IL-KUMMISSJONI EWROPEA

Brussell, 10.1.2017

COM(2017) 7 final

KOMUNIKAZZJONI TAL-KUMMISSJONI LILL-PARLAMENT EWROPEW U LILL-KUNSILL

L-Iskambjar u l-Protezzjoni tad-Data Personali f'Dinja Globalizzata

1. Introduzzjoni

Il-protezzjoni ta’ data personali hija parti mill-identità kostituzzjonali komuni tal-Ewropa u hija mnaqqxa fl-Artikolu 8 tal-Karta tad-Drittijiet Fundamentali tal-UE. Ilha fil-qalba tad-dritt tal-UE għal aktar minn 20 sena, mid-Direttiva dwar il-Protezzjoni tad-Data fl-1995 1 (“id-Direttiva tal-1995”) sal-adozzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR) 2 u d-Direttiva tal-Pulizija 3 fl-2016.

Hekk kif saħaq il-President Juncker fid-diskors tal-Istat tal-Unjoni Ewropea fl-14 ta’ Settembru 2016, “[l]i tkun Ewropew tfisser id-dritt li jkollok id-data personali tiegħek protetta minn liġijiet Ewropej b’saħħithom. […] Għax fl-Ewropa, il-privatezza hija importanti. Din hija kwistjoni ta’ dinjità tal-bniedem.”

Madankollu, id-domanda għal protezzjoni tad-data personali mhijiex limitata għall-Ewropa. Il-konsumaturi madwar id-dinja kollha qegħdin jgħożżu dejjem aktar lill-privatezza tagħhom u jagħtuha aktar importanza. Min-naħa tagħhom, il-kumpaniji jagħrfu li protezzjonijiet b’saħħithom tal-privatezza jagħtuhom vantaġġ kompetittiv peress li tiżdied il-fiduċja fis-servizzi tagħhom. Ħafna, speċjalment dawk b’dimensjoni globali, qegħdin jallinjaw il-politiki tagħhom dwar il-privatezza mal-GDPR, kemm għaliex iridu jinnegozjaw fl-UE, kif ukoll għaliex jaraw li dan huwa mudell li ta' min isegwih.

Bl-istess mod, diversi pajjiżi u organizzazzjonijiet reġjonali barra mill-UE, mill-viċinat immedjat tagħna sal-Asja, l-Amerika Latina u l-Afrika, qegħdin jadottaw leġiżlazzjoni ġdida dwar il-protezzjoni tad-data jew jaġġornaw dik eżistenti sabiex jisfruttaw l-opportunitajiet offruti mill-ekonomija diġitali globali u jwieġbu għad-domanda li qiegħda tikber għal protezzjoni aktar b’saħħitha tas-sigurtà u tal-privatezza tad-data. Filwaqt li jeżistu differenzi bejn il-pajjiżi fl-approċċ u fil-livell ta’ żvilupp leġiżlattiv tagħhom, hemm sinjali ta’ konverġenza ’l fuq lejn prinċipji importanti ta’ protezzjoni tad-data, b’mod partikolari f’ċerti reġjuni tad-dinja 4 . Kompatibbiltà akbar bejn sistemi differenti ta’ protezzjoni tad-data tiffaċilita l-flussi internazzjonali ta’ data personali, sew jekk għal skopijiet kummerċjali jew inkella għall-kooperazzjoni bejn l-awtoritajiet pubbliċi (eż. l-infurzar tal-liġi). L-UE għandha taħtaf din l-opportunità li tippromwovi l-valuri tagħha ta’ protezzjoni tad-data u tiffaċilita l-flussi tad-data billi tħeġġeġ il-konverġenza tal-ordinamenti ġuridiċi. Għalhekk, kif imħabbar fil-Programm ta’ Ħidma tal-Kummissjoni 5 , din il-Komunikazzjoni tistabbilixxi l-qafas strateġiku tal-Kummissjoni għal “deċiżjonijiet ta’ adegwatezza” kif ukoll għodod oħrajn għat-trasferimenti ta’ data u strumenti internazzjonali għall-protezzjoni tad-data.

2. Il-Pakkett ta’ Riforma tal-Protezzjoni tad-Data tal-UE – Qafas Leġiżlattiv Modern Li Jappoġġja l-Flussi Internazzjonali ta’ Data bi Protezzjoni Għolja

Ir-riforma tal-leġiżlazzjoni tal-UE dwar il-protezzjoni tad-data adottata f’April tal-2016 timplimenta sistema li tiżgura livell b’saħħtu ta’ protezzjoni u li fl-istess ħin hija miftuħa għall-opportunitajiet tas-soċjetà tal-informazzjoni globali. Fl-għoti ta’ aktar kontroll lill-individwi fuq id-data personali tagħhom, ir-riforma ssaħħaħ il-fiduċja tal-konsumaturi fl-ekonomija diġitali. Bl-armonizzazzjoni u bis-simplifikazzjoni tal-ambjent legali, tagħmilha aktar faċli u tnaqqas il-piż għall-kumpaniji, kemm domestiċi kif ukoll barranin, sabiex iwettqu l-attivitajiet kummerċjali tagħhom fl-UE, inkluż permezz ta’ skambji internazzjonali ta’ data. Illum l-UE tgħaqqad sistema miftuħa għall-flussi internazzjonali ta’ data mal-ogħla livell ta’ protezzjoni għall-individwi. Għandha l-potenzjal li ssir ċentru għas-servizzi tad-data li jirrikjedu kemm flussi liberi kif ukoll fiduċja.

2.1 Qafas ta’ protezzjoni tad-data tal-UE li huwa komprensiv, unifikat u ssimplifikat

Ir-riforma tal-UE tistabbilixxi qafas komprensiv li jirregola l-ipproċessar ta’ data personali kemm fis-settur pubbliku kif ukoll f’dak privat u kemm fis-setturi kummerċjali kif ukoll dak tal-infurzar tal-liġi (il-GDPR u d-Direttiva dwar il-Pulizija, rispettivament).

Bis-saħħa tal-GDPR, minn Mejju tal-2018 se jkun hemm sett pan-Ewropew wieħed ta’ regoli, għall-kuntrarju tat-28 liġi nazzjonali li għandna llum. Il-mekkaniżmu maħluq ġdid ta’ punt uniku ta’ servizz se jiżgura li awtorità għall-protezzjoni tad-data (“DPA”) waħda se tkun responsabbli għas-superviżjoni tal-operazzjonijiet transkonfinali ta’ pproċessar tad-data mwettqin minn kumpanija fl-UE. Se tiġi ggarantita l-konsistenza fl-interpretazzjoni tar-regoli l-ġodda. B’mod partikolari, f’każijiet transkonfinali li fihom ikunu involuti diversi DPAs nazzjonali, se tiġi adottata deċiżjoni waħda sabiex jiġi żgurat li problemi komuni jirċievu soluzzjonijiet komuni. Barra minn hekk, il-GDPR joħloq kondizzjonijiet ekwivalenti ta’ kompetizzjoni bejn il-kumpaniji tal-UE u barranin peress li l-kumpaniji bbażati barra mill-UE se jkollhom japplikaw l-istess regoli bħall-kumpaniji tal-UE jekk ikunu qegħdin joffru prodotti u servizzi jew jissorveljaw l-imġiba tal-individwi fl-UE. Livell akbar ta’ fiduċja tal-konsumaturi se jkun ta’ benefiċċju kemm għall-operaturi kummerċjali tal-UE kif ukoll għal dawk esterni.

Id-Direttiva tal-Pulizija tipprovdi regoli komuni għall-ipproċessar tad-data personali ta’ individwi involuti fi proċedimenti kriminali, kemm jekk bħala suspettati, vittmi, jew xhieda, filwaqt li tqis in-natura speċifika tal-qasam tal-pulizija u tal-ġustizzja kriminali. L-armonizzazzjoni tar-regoli dwar il-protezzjoni tad-data fis-settur ta’ infurzar tal-liġi, inklużi r-regoli dwar it-trasferimenti internazzjonali, se tiffaċilita l-kooperazzjoni transkonfinali bejn il-pulizija u l-awtoritajiet ġudizzjarji, kemm fi ħdan l-UE kif ukoll mas-sħab internazzjonali, u b'hekk se toħloq il-kondizzjonijiet għal ġlieda aktar effettiva kontra l-kriminalità. Din hija kontribuzzjoni importanti għall-Aġenda Ewropea dwar is-Sigurtà 6 .

2.2 Sett ta’ għodod imġedded u ddiversifikat għat-trasferimenti internazzjonali

Sa mit-tnedija tagħha, il-leġiżlazzjoni tal-UE dwar il-protezzjoni tad-data pprovdiet diversi mekkaniżmi li jippermettu li jsiru trasferimenti internazzjonali ta’ data. L-iskop primarju ta’ dawn ir-regoli huwa li jiżguraw li meta d-data personali ta' Ewropej tiġi ttrasferita barra mill-pajjiż, il-protezzjoni tivvjaġġa mad-data. Tul is-snin, dawn ir-regoli stabbilixxew l-istandard għall-flussi internazzjonali ta’ data f’ħafna ġurisdizzjonijiet. Filwaqt li l-arkitettura essenzjalment tibqa’ l-istess bħal fid-Direttiva tal-1995, ir-riforma tar-regoli dwar it-trasferimenti internazzjonali tiċċara u tissimplifika l-użu tagħhom u tintroduċi għodod ġodda għat-trasferimenti.

Skont id-dritt tal-UE, mod wieħed kif tittrasferixxi data personali barra mill-UE huwa abbażi ta’ “deċiżjoni ta’ adegwatezza” tal-Kummissjoni li tistabbilixxi li pajjiż mhux fl-UE jipprovdi livell ta’ protezzjoni ta’ data li huwa “essenzjalment ekwivalenti” 7 għal dak fl-UE. L-effett ta’ deċiżjoni bħal din huwa li tippermetti l-fluss liberu ta’ data personali lil dak il-pajjiż terz mingħajr ma jkun hemm bżonn li l-esportatur tad-data jipprovdi aktar salvagwardji jew jikseb xi awtorizzazzjoni. Katalogu preċiż u ddettaljat tal-elementi li l-Kummissjoni trid tqis meta tivvaluta l-adegwatezza tal-protezzjoni ta’ sistema barranija huwa disponibbli għal pajjiżi interessati jew għal organizzazzjonijiet internazzjonali 8 . Issa l-Kummissjoni tista’ tadotta deċiżjonijiet ta’ adegwatezza anki għas-settur ta’ infurzar tal-liġi 9 . Barra minn hekk, filwaqt li tibni fuq il-prattika skont id-Direttiva tal-1995, ir-riforma tippermetti b’mod espliċitu li ssir determinazzjoni tal-adegwatezza fir-rigward ta’ territorju partikolari ta’ pajjiż terz jew fir-rigward ta’ settur jew industrija speċifiċi fi ħdan pajjiż terz (l-hekk imsejħa adegwatezza “parzjali”) 10 . 

Fin-nuqqas ta’ deċiżjoni ta’ adegwatezza, it-trasferimenti internazzjonali jistgħu jsiru abbażi ta’ għadd ta’ għodod alternattivi ta’ trasferiment li jipprovdu salvagwardji xierqa għall-protezzjoni ta’ data 11 . Ir-riforma tifformalizza u tespandi l-possibbiltajiet li jintużaw strumenti eżistenti bħall-klawżoli kuntrattwali xierqa (SCCs) 12 u regoli korporattivi vinkolanti (BCRs) 13 . Pereżempju, issa l-SCCs jistgħu jiġu inklużi f’kuntratt bejn proċessuri bbażati fl-UE u proċessuri f’pajjiż mhux fl-UE (l-hekk imsejħa klawżoli mudell “minn proċessur għal proċessur”) 14 . Rigward il-BCRs, li sal-lum kienu limitati għal arranġamenti bejn entitajiet tal-istess grupp korporattiv, issa jistgħu jintużaw minn grupp ta’ intrapriżi involuti f’attività ekonomika konġunta, iżda li mhux bilfors ikunu jagħmlu parti mill-istess grupp korporattiv 15 . Ir-riforma tnaqqas ukoll il-burokrazija żejda billi tabolixxi rekwiżiti ġenerali ta’ notifika minn qabel lid-DPAs u ta’ awtorizzazzjoni minnhom għal trasferimenti lejn pajjiż terz abbażi tal-SCCs jew tal-BCRs 16 . Din hija simplifikazzjoni importanti tas-sistema tal-UE ta’ trasferimenti internazzjonali ta’ data peress li l-eżistenza ta’ dawn ir-rekwiżiti, li bħalissa jvarjaw minn Stat Membru għal ieħor, spiss tiġi perċepita bħala ostakolu sinifikanti għall-flussi tad-data, speċjalment għal negozji iżgħar 17 .

Barra minn hekk, ir-riforma tintroduċi strumenti ġodda għal trasferimenti internazzjonali 18 . Il-kontrolluri u l-proċessuri se jkunu jistgħu jużaw, f’ċerti kondizzjonijiet, 19 il-kodiċijiet ta’ kondotta jew il-mekkaniżmi ta’ ċertifikazzjoni approvati (bħal siġilli jew marki tal-privatezza) sabiex jistabbilixxu “salvagwardji xierqa”. Dan għandu jippermetti li jiġu żviluppati aktar soluzzjonijiet imfasslin apposta għal trasferimenti internazzjonali li, pereżempju, jirriflettu l-karatteristiċi u l-ħtiġijiet speċifiċi ta’ settur jew ta’ industrija partikolari, jew ta’ flussi ta’ data partikolari. Dan joffri wkoll il-possibbiltà li jiġi pprovdut għal salvagwardji xierqa għat-trasferimenti ta’ data bejn l-awtoritajiet jew il-korpi pubbliċi abbażi ta’ ftehimiet internazzjonali jew ta’ arranġamenti amministrattivi 20 . Finalment, il-GDPR jiċċara l-użu tal-hekk imsejħin “derogi” 21 (eż. kunsens, eżekuzzjoni ta’ kuntratt jew raġunijiet importanti ta’ interess pubbliku) li fuqhom l-entitajiet f’sitwazzjonijiet speċifiċi jistgħu jibbażaw it-trasferimenti ta’ data tagħhom fin-nuqqas ta’ deċiżjoni ta’ adegwatezza u indipendentement mill-użu ta’ wieħed mill-istrumenti ta’ hawn fuq. B’mod partikolari, fih deroga ġdida, għad li ċirkoskritta, rigward trasferimenti li jistgħu jseħħu sabiex jiġu segwiti l-interessi leġittimi 22 ta’ kumpanija.

Finalment, ir-riforma tagħti s-setgħa lill-Kummissjoni sabiex tiżviluppa mekkaniżmi ta’ kooperazzjoni internazzjonali sabiex tiffaċilita l-infurzar tar-regoli dwar il-protezzjoni ta’ data, inkluż permezz ta’ arranġamenti ta’ assistenza reċiproka 23 . Din tirrikonoxxi l-kontribuzzjoni li jistgħu jagħmlu l-forom ta’ kooperazzjoni msaħħa bejn l-awtoritajiet superviżorji f’livell internazzjonali sabiex jiġu żgurati kemm protezzjoni aktar effettiva tad-drittijiet individwali kif ukoll aktar ċertezza tad-dritt għan-negozji.

3. Trasferimenti Internazzjonali ta’ Data Fis-Settur Kummerċjali: L-Iffaċilitar tal-Kummerċ Bil-Protezzjoni tal-Privatezza

Ir-rispett tal-privatezza huwa kondizzjoni għal flussi kummerċjali globali stabbli, siguri u kompetittivi. Il-privatezza mhijiex komodità li tiġi nnegozjata 24 . L-internet u d-diġitalizzazzjoni tal-prodotti u tas-servizzi ttrasformaw l-ekonomija globali u t-trasferiment tad-data, inkluż ta’ data personali, b’mod transfruntier huwa parti mill-operazzjonijiet ta’ kuljum tal-kumpaniji Ewropej ta’ kull daqs, u ta’ kull settur. Peress li l-iskambji kummerċjali jiddependu dejjem aktar fuq il-flussi ta’ data personali, il-privatezza u s-sigurtà tat-tali data saru fattur ċentrali tal-fiduċja tal-konsumaturi. Pereżempju, żewġ terzi tal-Ewropej jgħidu li huma inkwetati li ma jkollhomx kontroll fuq l-informazzjoni li jipprovdu onlajn filwaqt li nofs dawk li wieġbu huma mħassbin li jistgħu jisfaw vittma ta’ frodi 25 . Fl-istess ħin, il-kumpaniji Ewropej li joperaw f’xi pajjiżi terzi qegħdin jaffaċċjaw dejjem aktar restrizzjonijiet protezzjonisti li ma jistgħux jiġu ġġustifikati b’kunsiderazzjonijiet leġittimi tal-privatezza.

Fl-era diġitali, il-promozzjoni ta’ standards għoljin ta’ protezzjoni tad-data u l-iffaċilitar tal-kummerċ internazzjonali bilfors iridu jaħdmu id f’id. Filwaqt li l-protezzjoni ta’ data personali mhijiex negozjabbli 26 fi ftehimiet kummerċjali, ir-reġim tal-UE dwar it-trasferimenti internazzjonali ta’ data, kif spjegat aktar ’il fuq, jipprovdi sett ta’ għodod wiesa’ u varjat li jippermetti l-fluss ta’ data f’sitwazzjonijiet differenti filwaqt li jiżgura livell għoli ta’ protezzjoni.

3.1 Deċiżjonijiet ta’ adegwatezza

Konstatazzjoni tal-adegwatezzza tippermetti l-fluss liberu ta’ data personali mill-UE mingħajr ma l-esportatur ta’ data tal-UE jimplimenta xi salvagwardji addizzjonali jew ikun soġġett għal aktar kondizzjonijiet. Bil-konstatazzjoni li l-ordni ġuridiku tiegħu jipprovdi livell adegwat ta’ protezzjoni, id-deċiżjoni tagħraf li s-sistema tal-pajjiż hija simili għal dik tal-Istati Membri tal-UE. B’hekk, it-trasferimenti lejn il-pajjiż inkwistjoni se jiġu assimilati għal trażmissjonijiet intra-UE ta’ data, u b’hekk jipprovdu aċċess privileġġat għas-suq uniku tal-UE, filwaqt li jiftħu kanali kummerċjali għall-operaturi tal-UE. Kif spjegat aktar ’il fuq, dan ir-rikonoxximent bilfors li jirrikjedi livell ta’ protezzjoni komparabbli (jew “essenzjalment ekwivalenti”) 27 għal dak iggarantit fl-Unjoni. Jinvolvi valutazzjoni komprensiva tas-sistema tal-pajjiż terz, inklużi r-regoli tiegħu dwar l-aċċess għal data personali minn awtoritajiet pubbliċi għall-infurzar tal-liġi, għas-sigurtà nazzjonali u għal skopijiet oħrajn ta’ interess pubbliku.

Fl-istess ħin, kif ikkonfermat fl-2015 mill-Qorti tal-Ġustizzja fis-sentenza Schrems, l-istandard ta’ adegwatezza ma jirrikjedix replika bl-eżatt tar-regoli tal-UE 28 . Minflok, it-test huwa jekk, permezz tas-sustanza tad-drittijiet dwar il-privatezza u l-implimentazzjoni, l-infurzar u s-superviżjoni effettivi tagħhom, is-sistema barranija kkonċernata sħiħa tfornix il-livell għoli meħtieġ ta’ protezzjoni. Hekk kif juru d-deċiżjonijiet ta’ adegwatezza s’issa, huwa possibbli li l-Kummissjoni tirrikonoxxi medda wiesgħa ta’ sistemi ta’ privatezza, li jirrappreżentaw tradizzjonijiet legali differenti, bħala adegwata. Dawn id-deċiżjonijiet jikkonċernaw pajjiżi li huma integrati mill-qrib mal-Unjoni Ewropea u mal-Istati Membri tagħha (l-Iżvizzera, Andorra, il-Gżejjer Faeroe, Guernsey, Jersey, Isle of Man), sħab kummerċjali importanti (l-Arġentina, il-Kanada, l-Iżrael, l-Istati Uniti) u pajjiżi li għandhom rwol pijunier fl-iżvilupp ta’ liġijiet dwar il-protezzjoni tad-data fir-reġjun tagħhom (New Zealand, l-Urugwaj).

Id-deċiżjonijiet dwar il-Kanada u l-Istati Uniti huma konstatazzjonijiet tal-adegwatezza “parzjali”. Id-deċiżjoni dwar il-Kanada tapplika biss għal entitajiet privati li jaqgħu taħt l-ambitu tal-Att tal-Kanada dwar il-Protezzjoni tal-Informazzjoni Personali u tad-Dokumenti Elettroniċi. Id-deċiżjoni adottata riċentement dwar it-Tarka tal-Privatezza UE-US 29 hija każ speċifiku peress li, fin-nuqqas ta’ leġiżlazzjoni ġenerali dwar il-protezzjoni tad-data fl-Istati Uniti, 30 din tibbaża fuq impenji mill-kumpaniji li jieħdu sehem li japplikaw l-istandards għoljin ta’ protezzjoni tad-data stabbiliti minn dan l-arranġament li min-naħa tagħhom huma infurzabbli skont il-liġi tal-Istati Uniti. Barra minn hekk, it-Tarka tal-Privatezza tibni fuq ir-rappreżentazzjonijiet u l-garanziji speċifiċi li għamel il-gvern tal-Istati Uniti rigward l-aċċess għal skopijiet ta’ sigurtà nazzjonali 31 li huma l-bażi tal-konstatazzjoni tal-adegwatezza. Il-konformità ma’ dawn l-impenji se tiġi ssorveljata mill-qrib mill-Kummissjoni u tagħmel parti mir-reviżjoni annwali dwar il-funzjonament tal-qafas.

F'dawn l-aħħar snin, dejjem aktar pajjiżi madwar id-dinja adottaw leġiżlazzjoni ġdida fil-qasam ta’ protezzjoni tad-data u tal-privatezza jew huma fil-proċess li jagħmlu dan. Fl-2015, in-numru ta’ pajjiżi li għaddew liġijiet dwar il-privatezza tad-data kien jammonta għal 109, żieda qawwija mis-76 f’nofs l-2011 32 . Barra minn hekk, bħalissa hemm madwar 35 pajjiż li qegħdin jabbozzaw liġijiet dwar il-protezzjoni tad-data 33 . Dawn il-liġijiet il-ġodda jew immodernizzati għandhom tendenza li jkunu bbażati fuq sett prinċipali ta’ prinċipji komuni, inklużi fost l-oħrajn ir-rikonoxximent tal-protezzjoni tad-data bħala dritt fundamentali, l-adozzjoni ta’ leġiżlazzjoni globali f’dan il-qasam, l-eżistenza ta’ drittijiet dwar il-privatezza tal-individwu infurzabbli, u t-twaqqif ta’ awtorità ta’ superviżjoni indipendenti. Dan joffri opportunitajiet ġodda, b’mod partikolari permezz ta’ konstatazzjonijiet tal-adegwatezza, sabiex ikomplu jiġu ffaċilitati l-flussi ta’ data filwaqt li jiġi ggarantit l-issoktar tal-livell għoli ta’ protezzjoni ta’ data personali.

Skont id-dritt tal-UE, konstatazzjoni tal-adegwatezza tirrikjedi l-eżistenza ta’ regoli dwar il-protezzjoni tad-data li huma komparabbli ma’ dawk fl-UE 34 . Dan jikkonċerna kemm il-protezzjonijiet sostantivi applikabbli għad-data personali kif ukoll il-mekkaniżmi rilevanti ta’ sorveljanza u ta’ rimedju disponibbli fil-pajjiż terz.

Skont il-qafas tagħha dwar il-konstatazzjonijiet tal-adegwatezza, il-Kummissjoni tqis li l-kriterji li ġejjin għandhom jiġu kkunsidrati meta jiġi vvalutat ma’ liema pajjiżi terzi għandu jinfetaħ djalogu dwar l-adegwatezza 35 :

(i)    il-firxa tar-relazzjonijiet kummerċjali (attwali jew potenzjali) tal-UE ma’ pajjiż terz partikolari, inkluża l-eżistenza ta’ ftehim ta’ kummerċ ħieles jew ta’ negozjati kurrenti;

(ii)    il-firxa ta’ flussi ta’ data personali mill-UE, li tirrifletti r-rabtiet ġeografiċi u/jew kulturali;

(iii)    ir-rwol ta’ pijunier li jaqdi l-pajjiż terz fil-qasam tal-privatezza u tal-protezzjoni tad-data li jista’ jservi ta’ mudell għal pajjiżi oħrajn fir-reġjun tiegħu 36 ;u

(iv)    ir-relazzjoni politika kumplessiva mal-pajjiż terz inkwistjoni, b’mod partikolari fir-rigward tal-promozzjoni tal-valuri komuni u tal-objettivi kondiviżi f’livell internazzjonali.

Abbażi ta’ dawn il-kunsiderazzjonijiet, il-Kummissjoni se taħdem b’mod attiv ma’ sħab kummerċjali ewlenin fil-Lvant u fix-Xlokk tal-Asja, qabel kollox mal-Ġappun u mal-Korea fl-2017 37 ,u skont il-progress lejn il-modernizzazzjoni tal-liġijiet tagħha ta’ protezzjoni ta’ data, mal-Indja, iżda anki ma’ pajjiżi fl-Amerika Latina, b’mod partikolari l-Mercosur, u mal-viċinat Ewropew li esprimew interess li jiksbu “konstatazzjoni tal-adegwatezza”. Barra minn hekk, il-Kummissjoni tilqa’ l-espressjonijiet ta’ interess minn pajjiżi terzi oħrajn li lesti li jkunu involuti f’dawn il-kwistjonijiet. Id-diskussjonijiet fuq konstatazzjoni tal-adegwatezza possibbli huma djalogu bilaterali li jinkludi l-forniment ta’ kwalunkwe kjarifika neċessarja dwar ir-regoli tal-UE dwar il-protezzjoni tad-data u l-esplorazzjoni ta’ modi kif tista’ tiżdied il-konverġenza tal-liġijiet u tal-prattika tal-pajjiżi terzi.

F’ċerti sitwazzjonijiet, minflok ma jittieħed approċċ għal pajjiż sħiħ, jista’ jkun aħjar li jintużaw alternattivi oħrajn bħal adegwatezza parzjali jew speċifika għas-setturi (eż. għas-servizzi finanzjarji jew għas-setturi tal-informatika) li jistgħu jikkonċernaw żoni ġeografiċi jew industriji li jagħmlu parti importanti mill-ekonomija ta’ pajjiż terz partikolari. Dan se jkollu jiġi kkunsidrat fid-dawl ta’ elementi bħal, pereżempju, in-natura u l-istat ta’ żvilupp tar-reġim tal-privatezza (liġi awtonoma, liġijiet multipli jew settorjali eċċ.), l-istruttura kostituzzjonali tal-pajjiż terz jew jekk ċerti setturi tal-ekonomija humiex partikolarment esposti għall-flussi tad-data mill-UE.

L-adozzjoni ta’ deċiżjoni ta’ adegwatezza tinvolvi l-istabbiliment ta’ djalogu speċifiku u ta’ forom ta’ kooperazzjoni msaħħa mal-pajjiż terz ikkonċernat. Id-deċiżjonijiet ta’ adegwatezza huma dokumenti “ħajjin” li jridu jiġu ssorveljati mill-qrib mill-Kummissjoni u adattati f’każ ta’ żviluppi li jaffettwaw il-livell ta’ protezzjoni żgurat mill-pajjiż terz inkwistjoni 38 . Għal dak l-għan, se jsiru reviżjonijiet perjodiċi, tal-anqas kull erba’ snin, li jindirizzaw kwistjonijiet emerġenti u fejn jiġu skambjati l-aħjar prattiki bejn l-eqreb sħab 39 . Dan l-approċċ dinamiku japplika wkoll għal deċiżjonijiet ta’ adegwatezza li diġà jeżistu, adottati skont id-Direttiva tal-1995, li se jkollhom jiġu riveduti f’każ li ma jibqgħux jissodisfaw l-istandard applikabbli 40 . Għalhekk, il-pajjiżi terzi kkonċernati huma mistiedna jinformaw lill-Kummissjoni dwar kwalunkwe bidla fil-liġi u fil-prattika li seħħet mill-adozzjoni tad-deċiżjoni ta’ adegwatezza relatata magħhom. Dan huwa essenzjali sabiex tiġi żgurata l-kontinwità ta’ dawn id-deċiżjonijiet skont ir-regoli l-ġodda tar-riforma 41 . 

Ir-regoli tal-UE dwar il-protezzjoni tad-data ma jistax ikun soġġett għal negozjati fi ftehim ta’ kummerċ ħieles 42 . Filwaqt li d-djalogi dwar il-protezzjoni tad-data u n-negozjati kummerċjali ma’ pajjiżi terzi jridu jsegwu mogħdijiet separati, deċiżjoni ta’ adegwatezza, inkluża waħda parzjali jew speċifika għas-setturi, hija l-aħjar mod kif tinbena fiduċja reċiproka, filwaqt li tiggarantixxi fluss mhux inibit ta’ data personali, u b’hekk tiffaċilita l-iskambji kummerċjali li jinvolvu trasferimenti ta’ data personali lejn il-pajjiż terz inkwistjoni. Għaldaqstant, dawn id-deċiżjonijiet jistgħu jħaffu n-negozjati kummerċjali jew jistgħu jikkomplementaw ftehimiet kummerċjali eżistenti, li b’hekk jippermettulhom ikattru l-benefiċċji tagħhom. Fl-istess ħin, billi trawwem il-konverġenza tal-livell ta’ protezzjoni fl-UE u fil-pajjiż terz, konstatazzjoni tal-adegwatezza tnaqqas ir-riskju li dak il-pajjiż jinvoka motivi ta’ protezzjoni ta’ data personali sabiex jimponi rekwiżiti mhux iġġustifikati ta’ lokalizzazzjoni jew ta’ ħżin tad-data. Apparti minn hekk, kif indikat fil-Komunikazzjoni ta’ Kummerċ għal Kulħadd, il-Kummissjoni se tfittex li tuża l-ftehimiet kummerċjali tal-UE sabiex tistabbilixxi regoli għall-kummerċ elettroniku u għall-flussi ta’ data transkonfinali u tindirizza forom ġodda ta’ protezzjoniżmu diġitali, f’konformità sħiħa ma-regoli tal-UE dwar il-protezzjoni tad-data u mingħajr ħsara għalihom 43 . 

3.2 Mekkaniżmi alternattivi għat-trasferiment tad-data

Ir-regoli tal-UE dwar il-protezzjoni tad-data dejjem għarfu li ma hemmx approċċ “wieħed tajjeb għal kulħadd” għat-trasferimenti internazzjonali ta’ data. Dan saħansitra huwa aktar minnu għar-regoli li jirriżultaw mir-riforma. Filwaqt li l-konstatazzjonijiet tal-adegwatezza se jkunu disponibbli biss għal dawk il-pajjiżi terzi li jissodisfaw il-kriterji rilevanti, il-GDPR jipprodi sett diversifikat ta’ mekkaniżmi li huma flessibbli biżżejjed sabiex jadattaw għal firxa ta’ sitwazzjonijiet differenti ta’ trasferimenti. L-istrumenti jistgħu jiġu żviluppati sabiex iqisu l-ħtiġijiet jew il-kondizzjonijiet partikolari ta’ industriji, mudell kummerċjali u/jew operaturi speċifiċi. Dan jista’ pereżempju jieħu l-forma ta’ SCCs immirati lejn ir-rekwiżiti ta’ settur partikolari, eż. salvagwardji speċifiċi meta tiġi pproċessata data sensittiva fis-settur tas-saħħa, jew ta’ tip speċifiku ta’ attivitajiet ta’ pproċessar f’ċerti pajjiżi terzi, eż. l-esternalizzazzjoni ta’ servizzi li jitwettqu għal kumpaniji Ewropej. Dan jista’ jsir jew billi jiġu adottati settijiet ġodda ta’ klawżoli standard jew billi jiġu ssupplimentati dawk eżistenti b’salvagwardji addizzjonali li jistgħu jvarjaw minn soluzzjonijiet tekniċi għal organizzazzjonali sa dawk relatati mal-mudell kummerċjali 44 . Ċerti ħtiġijiet settorjali speċifiċi jistgħu jiġu akkomodati wkoll permezz tal-BCRs li japplikaw għal gruppi ta’ kumpaniji involuti f’attività ekonomika konġunta, pereżempju fl-industrija tal-ivvjaġġar. Trasferimenti internazzjonali bejn il-proċessuri jistgħu jibbenefikaw mill-iżvilupp ta’ SCCs minn proċessur għal proċessur jew/u ta’ BCRs għall-proċessuri. Finalment, mekkaniżmi ġodda tat-trasferimenti bħal kodiċijiet ta’ kondotta approvati u ċertifikazzjonijiet ta’ partijiet terzi akkreditati jipprovdu lill-industrija l-possibbiltà li tintroduċi soluzzjonijiet imfasslin apposta għal trasferimenti internazzjonali filwaqt li jibbenefikaw mill-vantaġġi kompetittivi assoċjati, pereżempju, b’siġill jew marka tal-privatezza. Uħud minn dawn l-istrumenti jistgħu jiġu żviluppati bħala mekkaniżmi speċifiċi għat-trasferimenti jew bħala parti minn għodod aktar ġenerali sabiex tintwera l-konformità mad-dispożizzjonijiet kollha tal-GDPR, bħal fil-każ ta’ kodiċi ta’ kondotta approvat.

Il-Kummissjoni se taħdem mal-industrija, mas-soċjetà ċivili u mal-awtoritajiet ta’ protezzjoni tad-data bl-għan li tisfrutta l-potenzjal sħiħ tas-sett ta’ għodod tal-GDPR għat-trasferimenti internazzjonali. Id-djalogu li għaddej mal-partijiet ikkonċernati fil-kuntest tal-implimentazzjoni tar-riforma se jgħin sabiex jiġu identifikati l-oqsma ta’ azzjoni ta’ prijorità f’dan ir-rigward. Dan jista’ jinkludi t-tlestija tal-ħidma li diġà nbdiet bħal dik ta’ tfassil, f’kooperazzjoni mal-Grupp ta’ Ħidma tal-Artikolu 29 (li fl-2018 se jiġi sostitwit mill-Bord Ewropew għall-Protezzjoni tad-Dejta), tal-SCCs minn proċessur għal proċessur 45 . Jista’ jinvolvi l-iżvilupp ta’ komponenti ġodda tal-infrastruttura ta’ konformità tal-UE, pereżempju permezz tad-definizzjoni min-naħa tal-Kummissjoni ta’ rekwiżiti u ta’ standards tekniċi għall-istabbiliment u għall-funzjonament ta’ mekkaniżmi ta’ ċertifikazzjoni, inkluż għal aspetti relatati ma’ trasferimenti internazzjonali 46 . Uħud minn dawn l-azzjonijiet jistgħu jiġu kkomplementati minn ħidma f’livell internazzjonali, speċjalment ma’ organizzazzjonijiet li żviluppaw mekkaniżmi ta’ trasferiment simili. Pereżempju, jistgħu jiġu esplorati modi kif tiġi promossa l-konverġenza bejn il-BCRs skont id-dritt tal-UE u r-Regoli dwar il-Privatezza Transkonfinali mill-Kooperazzjoni Ekonomika Asja-Paċifiku (APEC) 47 fir-rigward kemm tal-istandards applikabbli kif ukoll tal-proċess ta’applikazzjoni taħt kull sistema. Din għandha tikkontribwixxi għall-promozzjoni ta’ standards għoljin ta’ protezzjoni tad-data f’livell globali filwaqt li tneħħi d-differenzi fl-approċċi għall-privatezza u għall-protezzjoni tad-data, filwaqt li tgħin lill-operaturi kummerċjali jinnavigaw bejn sistemi differenti u jfasslu politiki li jirrispettawhom.

3.3 Kooperazzjoni internazzjonali għall-protezzjoni ta' data personali

3.3.1. Il-promozzjoni ta’ standards dwar il-protezzjoni tad-data permezz ta’ strumenti u ta’ fora multilaterali

Il-qafas legali tal-UE dwar il-protezzjoni tad-data spiss serva bħala punt ta’ referenza għall-pajjiżi terzi li jkunu qed jiżviluppaw leġiżlazzjoni f’dan il-qasam. L-UE se tkompli tkun involuta b’mod attiv fi djalogu mas-sħab internazzjonali tagħha, kemm f’livell bilaterali kif ukoll multilaterali, sabiex trawwem konverġenza billi tiżviluppa standards għoljin u interoperabbli għall-protezzjoni ta’ data personali f’livell globali. Dan jikkontribwixxi għall-protezzjoni aktar effettiva tad-drittijiet tal-individwi u fl-istess ħin inaqqas l-ostakoli għall-fluss transkonfinali tad-data bħala element importanti tal-kummerċ ħieles.

B’mod partikolari, il-Kummissjoni tħeġġeġ l-adeżjoni minn pajjiżi terzi għall-Konvenzjoni 108 tal-Kunsill tal-Ewropa u għall-Protokoll addizzjonali tiegħu 48 . Il-Konvenzjoni, li hija miftuħa għal dawk li mhumiex membri tal-Kunsill tal-Ewropa u li diġà ġiet irratifikata minn 50 pajjiż, inklużi Stati Afrikani u mill-Amerika t’Isfel 49 , hija l-uniku strument multilaterali vinkolanti fil-qasam tal-protezzjoni tad-data. Bħalissa tinsab fil-proċess li tiġi riveduta u l-Kummissjoni se tippromwovi b’mod attiv l-adozzjoni veloċi tat-test immodernizzat bl-għan li l-UE ssir Parti. Se tirrifletti l-istess prinċipji bħal dawk imnaqqxin fir-regoli l-ġodda tal-UE dwar il-protezzjoni tad-data u b’hekk se tikkontribwixxi għall-konverġenza lejn sett ta’ standards għoljin ta’ protezzjoni tad-data.

Il-laqgħa tal-G20 fl-2017 se tipprovdi opportunità oħra għall-UE sabiex taħdem lejn konverġenza madwar il-prinċipju li standards għoljin ta’ protezzjoni tad-data huma komponent essenzjali tal-iżvilupp ulterjuri ta’ soċjetà tal-informazzjoni globali li kapaċi tippromwovi l-innovazzjoni, it-tkabbir u l-prosperità soċjali 50 .

Il-Kummissjoni hija ħerqana wkoll li tinvolvi lil atturi importanti ġodda, bħar-Rapporteur Speċjali tan-NU dwar id-Dritt għall-Privatezza, 51 u li tkompli tiżviluppa r-relazzjonijiet ta’ ħidma tagħha ma’ organizzazzjonijiet reġjonali bħall-APEC, sabiex trawwem kultura dinjija ta’ rispett għad-drittijiet għall-privatezza u għal protezzjoni ta’ data personali.

Bħala parti mill-isforzi usa’ tagħha li ttejjeb is-sensibilizzazzjoni dwar il-privatezza u żżid is-salvagwardji għall-protezzjoni tad-data f’livell internazzjonali, fil-15 ta’ Novembru 2016, il-Kummissjoni Ewropea approvat proġett taħt l-Istrument ta’ Sħubija sabiex issaħħaħ il-kooperazzjoni ma’ pajjiżi sħab f’dan il-qasam 52 . Dan se jinkludi l-finanzjament ta’ attivitajiet bħat-taħriġ u s-sensibilizzazzjoni. Min-naħa tagħha, fil-kuntest tal-implimentazzjoni tar-riforma, l-UE tista’ tibbenefika mill-iskambju tal-aħjar prattiki u mill-esperjenza ta’ sistemi oħrajn bi sfidi ġodda għall-protezzjoni tal-privatezza u s-soluzzjonijiet legali jew tekniċi emerġenti, inkluż fir-rigward tal-infurzar, tal-għodod ta’ konformità (eż. mekkaniżmi ta’ ċertifikazzjoni, valutazzjonijiet tal-impatt fuq il-privatezza) jew tal-protezzjonijiet għal ċerti settijiet ta’ data speċifiċi (eż. data tat-tfal).

3.3.2. Kooperazzjoni fl-infurzar

It-tisħiħ tal-kooperazzjoni bl-awtoritajiet ta’ infurzar u ta’ superviżjoni tal-privatezza rilevanti ta’ pajjiżi terzi qiegħed isir dejjem aktar neċessarju fid-dawl tad-dimensjoni globali ta’ kumpaniji multinazzjonali li jipproċessaw ammonti vasti ta’ data personali f’numru kbir ta’ pajjiżi. Spiss, il-problemi ta’ nonkonformità mar-regoli dwar il-protezzjoni tad-data jew ta’ ksur tad-data jaffettwaw ukoll lil persuni f’aktar minn ġurisdizzjoni waħda. F’dawn il-każijiet, il-protezzjoni tal-individwi tista’ ssir aktar effettiva permezz ta’ azzjoni komuni. Fl-istess ħin, l-atturi ekonomiċi jibbenefikaw minn ambjent legali aktar ċar fejn jiġu żviluppati għodod għall-interpretazzjoni komuni u prattiki ta’ infurzar komuni f’livell globali.

Għalhekk, fid-dinja bla fruntieri u konnessa tal-flussi tad-data, wasal iż-żmien li tissaħħaħ il-kooperazzjoni bejn l-infurzaturi 53 . L-UE lesta biex tagħti sehemha. Kif tfakkar aktar ’il fuq, il-GDPR jippermetti lill-Kummissjoni tiżviluppa mekkaniżmi għall-kooperazzjoni internazzjonali sabiex tiffaċilita l-infurzar effettiv tal-leġiżlazzjoni dwar il-protezzjoni tad-data, inkluż permezz ta’ arranġamenti għall-assistenza reċiproka. F’dan il-kuntest, għandha tiġi esplorata l-possibbiltà li tiżviluppa ftehim qafas għall-kooperazzjoni bejn l-awtoritajiet tal-UE għall-protezzjoni tad-data u l-awtoritajiet ta’ infurzar f’ċerti pajjiżi terzi, filwaqt li tiġi sfruttata wkoll l-esperjenza miksuba mill-Kummissjoni f’oqsma oħrajn ta’ infurzar bħall-kompetizzjoni u l-protezzjoni tal-konsumatur.

4. Kooperazzjoni Aktar Effettiva fl-Infurzar tal-Liġi b’Salvagwardji B’Saħħithom għall-Protezzjoni tad-Data 

L-iskambji ta’ data personali huma parti integrali mill-prevenzjoni, mill-investigazzjoni u mill-prosekuzzjoni ta’ reati kriminali. F’dinja interkonnessa fejn il-kriminalità rari tieqaf mal-fruntieri nazzjonali, l-iskambju veloċi ta’ data personali huwa essenzjali għall-kooperazzjoni b’suċċess fl-infurzar tal-liġi u għal rispons effettiv għall-kriminalità. Skambji bħal dawn iridu jkunu sostnuti minn salvagwardji b’saħħithom għall-protezzjoni tad-data. Dan jikkontribwixxi wkoll għall-bini tal-fiduċja bejn l-awtoritajiet tal-infurzar tal-liġi (LEAs) u għat-tisħiħ taċ-ċertezza tad-dritt meta tinġabar u/jew tiġi skambjata l-informazzjoni.

Ir-regoli dwar it-trasferimenti internazzjonali fid-Direttiva tal-Pulizija jirregolaw l-iskambji ta’ data bejn LEAs tal-UE u mhux tal-UE kif ukoll, f’sitwazzjonijiet speċifiċi, it-trasferimenti minn LEAs lil entitajiet oħrajn. Id-Direttiva tintroduċi l-possibbiltà ta’ konstatazzjonijiet tal-adegwatezza fis-settur ta’ infurzar tal-liġi kriminali. Il-Kummissjoni se tippromwovi l-possibbiltà ta’ konstatazzjonijiet tal-adegwatezza bħal dawn ma’ pajjiżi terzi li jikkwalifikaw, speċjalment dawk il-pajjiżi li magħhom hemm bżonn ta’ kooperazzjoni mill-qrib u veloċi fil-ġlieda kontra l-kriminalità u t-terroriżmu u fejn diġà hemm skambji ta’ data personali sinjifikanti. Fuq din il-bażi, il-Kummissjoni se tagħti prijorità lil diskussjonijiet dwar deċiżjonijiet tal-adegwatezza ma’ pajjiżi terzi li huma sħab ewlenin f’dan il-qasam.

Inkella, il-Ftehim Komprensiv dwar il-Protezzjoni tad-Data UE-US 54 konkluż f’Diċembru tal-2016 huwa eżempju ta’ suċċess kif il-kooperazzjoni fl-infurzar tal-liġi ma’ sieħeb internazzjonali importanti tista’ tissaħħaħ billi jiġi nnegozjat sett b’saħħtu ta’ salvagwardji għall-protezzjoni tad-data. Bis-supplimentazzjoni awtomatika ta’ strumenti legali eżistenti li fuqhom huma bbażati skambji ta’ data (b’mod partikolari ftehimiet bilaterali f’livell tal-UE kif ukoll tal-Istati Membri), il-Ftehim Komprensiv iġib miegħu benefiċċji immedjati u diretti għall-individwi u jsaħħaħ il-kooperazzjoni fl-infurzar tal-liġi billi jiffaċilita l-iskambju ta’ informazzjoni. Barra minn hekk, billi jistabbilixxi xenarju bażi għal arranġamenti futuri dwar it-trasferiment tad-data mal-Istati Uniti, il-Ftehim Komprensiv jevita l-bżonn li joqogħdu jerġgħu jiġu nnegozjati ripetutament dawk l-istess salvagwardji. Il-Ftehim Komprensiv jikkostitwixxi l-ewwel ftehim internazzjonali bilaterali b’katalogu komprensiv ta’ drittijiet u ta’ obbligi dwar il-protezzjoni tad-data f’konformità mal-acquis tal-UE. Għaldaqstant, jista’ jservi bħala bażi għan-negozjar ta’ ftehimiet simili ma’ pajjiżi terzi mhux biss fil-qasam tal-kooperazzjoni ġudizzjarja u tal-pulizija, iżda anki f’oqsma oħrajn ta’ infurzar pubbliku (eż. il-politika tal-kompetizzjoni, il-protezzjoni tal-konsumatur). Din tkun tkopri kemm skambji minn gvern għal gvern kif ukoll trasferimenti ta’ data bejn kumpaniji privati u LEAs. Tista’ tiffaċilita wkoll il-konklużjoni mill-Unjoni ta’ ftehimiet dwar l-iskambju ta’ data bejn aġenziji rilevanti tal-UE (b’mod partikolari l-Europol u l-Eurojust) u pajjiżi terzi 55 . B’hekk, il-Kummissjoni se tesplora l-possibbiltà li tikkonkludi ftehimiet qafas simili mas-sħab importanti tagħha fl-infurzar tal-liġi.

Barra minn hekk, id-Direttiva tal-Pulizija tipprevedi l-possibbiltà, taħt salvagwardji stretti u f’ċirkostazi speċifiċi, li l-LEAs fl-UE jitolbu informazzjoni direttament mingħand kumpanija privata f’pajjiż terz u li jgħaddu informazzjoni personali (tipikament isem jew indirizz IP) f’dik it-talba 56 . Għall-kuntrarju, il-GDPR jindirizza b’mod speċifiku każijiet li fihom l-entitajiet privati fl-UE jibagħtu data personali lil-LEAs ta’ pajjiż terz wara talba: tali trasferimenti barra mill-UE huma permessibbli biss f’ċerti kondizzjonijiet, eż. abbażi ta’ ftehim internazzjonali jew meta d-divulgazzjoni tkun neċessarja għal raġuni importanti ta’ interess pubbliku rikonoxxuta fid-dritt tal-Unjoni jew fil-liġi tal-Istat Membru 57 .

Din il-kooperazzjoni, li saret ċentrali għall-investigazzjoni u għall-prosekuzzjoni b’suċċess ta’ reati u ta’ terroriżmu, hija enfasizzata f’konklużjonijiet tal-Kunsill dwar it-titjib tal-ġustizzja kriminali fiċ-ċiberspazju. Il-Kunsill sejjaħ lill-Kummissjoni sabiex tieħu azzjonijiet konkreti, abbażi ta’ approċċ komuni tal-UE, sabiex ittejjeb il-kooperazzjoni mal-fornituri ta’ servizzi, tagħmel l-assistenza legali reċiproka aktar effiċjenti u tipproponi soluzzjonijiet għall-problemi ta’ determinazzjoni u ta’ infurzar tal-ġurisdizzjoni fiċ-ċiberspazju 58 . Dawn l-azzjonijiet jkopru kemm skambji bejn l-LEAs u fornituri ta' servizzi bbażati fl-UE u skambji ma’ awtoritajiet u kumpaniji mhux UE. Il-Kummissjoni se tfassal għażliet għall-aċċess għal evidenza diġitali f’Ġunju 2017, li jieħdu inkonsiderazzjoni l-ħtieġa għal kooperazzjoni rapida u affidabbli bbażata fuq standards ta’ protezzjoni ta' data b’saħħithom tad-Direttiva tal-Pulizija u l-GDPR kemm f’sitwazzjoniet interni għall-UE u għal trasferimenti internazzjonali.

Finalment, f’konformità mal-bażi ġuridika l-ġdida għall-Europol, il-Kummissjoni se tivvaluta d-dispożizzjonijiet li jinsabu f’dawk il-ftehimiet ta’ kooperazzjoni operattiva bejn il-Europol u l-partijiet terzi, konklużi skont id-Deċiżjoni tal-Kunsill 2009/371/ĠAI, inklużi d-dispożizzjonijiet tagħhom dwar il-protezzjoni tad-data 59 . Barra minn hekk, kif stipulat tal-Aġenda Ewropea dwar is-Sigurtà tal-2015, l-approċċ futur tal-Unjoni għall-iskambju ta’ data mill-PNR ma’ pajjiżi mhux fl-UE se jikkunsidra l-ħtieġa li jiġu applikati standards konsistenti u protezzjonijiet speċifiċi ta’ drittijiet fundamentali. Il-Kummissjoni se taħdem fuq soluzzjonijiet legalment sodi u sostenibbli għall-iskambju tad-data mir-Reġistru tal-Ismijiet tal-Passiġġieri (PNR) ma’ pajjiżi terzi, inkluż billi tikkunsidra ftehim mudell għall-PNR li jistipula rekwiżiti li jeħtieġu jintlaqgħu minn pajjiżi terzi sabiex jirċievu data mill-PNR mingħand l-UE. Madankollu, kwalunkwe politika futura f’dan il-qasam se tiddependi, b’mod partikolari, fuq l-Opinjoni futura tal-Qorti tal-Ġustizzja tal-Unjoni Ewropea dwar il-Ftehim previst tal-UE dwar il-PNR mal-Kanada 60 . 

5. Konklużjoni

Il-protezzjoni u l-iskambju ta’ data personali ma jeskludux lil xulxin. Sistema b’saħħitha ta’ protezzjoni tad-data tiffaċilita l-flussi tad-data billi tibni l-fiduċja tal-konsumaturi f’dawk il-kumpaniji li joqogħdu attenti għall-mod kif jieħdu ħsieb id-data personali tal-klijenti tagħhom. B’hekk, standards għoljin ta’ protezzjoni tad-data jsiru vantaġġ fl-ekonomija diġitali globali. L-istess japplika għall-kooperazzjoni fl-infurzar tal-liġi: salvagwardji għall-privatezza huma parti integrali mill-iskambju effettiv u veloċi tal-informazzjoni fil-ġlieda kontra l-kriminalità, abbażi ta’ fiduċja reċiproka u ċertezza tad-dritt.

Ġaladarba lestiet ir-riforma tar-regoli tagħha dwar il-protezzjoni tad-data, l-UE għandha taħdem b’mod proattiv ma’ pajjiżi terzi fuq din il-kwistjoni. Għandha tistinka sabiex tinkiseb konverġenza ’l fuq akbar tal-prinċipji dwar il-protezzjoni tad-data f’livell internazzjonali, kemm f’livell bilaterali kif ukoll dak multilaterali. Dan huwa fl-interess u għall-benefiċċju taċ-ċittadini u tan-negozji wkoll. Il-qafas leġiżlattiv il-ġdid dwar il-protezzjoni tad-data jipprovdi lill-UE bl-għodod neċessarji u xierqa sabiex tikseb dawn l-objettivi. Abbażi tal-approċċ strateġiku ppreżentat f’din il-Komunikazzjoni, il-Kummissjoni se taħdem b’mod attiv ma’ pajjiżi terzi ewlenin sabiex flimkien jesploraw il-possibbiltà li jadottaw konstatazzjonijiet tal-adegwatezza, l-ewwel nett mal-Ġappun u l-Korea fl-2017, bil-għan li jrawmu konverġenza regolatorja mal-istandards tal-UE u jiffaċilitaw ir-relazzjonijiet kummerċjali. Fl-istess ħin, l-UE se tagħmel użu sħiħ mill-medda ta’ għodod alternattivi għat-trasferiment sabiex tipproteġi d-drittijiet ta’ protezzjoni tad-data u tappoġġja lill-atturi ekonomiċi meta d-data tiġi ttrasferita lejn pajjiżi li l-liġi domestika tagħhom ma tiżgurax livell adegwat ta’ protezzjoni tad-data. Dawn l-għodod għandhom jintużaw ukoll sabiex tkompli tiġi ffaċilitata l-kooperazzjoni bejn l-awtoritajiet ta’ superviżjoni u ta’ infurzar tal-liġi tal-UE u s-sħab internazzjonali tagħhom. Il-Kummissjoni se tiżgura koerenza tad-dimensjoni interna u esterna tal-politika tal-UE dwar il-protezzjoni tad-data u se tippromwovi protezzjoni b’saħħitha tad-data f’livell internazzjonali sabiex ittejjeb il-kooperazzjoni fl-infurzar tal-liġi, tikkontribwixxi għall-kummerċ ħieles u tiżviluppa standards għoljin għall-protezzjoni ta’ data personali f’livell globali.

(1)

     Id-Direttiva 95/46/KE tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Ottubru 1995 dwar il-protezzjoni ta’ individwi fir-rigward ta’ l-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ dik id-data, ĠU L 281 tat-23.11.95.

(2)

     Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data), ĠU L 119, 4.5.2016, p. 1–88. Din daħlet fis-seħħ fl-24 ta’ Mejju 2016 u tibda tapplika mill-25 ta’ Mejju 2018.

(3)

     Id-Direttiva (UE) 2016/680 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni ta' persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-awtoritajiet kompetenti għall-finijiet tal-prevenzjoni, l-investigazzjoni, is-sejbien jew il-prosekuzzjoni ta’ reati kriminali jew l-eżekuzzjoni ta’ pieni kriminali, u dwar il-moviment liberu ta’ tali data, u li tħassar id-Deċiżjoni Qafas tal-Kunsill 2008/977/ĠAI, ĠU L 119, 4.5.2016, p. 89-131. Din daħlet fis-seħħ fil-5 ta’ Mejju 2016. L-Istati Membri tal-UE jridu jittrasponuha fil-leġiżlazzjoni nazzjonali tagħhom sas-6 ta’ Mejju 2018.

(4)

     Ara “Data protection regulations and international data flows: Implications for trade and development”, UNCTAD (2016): http://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.

(5)

     Il-Programm ta’ Ħidma tal-Kummissjoni 2017, It-twettiq bil-fatti ta’ Ewropa li tipproteġi, li tagħti s-setgħa u li tiddefendi, COM(2016) 710 final, 25.10.2016, p.12 u l-Anness 1.

(6)

     Komunikazzjoni tal-Kummissjoni lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni, L-Aġenda Ewropea dwar is-Sigurtà, COM(2015) 185 final, 28.4.2015.

(7)

     Sentenza tal-Qorti tal-Ġustizzja tal-UE tas-6 ta’ Ottubru 2015 fil-Kawża C-362/14, Maximillian Schrems vs Data Protection Commissioner, punti 73, 74 u 96. Ara wkoll il-premessa 104 tal-GDPR u l-premessa 67 tad-Direttiva tal-Pulizija li jirreferu għall-istandard ta’ ekwivalenza essenzjali.

(8)

     Ara l-Artikolu 45 tal-GDPR. Kif stipulat fl-Artikolu 45(2), fil-valutazzjoni tagħha l-Kummissjoni trid tqis, fost l-oħrajn, l-istat tad-dritt, ir-rispett għad-drittijiet u għal-libertajiet fundamentali tal-bniedem u l-leġiżlazzjoni rilevanti, inkluż fil-qasam tal-protezzjoni ta’ data, tas-sigurtà pubblika, tad-difiża, tas-sigurtà nazzjonali u tal-liġi kriminali u tal-aċċess minn awtoritajiet pubbliċi għal data personali. Dawn iridu jkunu sostnuti minn drittijiet effettivi u infurzabbli, inkluż rimedju amministrattiv u ġudizzjarju għall-individwi, u awtorità superviżorja indipendenti li taħdem b’mod effettiv sabiex tiżgura u tinforza l-konformità mar-regoli dwar il-protezzjoni ta’ data. L-aderenza għal konvenzjonijiet legalment vinkolanti, b’mod partikolari l-Konvenzjoni 108 tal-Kunsill tal-Ewropa, u l-parteċipazzjoni f’sistemi multilaterali jew reġjonali li jittrattaw il-protezzjoni ta’ data, se jiġu kkunsidrati wkoll.

(9)

     Ara l-Artikolu 36(2) tad-Direttiva dwar il-Pulizija għall-elementi speċifiċi tal-valutazzjoni tal-adegwatezza.

(10)

     Ara l-Artikolu 45(1) tal-GDPR u l-Artikolu 36(1) tad-Direttiva dwar il-Pulizija.

(11)

     Ara, pereżempju, il-Komunikazzjoni mill-Kummissjoni lill-Parlament Ewropew u lill-Kunsill dwar it-Trasferiment ta’ Dejta Personali mill-UE lejn l-Istati Uniti tal-Amerka skont id-Direttiva 95/46/KE wara s-Sentenza tal-Qorti tal-Ġustizzja fil-Kawża C-362/14 (Schrems), COM(2015) 566 final, 6.11.2015.

(12)

     L-SCCs jistabbilixxu l-obbligi rispettivi ta’ protezzjoni ta’ data bejn l-esportatur tal-UE u l-importatur minn pajjiż terz.

(13)

     Il-BCRs huma regoli interni adottati minn grupp multinazzjonali ta’ kumpaniji sabiex iwettaq trasferimenti ta’ data fi ħdan l-istess grupp korporattiv lil entitajiet li jinsabu f’pajjiżi li ma jipprovdux livell adegwat ta’ protezzjoni. Filwaqt li l-BCRs diġà jintużaw skont id-Direttiva tal-1995, il-GDPR jikkodifika u jifformalizza r-rwol tagħhom bħala għodda għat-trasferimenti.

(14)

     Ara l-Artikoli 46(2)(c) u (d) u l-premessa 168 tal-GDPR.

(15)

     Ara l-Artikoli 46(2)(b), 47 u l-premessa 110 tal-GDPR.

(16)

     Ara l-Artikolu 46(2) tal-GDPR.

(17)

     Li r-rekwiżiti ta’ reġistrazzjoni joħolqu ostakolu għall-kummerċ għal ħafna negozji, speċjalment għall-SMEs, ġie enfasizzat, eż. fir-rapport tal-UNCTAD, p. 34.

(18)

     Ara l-Artikolu 46(2)(e) u (f) tal-GDPR.

(19)

     Kontrolluri mhux fl-UE se jkunu jistgħu jaderixxu ma’ kodiċi ta’ kondotta tal-UE jew ma’ mekkaniżmu ta’ ċertifikazzjoni tal-UE billi jieħdu impenji vinkolanti u infurzabbli, permezz ta’ impenji kuntrattwali jew legalment vinkolanti oħrajn, sabiex japplikaw is-salvagwardji ta’ protezzjoni tad-data li jinsabu f’dawk l-istrumenti. Ara l-Artikolu 42(2) tal-GDPR.

(20)

     Ara l-Artikolu 46(2) u 46(3)(b) tal-GDPR.

(21)

     Ara l-Artikolu 49 tal-GDPR.

(22)

     Ara l-Artikolu 49(1), it-tieni subparagrafu.

(23)

     Ara l-Artikolu 50 tal-GDPR.

(24)

     Ara, eż., il-Komunikazzjoni mill-Kummissjoni lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni dwar Kummerċ għal Kulħadd Lejn politika aktar responsabbli għall-kummerċ u l-investiment, COM(2015) 497 final, 14.10.2015, p. 7.

(25)

     Ewrobarometru Speċjali 431 - Protezzjoni tad-data, Ġunju 2015.

(26)

     Il-linji gwida politiċi tal-President Juncker: Bidu ġdid għall-Ewropa: L-Aġenda tiegħi għall-Impjiegi, it-Tkabbir, il-Ġustizzja u t-Tibdil Demokratiku

(27)

     Ara n-nota 7 f’qiegħ il-paġna.

(28)

     Ara l-punt 74 tas-sentenza Schrems.

(29)

     Id-Deċiżjoni ta’ Implimentazzjoni UE(2016) 1260 tat-12 ta’ Lulju 2016.

(30)

     Il-Kummissjoni tħeġġeġ lill-Istati Uniti jagħmlu sforzi favur sistema komprensiva ta’ protezzjoni tal-privatezza u tad-data, li tippermetti għal konverġenza bejn iż-żewġ sistemi fit-tul. Ara l-Komunikazzjoni mill-Kummissjoni lill-Parlament Ewropew u lill-Kunsill, Flussi ta’ Dejta Transatlantiċi: Nirritornaw il-Fiduċja permezz ta’ Salvagwardji Qawwija, COM(2016) 117 final, 29.2.2016.

(31)

     Din tinkludi b’mod partikolari l-applikazzjoni tad-Direttiva dwar il-Politika Presidenzjali 28 (PPD-28), li timponi numru ta’ limitazzjonijiet u ta’ salvagwardji għal operazzjonijiet ta’ “intelligence ta’ sinjali”, u l-ħatra ta’ Ombudsperson speċifika għal lmenti minn individwi tal-UE f’dan ir-rigward.

(32)

     G. Greenleaf, “Global data privacy laws 2015: 109 countries, with European laws now in a minority”, (2015) 133 Privacy Laws & Business International Report, 14-17.

(33)

     Studju tal-UNCTAD, pp. 8 u 42 (in-nota 4 f’qiegħ il-paġna aktar ’il fuq).

(34)

     F’dan ir-rigward, il-Kummissjoni tieħu f’kunsiderazzjoni wkoll l-obbligi tal-pajjiż terz li jirriżultaw mill-konvenzjonijiet legalment vinkolanti, b’mod partikolari l-adeżjoni tiegħu għall-Konvenzjoni 108 u l-Protokoll addizzjonali tagħha, meta twettaq valutazzjoni tal-adegwatezza. Ara l-Artikolu 45(2)(c) u l-premessa 105 tal-GDPR.

(35)

     Għall-pajjiżi li fir-rigward tagħhom jeżistu interessi rilevanti għall-kooperazzjoni fil-qasam ta’ sigurtà interna u ta’ infurzar tal-liġi, il-Kummissjoni se tesplora l-possibbiltà għal konstatazzjonijiet speċifiċi tal-adegwatezza skont id-Direttiva tal-Pulizija, ara t-taqsima 4.

(36)

     Dan jista’ jkun partikolarment rilevanti għal pajjiżi fil-fażi tal-iżvilupp u ta’ tranżizzjoni peress li l-protezzjoni tad-data personali hija kemm element kruċjali tal-istat tad-dritt kif ukoll fattur importanti tal-kompetittività ekonomika.

(37)

     Riċentament il-Ġappun u l-Korea adottaw jew immodernizzaw il-leġiżlazzjoni tagħhom biex idaħħlu fis-seħħ reġimi ta’ protezzjoni ta’ data komprensivi.

(38)

     L-Artikolu 45(4) u (5) tal-GDPR jirrikjedi li l-Kummissjoni tissorvelja l-iżviluppi f’pajjiżi terzi fuq bażi kontinwa u jagħtiha s-setgħa li tħassar, temenda jew tissospendi deċiżjoni ta’ adegwatezza jekk issib li l-pajjiż rispettiv ma jibqax jiżgura livell adegwat ta’ protezzjoni.

(39)

     L-Artikolu 45(3) tal-GDPR.

(40)

     L-Artikolu 97(2)(a) tal-GDPR jirrikjedi wkoll li sal-2020 il-Kummissjoni tissottometti rapport ta’ evalwazzjoni lill-Parlament Ewropew u lill-Kunsill.

(41)

     Sabiex tislet il-konsegwenzi mis-sentenza Schrems li sabet li l-Kummissjoni kienet marret lil hinn mis-setgħat tagħha meta rrestrinġiet is-setgħat tad-DPAs sabiex jissospendu jew jipprojbixxu flussi ta’ data fid-deċiżjoni rigward Livell Xieraq ta’ Protezzjoni, fis-16 ta’ Diċembru 2016 il-Kummissjoni adottat deċiżjoni li temenda l-“omnibus” li tħassar dispożizzjonijiet simili f’deċiżjonijiet ta’ adegwatezza simili u tbiddilhom ma’ dispożizzjonijiet li sempliċiment jipprovdu għal rekwiżiti ta’ informazzjoni bejn l-Istati Membri u l-Kummissjoni f’każ li DPA tissospendi jew tipprojbixxi trasferimenti lejn pajjiż terz. Id-deċiżjoni tal-omnibus tintroduċi wkoll rekwiżit li l-Kummissjoni tissorvelja l-iżviluppi rilevanti fil-pajjiż terz. Ara l-ĠU L355, 17.12.2016, p.83.

(42)

     B’mod partikolari, konstatazzjoni tal-adegwatezza hija deċiżjoni ta’ implimentazzjoni unilaterali mill-Kummissjoni skont id-dritt tal-UE dwar il-protezzjoni tad-data, ibbażata fuq il-kriterji li jinsabu f’dan.

(43)

     Ara l-Komunikazzjoni Kummerċ għal Kulħadd, p. 12 (in-nota 24 f’qiegħ il-paġna aktar ’il fuq).

(44)

     Ara l-Artikolu 46(2)(c) u (d) u l-premessa 109 GDPR li jiċċaraw li adattamenti għal klawżoli mudell approvati huma possibbli diment li ma jkunux kontradittorji, b’mod dirett jew indirett, għal dawk il-klawżoli mudell jew jippreġudikaw id-drittijiet jew il-libertajiet fundamentali tal-individwi.

(45)

     Bħalissa, ma hemm ebda SCC minn proċessur fl-UE għal proċessur mhux fl-UE fis-seħħ.

(46)

     L-Artikolu 43(8) u (9) tal-GDPR.

(47)

     Ara 2014 APEC/EU Common Referential for the Structure of the EU Binding Corporate Rules and the APEC Cross Border Privacy Rules System (CBPR), li tqabbel ir-rekwiżiti ta’ konformità u ta’ ċertifikazzjoni taż-żewġ sistemi: http://www.apec.org/~/media/Files/Groups/ECSG/20140307_Referential-BCR-CBPR-reqs.pdf.

(48)

     Il-Konvenzjoni tal-Kunsill tal-Ewropa tat-28 ta’ Jannar 1981 għall-Protezzjoni ta’ Individwi fir-rigward tal-Ipproċessar Awtomatiku ta’ Data Personali (ETS Nru. 180) u l-Protokoll Addizzjonali tal-2001 għall-Konvenzjoni għall-Protezzjoni tal-Individwi fir-rigward tal-Ipproċessar Awtomatiku ta’ Data Personali, rigward l-awtoritajiet ta’ superviżjoni u l-flussi ta’ data transkonfinali (ETS Nru 181).

(49)

Il-Mauritius, is-Senegal u l-Urugwaj irratifikaw il-Konvenzjoni. Barra minn dawn, Cape Verde, il-Marokk u t-Tuneżija ġew mistiedna jaderixxu.

(50)

   Ara wkoll l-OECD Ministerial Declaration on the Digital Economy: Innovation, Growth and Social Prosperity (“Cancun Declaration”), 23 ta’ Ġunju 2016.

(51)

     Ara: http://www.ohchr.org/EN/Issues/Privacy/SR/Pages/SRPrivacyIndex.aspx .

(52)

     Id-deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni C(2016)7198, li tapprova t-tieni fażi tal-Programm ta’ Azzjoni Annwali 2016 (AAP 2016) tal-Istrument ta’ Sħubija.

(53)

     In-netwerks eżistenti jinkludu l-Global Privacy Enforcement Network (GPEN) imniedi fl-2010 taħt l-awspiċji tal-OECD. Huwa netwerk informali ta’ Awtoritajiet għall-Infurzar tal-Privatezza, li fih huma involuti d-DPAs tal-UE, li għandu l-kompitu, fost l-oħrajn, ta’ kooperazzjoni fl-infurzar tal-liġi, ta’ qsim tal-aħjar prattiki fl-indirizzar tal-isfidi transkonfinali u ta’ appoġġ tal-inizjattivi ta’ infurzar konġunt u tal-kampanji ta’ sensibilizzazzjoni. Ma joħloq ebda obbligu legalment vinkolanti ġdid fost il-parteċipanti u jiffoka l-aktar fuq l-iffaċilitar tal-kooperazzjoni fl-infurzar tal-liġijiet dwar il-privatezza li jirregolaw is-settur privat. Ara https://privacyenforcement.net/ .

(54)

     Il-Ftehim bejn l-UE u l-Istati Uniti dwar il-protezzjoni ta’ data personali meta tiġi ttrasferita u pproċessata għall-fini ta’ prevenzjoni, ta’ investigazzjoni, ta’ detezzjoni jew ta’ prosekuzzjoni ta’ reati kriminali, inkluż it-terroriżmu, fil-qasam tal-kooperazzjoni tal-pulizija u tal-kooperazzjoni ġudizzjarja fi kwistjonijiet kriminali: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf (il-“Ftehim Komprensiv”)

(55)

     Il-konklużjoni ta’ ftehimiet operazzjonali mal-Europol u mal-Eurojust kienet ukoll punt ta’ riferiment fid-djalogi ta’ liberalizzazzjoni tal-viża ma’ ċerti pajjiżi terzi, inkluż eż. fil-kuntest tad-djalogu kurrenti mat-Turkija.

(56)

     Ara l-Artikolu 39 u l-premessa 73 tad-Direttiva tal-Pulizija.

(57)

     Ara l-Artikolu 48 u l-premessa 115 tal-GDPR.

(58)

     Konklużjonijiet tal-Kunsill tal-Unjoni Ewropea dwar it-titjib tal-ġustizzja kriminali fiċ-ċiberspazju, 9 ta’ Ġunju 2016: www.consilium.europa.eu/en/meetings/jha/2016/06/cyberspace--en_pdf/. Il-Kummissjoni ngħatat il-kompitu li tippreżenta riżultati tanġibbli fuq dawn il-kwistjonijiet lill-Kunsill sa Ġunju tal-2017, wara r-rapport ta’ progress tagħha lill-Kunsill li għamlet f’Diċembru tal-2016.

(59)

     Ara l-Artikolu 25(4) tar-Regolament (UE) 2016/794 tal-Parlament Ewropew u tal-Kunsill tal-11 ta’ Mejju 2016 dwar l-Aġenzija tal-Unjoni Ewropea għall-Kooperazzjoni fl-Infurzar tal-Liġi (Europol) u li jissostitwixxi u jħassar id-Deċiżjonijiet tal-Kunsill 2009/371/ĠAI, 2009/934/ĠAI, 2009/935/ĠAI, 2009/936/ĠAI u 2009/968/ĠAI, ĠU L 135, 24.5.2016 (pp. 53-114). Il-Kummissjoni hija meħtieġa tippreżenta rapport ta’ valutazzjoni sal-14 ta’ Ġunju 2021 dwar il-ftehimiet ta’ kooperazzjoni tal-Europol konklużi qabel l-1 ta’ Mejju 2017.

(60)

     Opinjoni tal-Qorti tal-Ġustizzja dwar l-abbozz tal-Ftehim tal-2014 dwar il-PNR bejn l-UE u l-Kanada rriferut lill-Qorti mill-Parlament Ewropew (Opinjoni 1/15). Il-Qorti ntalbet tivvaluta l-kompatibbiltà tal-abbozz tal-Ftehim mal-Karta tad-Drittijiet Fundamentali tal-UE.