Sintesi del parere del Garante europeo della protezione dei dati sulla raccomandazione di decisione del Consiglio che autorizza l’avvio di negoziati per le discipline del commercio digitale con la Repubblica di Corea e con Singapore

(2023/C 253/02)

(Il testo integrale del presente parere è disponibile in inglese, francese e tedesco sul sito web del GEPD https://edps.europa.eu)

Il 14 aprile 2023 la Commissione europea ha pubblicato una raccomandazione di decisione del Consiglio che autorizza l’avvio di negoziati per le discipline del commercio digitale con la Repubblica di Corea e con Singapore.

L’obiettivo di tale raccomandazione è autorizzare la Commissione ad avviare negoziati con la Repubblica di Corea e con Singapore al fine di stabilire discipline vincolanti per lo scambio di beni e servizi per via elettronica. Detti negoziati possono riguardare i flussi transfrontalieri di dati con fiducia, gli obblighi di localizzazione dei dati e la protezione dei dati personali.

Il GEPD ricorda che la protezione dei dati personali, costituendo un diritto fondamentale nell’Unione europea (UE), non può essere soggetta a negoziati nell’ambito degli accordi commerciali dell’UE. Eventuali dialoghi sulla protezione dei dati e negoziati commerciali con paesi terzi possono integrarsi a vicenda, ma devono seguire percorsi separati. I flussi di dati personali tra l’UE e i paesi terzi dovrebbero svolgersi per mezzo dei meccanismi previsti dalla legislazione dell’UE in materia di protezione dei dati. Il GEPD ricorda che nel 2018 la Commissione ha approvato disposizioni orizzontali in materia di flussi transfrontalieri di dati e protezione dei dati personali nei negoziati commerciali. Il GEPD ritiene che tali disposizioni raggiungano un compromesso equilibrato tra interessi pubblici e privati, in quanto consentono all’UE di contrastare le pratiche protezionistiche nei paesi terzi in relazione al commercio digitale, garantendo al contempo che gli accordi commerciali non possano essere usati per mettere in discussione l’elevato livello di protezione garantito dalla Carta dei diritti fondamentali dell’UE e dalla legislazione dell’UE in materia di protezione dei dati personali. Il GEPD comprende dalla raccomandazione che i negoziati sui flussi di dati e sulla protezione dei dati dovrebbero essere avviati al fine di concordare disposizioni coerenti con le disposizioni orizzontali. Per motivi di chiarezza, il GEPD raccomanda di fare esplicito riferimento alle suddette disposizioni orizzontali.

Inoltre, per quanto riguarda più specificamente la Repubblica di Corea, il GEPD rileva che nei confronti di tale paese la Commissione ha concesso una constatazione di adeguatezza nel 2021. Di conseguenza, i trasferimenti di dati personali da un titolare o un responsabile del trattamento nello Spazio economico europeo (SEE) a organizzazioni della Repubblica di Corea interessate dalla decisione di adeguatezza possono aver luogo senza la necessità di ulteriori autorizzazioni. Pertanto, il GEPD raccomanda di spiegare ulteriormente il motivo per cui, nonostante la decisione di adeguatezza, ulteriori negoziati sui flussi transfrontalieri di dati e sulla protezione dei dati sono considerati necessari nel caso della Repubblica di Corea.

Inoltre, secondo l’interpretazione del GEPD, le direttive di negoziato e le disposizioni orizzontali consentono, in casi debitamente giustificati, l’adozione di misure che impongano ai titolari o ai responsabili del trattamento di conservare i dati personali nell’UE/nel SEE. Il GEPD ricorda che, insieme al comitato europeo per la protezione dei dati (EDPB), ha recentemente raccomandato che i titolari e i responsabili del trattamento stabiliti nell’UE/nel SEE che trattano dati personali sanitari elettronici nell’ambito di applicazione della proposta di regolamento della Commissione relativo allo spazio europeo di dati sanitari siano tenuti a conservare tali dati nell’UE/nel SEE, fatta salva la possibilità di trasferirli in conformità del capo V del regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. A scanso di dubbi, il GEPD raccomanda di chiarire espressamente nelle direttive di negoziato che le norme concordate non dovrebbero impedire all’UE o agli Stati membri di adottare, in casi debitamente giustificati, misure che obbligherebbero i titolari o i responsabili del trattamento a conservare i dati personali nell’UE/nel SEE.

1. INTRODUZIONE

Il 14 aprile 2023 la Commissione europea («la Commissione») ha pubblicato una raccomandazione di decisione del Consiglio che autorizza l’avvio di negoziati per le discipline del commercio digitale con la Repubblica di Corea e con Singapore (1) («la raccomandazione»). Un allegato della raccomandazione illustra in dettaglio le direttive di negoziato per le discipline del commercio digitale con la Repubblica di Corea e con Singapore e il contenuto proposto delle norme e degli impegni («l’allegato»).

L’accordo di libero scambio tra l’Unione europea e la Repubblica di Corea è in vigore dal 2011 e l’accordo di libero scambio con Singapore dal 2019. Tali accordi di libero scambio prevedono impegni sostanziali per gli scambi di beni e servizi tra le parti, ma non contengono norme esaustive sul commercio digitale (2).

L’Unione europea e la Repubblica di Corea hanno concluso un partenariato digitale il 28 novembre 2022 e in tale contesto hanno concordato principi non vincolanti per il commercio digitale il 30 novembre 2022. L’Unione europea e Singapore hanno concluso un partenariato digitale il 1o febbraio 2023 e hanno concordato principi non vincolanti per il commercio digitale il 31 gennaio 2023 (3).

L’obiettivo della raccomandazione è autorizzare la Commissione ad avviare negoziati con la Repubblica di Corea e con Singapore al fine di stabilire discipline vincolanti per lo scambio di beni e servizi per via elettronica, conformemente all’articolo 218, paragrafi 3 e 4, del TFUE.

Il presente parere del GEPD è emesso in risposta a una consultazione della Commissione del 14 aprile 2023 ai sensi dell’articolo 42, paragrafo 1, del regolamento sulla tutela delle persone fisiche (4) in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati.

5. CONCLUSIONI

18.

Alla luce di quanto sopra, il GEPD formula le seguenti raccomandazioni:

(1)

menzionare espressamente il fatto che i negoziati sui flussi di dati e sulla protezione dei dati dovrebbero essere avviati al fine di concordare disposizioni coerenti con le disposizioni orizzontali in materia di flussi transfrontalieri di dati e protezione dei dati personali nei negoziati commerciali approvati dalla Commissione nel 2018;

(2)	spiegare in un considerando il motivo per cui, nonostante la decisione di adeguatezza concessa alla Repubblica di Corea, ulteriori negoziati sui flussi transfrontalieri di dati e sulla protezione dei dati sono considerati necessari con detto paese;

(3)	chiarire, nelle direttive di negoziato incluse nell’allegato della raccomandazione, che le norme concordate non dovrebbero impedire all’UE o agli Stati membri di imporre ai titolari o ai responsabili del trattamento, in casi debitamente giustificati, di conservare i dati personali nell’UE/nel SEE;

(4)	inserire un riferimento alla consultazione del GEPD in un considerando della decisione del Consiglio.

Bruxelles, 15 maggio 2023

Wojciech Rafał WIEWIÓROWSKI

(1) COM(2023) 230 final (https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1681472401391&uri=COM%3A2023%3A230%3AFIN).

(2) Considerando 1 della raccomandazione.

(3) Considerando 2 della raccomandazione.

(4) Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione, nonché alla libera circolazione di tali dati dati e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).