in particolare in relazione all’emissione di ordini di rilevamento.

Il presidente dell’EDPB, Anu Talus, ha dichiarato: “Gli abusi sessuali su minori sono un crimine particolarmente odioso e richiedono soluzioni efficaci. È importante che qualsiasi nuovo strumento giuridico sia inequivoco e rispetti i diritti fondamentali alla privacy e alla protezione dei dati. Un livello eccessivo di accesso alle comunicazioni online minerebbe quei principi importanti e potrebbe avere impatti negativi sui diritti e sulla sicurezza, sia degli adulti che dei minori; dobbiamo essere molto attenti alle azioni che alla fine fanno più male che bene. L’EDPB è dell’opinione che il testo proposto dal Parlamento debba fornire garanzie adeguate che gli ordini di rilevamento siano sufficientemente mirati, per garantire che possa proteggere le vittime senza compromettere in modo sproporzionato i diritti e le libertà tutelati dalla legislazione dell’UE.”

L’EDPB sottolinea l’importanza di limitare ulteriormente il rischio che tali ordini possano interessare persone che difficilmente potrebbero essere coinvolte in crimini legati agli abusi sessuali su minori. Inoltre, l’EDPB deplora che gli ordini di rilevamento non siano limitati ai materiali di abusi sessuali su minori (CSAM) già noti alle autorità, nonostante le tecnologie utilizzate per individuare nuovi CSAM abbiano dimostrato in passato significativi tassi di errore.

Durante la sessione plenaria, l’EDPB ha inoltre discusso l’ambito delle linee guida relative al modello Consent or Pay. Oltre al prossimo parere dell’Art. 64 (2), che affronterà il modello Consent or Pay nel contesto delle grandi piattaforme online, si è convenuto che vi sia la necessità di sviluppare consecutivamente delle linee guida con un campo di applicazione più ampio.

Infine, l’EDPB ha nominato diversi rappresentanti per prendere parte rispettivamente al team di revisione del quadro sulla privacy dei dati della Commissione europea, al sottogruppo di alto livello del Digital Markets Act sull’Art. 5.2 DMA e al gruppo di lavoro del Digital Services Act sull’autenticazione dell’età.