IL-KUMMISSJONI EWROPEA
Brussell, 24.6.2020
SWD(2020) 115 final
DOKUMENT TA’ ĦIDMA TAL-PERSUNAL TAL-KUMMISSJONI
[…]
Li jakkumpanja d-dokument
KOMUNIKAZZJONI TAL-KUMMISSJONI LILL-PARLAMENT EWROPEW U LILL-KUNSILL
Il-protezzjoni tad-data bħala pilastru tal-għoti tas-setgħa liċ-ċittadini u tal-approċċ tal-UE għat-tranżizzjoni diġitali - sentejn ta’ applikazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data
{COM(2020) 264 final}
Werrej
1
Kuntest
2
L-infurzar tal-GDPR u l-funzjonament tal-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza
2.1
L-użu tas-setgħat imsaħħa mill-awtoritajiet għall-protezzjoni tad-data
Kwistjonijiet speċifiċi għas-settur pubbliku
Il-kooperazzjoni ma’ regolaturi oħra
2.2
Il-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza
Punt uniku ta’ servizz
Assistenza reċiproka
Mekkaniżmu ta’ konsistenza
Sfidi li għandhom jiġu indirizzati
2.3
Pariri u linji gwida
Sensibilizzazzjoni u pariri mill-awtoritajiet għall-protezzjoni tad-data
Linji Gwida tal-Bord Ewropew għall-Protezzjoni tad-Data
2.4
Riżorsi tal-awtoritajiet għall-protezzjoni tad-data
3
Regoli armonizzati, iżda xorta waħda għad hemm grad ta’ frammentazzjoni u approċċi diverġenti
3.1
L-implimentazzjoni tal-GDPR mill-Istati Membri
Il-kwistjonijiet ewlenin relatati mal-implimentazzjoni nazzjonali
Ir-rikonċiljazzjoni tad-dritt għall-protezzjoni ta’ data personali mal-libertà ta’ espressjoni u ta’ informazzjoni
3.2
Klawżoli ta’ speċifikazzjoni fakultattiva u l-limiti tagħhom
Il-frammentazzjoni marbuta mal-użu ta’ klawżoli ta’ speċifikazzjoni fakultattiva
4
L-għoti tas-setgħa lill-individwi sabiex jikkontrollaw id-data tagħhom
5
Opportunitajiet u sfidi għall-organizzazzjonijiet, b’mod partikolari Intrapriżi Żgħar u Medji
Sett ta’ għodod għan-negozji
6
L-applikazzjoni tal-GDPR għal teknoloġiji ġodda
7
Trasferimenti internazzjonali u kooperazzjoni globali
7.1
Privatezza: kwistjoni globali
7.2
Is-sett ta’ għodod tal-GDPR għat-trasferimenti
Deċiżjonijiet ta’ adegwatezza
Salvagwardji xierqa
Derogi
Deċiżjonijiet minn qrati jew minn awtoritajiet barranin: mhux raġuni għal trasferimenti
7.3
Il-kooperazzjoni internazzjonali fil-qasam tal-protezzjoni tad-data
Id-dimensjoni bilaterali
Id-dimensjoni multilaterali
Anness I: Klawżoli għal speċifikazzjonijiet fakultattivi mil-leġiżlazzjoni nazzjonali
Anness II: Ħarsa ġenerali lejn ir-riżorsi tal-awtoritajiet għall-protezzjoni tad-data
1Kuntest
Ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data (minn hawn ’il quddiem “il-GDPR”) huwa r-riżultat ta’ tmien snin ta’ preparamenti, ta’ abbozzar u ta’ negozjati interistituzzjonali, u daħal fis-seħħ fil-25 ta’ Mejju 2018 wara perjodu tranżitorju ta’ sentejn (Mejju 2016 - Mejju 2018). L-Artikolu 97 tal-GDPR jeħtieġ li l-Kummissjoni tirrapporta dwar l-evalwazzjoni u r-rieżami tar-Regolament, billi tibda l-ewwel b’rapport wara sentejn ta’ applikazzjoni u kull erba’ snin wara dawn.
L-evalwazzjoni hija wkoll parti minn approċċ b’diversi aspetti li l-Kummissjoni diġà segwiet qabel ma l-GDPR daħal fis-seħħ u kompliet tfittex li twettaq b’mod attiv minn dak iż-żmien ’l hawn. Bħala parti minn dan l-approċċ, il-Kummissjoni daħlet fi djalogi bilaterali kontinwi mal-Istati Membri dwar il-konformità tal-leġiżlazzjoni nazzjonali mal-GDPR, ikkontribwiet b’mod attiv għall-ħidma tal-Bord Ewropew għall-Protezzjoni tad-Data (minn hawn ’il quddiem “il-Bord”) billi pprovdiet l-esperjenza u l-għarfien espert tagħha, appoġġjat lill-awtoritajiet għall-protezzjoni tad-data u żammet kuntatti mill-qrib ma’ firxa wiesgħa ta’ partijiet ikkonċernati dwar l-applikazzjoni prattika tar-Regolament.
L-evalwazzjoni tibni fuq l-eżerċizzju ta’ rendikont li l-Kummissjoni wettqet fl-ewwel sena tal-applikazzjoni tal-GDPR u li nġabar fil-qosor fil-Komunikazzjoni maħruġa f’Lulju 2019. Hija tagħti wkoll segwitu għall-Komunikazzjoni dwar l-applikazzjoni tal-GDPR maħruġa f’Jannar 2018. Il-Kummissjoni adottat ukoll il-Gwida dwar l-użu ta’ data personali fil-kuntest elettorali f’Settembru 2018 u l-Gwida maħruġa f’April 2020 dwar l-apps li jappoġġjaw il-ġlieda kontra l-pandemija tal-COVID-19.
Għad li l-enfasi tagħha huwa mixħut fuq żewġ kwistjonijiet enfasizzati fl-Artikolu 97(2) tal-GDPR, jiġifieri t-trasferimenti internazzjonali u l-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza, din l-evalwazzjoni tieħu approċċ usa’ sabiex tindirizza kwistjonijiet li diġà tqajmu minn diversi atturi matul l-aħħar sentejn.
Sabiex tħejji l-evalwazzjoni, il-Kummissjoni qieset il-kontributi mingħand:
·il-Kunsill;
·il-Parlament Ewropew (il-Kumitat għal-Libertajiet Ċivili, il-Ġustizzja u l-Intern);
·il-Bord u l-awtoritajiet individwali tal-protezzjoni tad-data, fuq il-bażi ta’ kwestjonarju mibgħut mill-Kummissjoni;
·il-feedback mill-membri tal-Grupp ta’ Esperti ta’ Diversi Partijiet Ikkonċernati bħala appoġġ għall-applikazzjoni tal-GDPR, ibbażat ukoll fuq kwestjonarju mibgħut mill-Kummissjoni;
·u kontributi ad hoc riċevuti mingħand il-partijiet ikkonċernati.
2L-infurzar tal-GDPR u l-funzjonament tal-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza
Il-GDPR waqqaf sistema innovattiva ta’ governanza u ħoloq il-pedament ta’ kultura verament Ewropea ta’ protezzjoni tad-data li għandha l-għan li tiżgura mhux biss interpretazzjoni armonizzata, iżda anki applikazzjoni u infurzar armonizzati tar-regoli dwar il-protezzjoni tad-data. Il-pilastri tiegħu huma l-awtoritajiet nazzjonali indipendenti għall-protezzjoni tad-data u l-Bord li twaqqaf riċentement.
Peress li l-awtoritajiet għall-protezzjoni tad-data huma kruċjali għall-funzjonament tas-sistema sħiħa tal-UE ta’ protezzjoni tad-data, il-Kummissjoni qed timmonitorja l-indipendenza effettiva tagħhom b’attenzjoni kbira, inkluż fir-rigward tar-riżorsi finanzjarji, umani u tekniċi adegwati.
Għadu kmieni wisq sabiex jiġi vvalutat bis-sħiħ il-funzjonament tal-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza, minħabba l-esperjenza limitata miksuba s’issa. Minbarra dan, l-awtoritajiet għall-protezzjoni tad-data għadhom ma użawx il-firxa sħiħa ta’ għodod ipprovduti mill-GDPR sabiex ikomplu jsaħħu l-kooperazzjoni tagħhom.
2.1L-użu tas-setgħat imsaħħa mill-awtoritajiet għall-protezzjoni tad-data
Il-GDPR jistabbilixxi awtoritajiet indipendenti għall-protezzjoni tad-data u jipprovdilhom setgħat ta’ infurzar armonizzati u msaħħa. Kemm ilu japplika l-GDPR, dawk l-awtoritajiet bdew jużaw firxa wiesgħa ta’ setgħat korrettivi previsti fil-GDPR, bħal multi amministrattivi (22 awtorità tal-UE/taż-ŻEE), twissijiet u twiddib (23), ordnijiet għall-konformità mat-talbiet ta’ suġġett tad-data (26), ordnijiet sabiex operazzjonijiet ta’ pproċessar isiru konformi mal-GDPR (27), u ordnijiet għar-rettifika, għat-tħassir jew għar-restrizzjoni tal-ipproċessar (17). Madwar nofs l-awtoritajiet għall-protezzjoni tad-data (13) imponew limitazzjonijiet temporanji jew definittivi fuq l-ipproċessar, li jinkludu projbizzjonijiet. Dan juri użu konxju tal-miżuri korrettivi kollha previsti fil-GDPR; l-awtoritajiet għall-protezzjoni tad-data ma qagħdux lura milli jimponu multi amministrattivi minbarra jew minflok miżuri korrettivi oħra, skont iċ-ċirkustanzi tal-każijiet individwali.
Multi amministrattivi:
Bejn il-25 ta’ Mejju 2018 u t-30 ta’ Novembru 2019, 22 awtorità tal-UE/taż-ŻEE għall-protezzjoni tad-data ħarġu madwar 785 multa. Ftit awtoritajiet biss għadhom ma imponewx multi amministrattivi, għad li l-proċedimenti li għaddejjin bħalissa jistgħu jwasslu għal multi bħal dawn. Ħafna mill-multi relatati mal-ksur kontra: il-prinċipju tal-legalità; il-kunsens validu; il-protezzjoni ta’ data sensittiva; l-obbligu ta’ trasparenza, id-drittijiet tas-suġġetti tad-data; u l-ksur tad-data.
Eżempji ta’ multi imposti mill-awtoritajiet għall-protezzjoni tad-data:
-
EUR 200 000 għal nuqqas ta’ konformità mad-dritt ta’ oġġezzjoni għall-kummerċjalizzazzjoni diretta fil-Greċja;
-
EUR 220 000 fuq kumpanija intermedjarja tad-data fil-Polonja talli naqset milli tinforma lill-individwi li d-data tagħhom kienet qed tiġi pproċessata;
-
EUR 250 000 imposti fuq il-kampjunat tal-futbol Spanjol LaLiga, għal nuqqas ta’ trasparenza fit-tfassil tal-applikazzjoni tal-ismartphone tagħha;
-
EUR 14,5 miljun għall-ksur tal-prinċipji ta’ protezzjoni tad-data, b’mod partikolari l-ħżin illegali, minn kumpanija Ġermaniża tal-proprjetà immobbli;
-
EUR 18-il miljun għall-ipproċessar illegali ta’ kategoriji speċjali ta’ data fuq skala kbira mis-servizzi postali tal-Awstrija;
-
EUR 50 miljun fuq Google fi Franza, minħabba l-kundizzjonijiet sabiex jinkiseb kunsens mill-utenti.
Is-suċċess tal-GDPR jenħtieġ li ma jitkejjilx min-numru ta’ multi maħruġa, peress li l-GDPR jipprovdi għal medda usa’ ta’ setgħat korrettivi. Skont iċ-ċirkustanzi, pereżempju, l-effett ta’ deterrent ta’ projbizzjoni fuq l-ipproċessar jew is-sospensjoni tal-movimenti tad-data jista’ jkun ferm aktar b’saħħtu.
Kwistjonijiet speċifiċi għas-settur pubbliku
Il-GDPR jippermetti lill-Istati Membri jiddeterminaw jekk u kemm jistgħu jiġu imposti multi fuq awtoritajiet u korpi pubbliċi. Meta l-Istati Membri jagħmlu użu minn din il-possibbiltà, dan ma jċaħħadx lill-awtoritajiet għall-protezzjoni tad-data milli jużaw is-setgħat korrettivi l-oħra kollha fir-rigward tal-awtoritajiet u tal-korpi pubbliċi.
Kwistjoni speċifika oħra hija s-superviżjoni tal-qrati: għad li l-GDPR japplika wkoll għall-attivitajiet tal-qrati, dawn huma eżentati mis-superviżjoni mill-awtoritajiet għall-protezzjoni tad-data meta jaġixxu fil-kapaċità ġudizzjarja tagħhom. Madankollu, il-Karta u t-TFUE jobbligaw lill-Istati Membri sabiex jinkarigaw lil korp indipendenti fi ħdan is-sistemi ġudizzjarji tagħhom bis-superviżjoni ta’ dawn l-operazzjonijiet ta’ pproċessar.
Il-kooperazzjoni ma’ regolaturi oħra
Kif ħabbret fil-Komunikazzjoni tagħha ta’ Lulju 2019, il-Kummissjoni tappoġġja l-interazzjoni ma’ regolaturi oħra, b’rispett sħiħ tal-kompetenzi rispettivi. L-oqsma promettenti ta’ kooperazzjoni jinkludu l-protezzjoni tal-konsumatur u l-kompetizzjoni. Il-Bord indika r-rieda tiegħu li jidħol f’kuntatt ma’ regolaturi oħra, b’mod partikolari fir-rigward tal-konċentrazzjoni fis-swieq diġitali. Il-Kummissjoni għarfet l-importanza tal-privatezza u tal-protezzjoni tad-data bħala parametru kwalitattiv għall-kompetizzjoni. Il-membri tal-Bord ħadu sehem f’workshops konġunti man-Network ta’ Kooperazzjoni għall-Protezzjoni tal-Konsumatur dwar il-kooperazzjoni fl-infurzar aħjar tal-leġiżlazzjoni tal-UE dwar il-protezzjoni tal-konsumatur u tad-data. Dan l-approċċ se jiġi segwit sabiex jitkattar fehim komuni u jiġu żviluppati modi prattiċi kif jiġu indirizzati l-problemi konkreti esperjenzati mill-konsumaturi, b’mod partikolari fl-ekonomija diġitali.
Sabiex jiġi żgurat approċċ konsistenti għall-privatezza u għall-protezzjoni tad-data, u sakemm jiġi adottat ir-Regolament dwar il-Privatezza Elettronika, il-kooperazzjoni msaħħa mal-awtoritajiet kompetenti għall-infurzar tad-Direttiva dwar il-Privatezza Elettronika, il-lex specialis fil-qasam tal-komunikazzjonijiet elettroniċi, hija indispensabbli. Il-kooperazzjoni msaħħa mal-awtoritajiet kompetenti skont id-Direttiva dwar l-NIS, u l-Grupp ta’ Kooperazzjoni dwar l-NIS, tkun ta’ benefiċċju reċiproku għal dawk l-awtoritajiet u għall-awtoritajiet għall-protezzjoni tad-data.
2.2Il-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza
Il-GDPR ħoloq il-mekkaniżmu ta’ kooperazzjoni (sistema ta’ punt uniku ta’ servizz għall-operaturi, għall-operazzjonijiet konġunti u għall-assistenza reċiproka bejn l-awtoritajiet għall-protezzjoni tad-data) u l-mekkaniżmu ta’ konsistenza sabiex irawwem l-applikazzjoni uniformi tar-regoli dwar il-protezzjoni tad-data, permezz ta’ interpretazzjoni konsistenti u r-riżoluzzjoni tan-nuqqas ta’ qbil possibbli bejn l-awtoritajiet mill-Bord.
Il-Bord, li fi ħdanu jiġbor l-awtoritajiet kollha għall-protezzjoni tad-data, twaqqaf bħala korp tal-UE b’personalità ġuridika u huwa kompletament operazzjonali, sostnut minn segretarjat. Huwa kruċjali għall-funzjonament taż-żewġ mekkaniżmi msemmija aktar ’il fuq. Sa tmiem l-2019, il-Bord adotta 67 dokument, inklużi 10 linji gwida ġodda u 43 opinjoni.
Ir-rwol importanti tal-Bord irriżulta fejn kien hemm bżonn li tiġi pprovduta rapidament interpretazzjoni konsistenti tal-GDPR u li jinstabu soluzzjonijiet applikabbli minnufih fil-livell tal-UE. Pereżempju, fil-kuntest tat-tifqigħa tal-COVID-19, f’Marzu 2020 il-Bord adotta dikjarazzjoni dwar l-ipproċessar ta’ data personali, li tittratta fost l-oħrajn il-legalità tal-ipproċessar u l-użu ta’ data dwar il-lokalizzazzjoni mobbli f’dak il-kuntest, u f’April 2020 adotta linji gwida dwar l-ipproċessar ta’ data li tikkonċerna s-saħħa għall-fini ta’ riċerka xjentifika fil-kuntest tat-tifqigħa tal-COVID-19 u tal-linji gwida dwar l-użu ta’ data ta’ lokalizzazzjoni u għodod għat-traċċar tal-kuntatti fil-kuntest tat-tifqigħa COVID-19. Il-Bord għamel ukoll kontribut sinifikanti għat-tfassil ta’ approċċ tal-UE għall-apps għat-traċċar mill-Kummissjoni u mill-Istati Membri.
Il-kooperazzjoni ta’ kuljum bejn l-awtoritajiet għall-protezzjoni tad-data, kemm jekk jaġixxu fil-kapaċità tagħhom stess jew bħala membri tal-Bord, hija bbażata fuq l-iskambji ta’ informazzjoni u n-notifiki tal-każijiet miftuħa mill-awtoritajiet. Sabiex tiffaċilita l-komunikazzjoni bejn l-awtoritajiet, il-Kummissjoni tat appoġġ sinifikanti billi pprovditilhom sistema ta’ skambju ta’ informazzjoni. Ħafna mill-awtoritajiet iqisu li hija adattata għall-ħtiġijiet tal-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza, għad li tista’ tiġi rfinata ulterjorment, pereżempju billi ssir aktar faċli għall-utenti.
Għad li għadu kmieni, diġà jistgħu jiġu identifikati diversi kisbiet u sfidi, u dawn huma ppreżentati hawn taħt. Dawn juru li, s’issa, l-awtoritajiet għall-protezzjoni tad-data għamlu użu effettiv mill-għodod ta’ kooperazzjoni, bi preferenza għal soluzzjonijiet aktar flessibbli.
Punt uniku ta’ servizz
Bħala regola ġenerali, f’każijiet transfruntiera, awtorità ta’ Stat Membru għall-protezzjoni tad-data tista’ tkun involuta jew (i) bħala awtorità prinċipali meta s-sede prinċipali tal-operatur tkun tinsab f’dan l-Istat Membru, jew (ii) bħala awtorità kkonċernata meta l-operatur ikollu sede fit-territorju ta’ dan l-Istat Membru, meta l-individwi f’dan l-Istat Membru jkunu affettwati b’mod sostanzjali, jew meta jiġi ppreżentat lilhom ilment.
Tali kooperazzjoni mill-qrib saret prattika ta’ kuljum: mindu daħal fis-seħħ il-GDPR, l-awtoritajiet għall-protezzjoni tad-data fl-Istati Membri kollha f’xi waqt ġew identifikati jew bħala awtoritajiet prinċipali jew bħala awtoritajiet ikkonċernati f’każijiet transfruntiera, għad li sa ċertu punt differenti.
Minn Mejju 2018 sal-aħħar tal-2019, l-awtorità tal-Irlanda għall-protezzjoni tad-data aġixxiet bħala awtorità prinċipali fl-akbar numru ta’ każijiet transfruntiera (127), segwita mill-Ġermanja (92), mil-Lussemburgu (87), minn Franza (64) u min-Netherlands (45). Din il-klassifikazzjoni tirrifletti s-sitwazzjoni speċifika tal-Irlanda u tal-Lussemburgu, li jospitaw diversi kumpaniji multinazzjonali kbar tat-teknoloġija.
Il-klassifikazzjoni hija differenti f’dak li għandu x’jaqsam l-involviment tal- awtoritajiet għall-protezzjoni tad-data kkonċernati bl-awtoritajiet fil-Ġermanja li kienu involuti fl-akbar numru ta’ każijiet (435), segwiti mnn Spanja (337), mid-Danimarka (327), minn Franza (332) u mill-Italja (306).
Bejn il-25 ta’ Mejju 2018 u l-31 ta’ Diċembru 2019, ġew ippreżentati 141 abbozz ta’ deċiżjoni permezz tal-proċedura ta’ punt uniku ta’ servizz, li minnhom 79 irriżultaw f’deċiżjonijiet finali. Fid-data tal-pubblikazzjoni ta’ dan ir-rapport, għad hemm pendenti diversi deċiżjonijiet importanti b’dimensjoni transfruntiera u soġġetti għall-mekkaniżmu ta’ punt uniku ta’ servizz. Fost dawn id-deċiżjonijiet, uħud jinvolvu kumpaniji multinazzjonali kbar tat-teknoloġija. Dawn huma mistennija jipprovdu kjarifika u jikkontribwixxu għal armonizzazzjoni akbar fl-interpretazzjoni tal-GDPR.
Assistenza reċiproka
L-awtoritajiet għall-protezzjoni tad-data għamlu użu mifrux mill-għodda ta’ assistenza reċiproka.
Sa tmiem l-2019, saru 115-il proċedura ta’ Assistenza Reċiproka, b’mod partikolari għat-twettiq ta’ investigazzjonijiet, ħafna minnhom mill-awtoritajiet għall-protezzjoni tad-data ta’ Spanja (26), tal-Ġermanja (20), tad-Danimarka (13), tal-Polonja (12) u tar-Repubblika Ċeka (10). Min-naħa l-oħra, l-Irlanda (19), Franza (11), l-Awstrija (10), il-Ġermanja (10) u l-Lussemburgu (9) irċivew l-akbar ammont ta’ talbiet.
Il-maġġoranza vasta tal-awtoritajiet iqisu li l-assistenza reċiproka hija għodda siewja ħafna għall-kooperazzjoni u ma sabux xi ostaklu partikolari għall-applikazzjoni tal-proċedura ta’ assistenza reċiproka. L-iskambju volontarju tal-assistenza reċiproka, li ma għandux skadenza legali jew dmir strett ta’ tweġib, intuża aktar ta’ spiss, f’2 427 proċedura. L-awtorità tal-Irlanda għall-protezzjoni tad-data bagħtet u rċeviet l-akbar numru ta’ talbiet għal assistenza reċiproka (527 mibgħuta u 359 riċevuti), segwita mill-awtoritajiet tal-Ġermanja (260 mibgħuta/356 riċevuti).
Min-naħa l-oħra, operazzjonijiet konġunti, li jkunu jagħmluha possibbli għall-awtoritajiet għall-protezzjoni tad-data ta’ diversi Stati Membri sabiex ikunu involuti diġà sa mil-livell tal-investigazzjonijiet tal-każijiet transfruntiera, għadhom ma ġewx konklużi. Għaddejja riflessjoni fi ħdan il-Bord dwar l-implimentazzjoni prattika ta’ din l-għodda u kif għandu jiġi promoss l-użu tagħha.
Mekkaniżmu ta’ konsistenza
S’issa ntuża l-ewwel segment tal-mekkaniżmu ta’ konsistenza, jiġifieri l-adozzjoni tal-opinjonijiet tal-Bord. Min-naħa l-oħra, għadha ma ġiet skattata l-ebda soluzzjoni għat-tilwim fil-livell tal-Bord jew proċedura ta’ urġenza.
Bejn il-25 ta’ Mejju 2018 u l-31 ta’ Diċembru 2019, il-Bord ħareġ 36 opinjoni fil-kuntest tal-adozzjoni tal-miżuri minn wieħed mill-membri tiegħu. Ħafna minnhom (31) kienu jikkonċernaw l-adozzjoni ta’ listi nazzjonali ta’ operazzjonijiet ta’ pproċessar li jeħtieġu valutazzjoni tal-impatt fuq il-protezzjoni tad-data. Żewġ opinjonijiet kienu jikkonċernaw Regoli Korporattivi Vinkolanti, tnejn oħra kienu jikkonċernaw abbozzi tar-rekwiżiti ta’ akkreditazzjoni għal korp ta’ monitoraġġ tal-kodiċi ta’ kondotta, u waħda kienet tikkonċerna Klawżoli Kuntrattwali Standard.
Barra minn hekk, fuq talba, il-Bord adotta sitt opinjonijiet. Tlieta minn fost dawn l-opinjonijiet kienu jikkonċernaw listi nazzjonali li jidentifikaw ipproċessar li ma jeħtieġx valutazzjoni tal-impatt fuq il-protezzjoni tad-data. L-oħrajn kienu jikkonċernaw, rispettivament, arranġament amministrattiv għat-trasferiment ta’ data personali bejn l-awtoritajiet superviżorji finanzjarji taż-ŻEE u mhux taż-ŻEE, ir-relazzjoni bejn id-Direttiva dwar il-Privatezza Elettronika u l-GDPR u l-kompetenza ta’ awtorità superviżorja f’każ ta’ tibdil fiċ-ċirkustanzi relatati mas-sede prinċipali jew unika.
Sfidi li għandhom jiġu indirizzati
Minkejja li l-awtoritajiet għall-protezzjoni tad-data qed jaħdmu flimkien b’mod attiv ħafna fil-Bord u diġà jużaw b’mod intensiv l-għodda ta’ kooperazzjoni ta’ assistenza reċiproka, il-bini ta’ kultura verament komuni ta’ protezzjoni tad-data għadu għaddej.
B’mod partikolari, l-immaniġġjar ta’ każijiet transfruntiera jitlob approċċ aktar effiċjenti u armonizzat u l-użu effettiv tal-għodod ta’ kooperazzjoni kollha previsti fil-GDPR. Hemm kunsens mifrux ħafna dwar dan il-punt, peress li tqajjem f’ħafna modi differenti mill-Parlament Ewropew, mill-Kunsill, mill-Kontrollur Ewropew għall-Protezzjoni tad-Data, mill-partijiet ikkonċernati (fi ħdan il-Grupp ta’ Diversi Partijiet Ikkonċernati u lil hinn minnu) u mill-awtoritajiet għall-protezzjoni tad-data.
Il-kwistjonijiet ewlenin li għandhom jiġu indirizzati f’dan il-kuntest jinkludu differenzi f’dawn li ġejjin:
·il-proċeduri amministrattivi nazzjonali, b’mod partikolari li jikkonċernaw: il-proċeduri ta’ mmaniġġjar tal-ilmenti, il-kriterji ta’ ammissibbiltà għall-ilmenti, id-durata tal-proċedimenti minħabba skedi ta’ żmien differenti jew in-nuqqas ta’ kwalunkwe skadenza, il-mument fil-proċedura meta jingħata d-dritt li individwu jinstema’, l-informazzjoni u l-involviment tal-ilmentaturi matul il-proċedura;
·interpretazzjonijiet tal-kunċetti relatati mal-mekkaniżmu ta’ kooperazzjoni, bħal informazzjoni rilevanti, il-kunċett ta’ “mingħajr dewmien”, ta’ “ilment”, id-dokument li huwa ddefinit bħala “abbozz ta’ deċiżjoni” tal-awtorità prinċipali għall-protezzjoni tad-data, il-ftehim bonarju (b’mod partikolari l-proċedura li twassal għal ftehim bonarju u l-forma legali tal-ftehim); u
·l-approċċ għal meta għandha tinbeda l-proċedura ta’ kooperazzjoni, jiġu involuti l-awtoritajiet għall-protezzjoni tad-data u tiġi kkomunikata l-informazzjoni lilhom. L-ilmentaturi huma wkoll nieqsa miċ-ċarezza dwar kif il-każijiet tagħhom huma mmaniġġjati f’sitwazzjonijiet transfruntiera, kif saħqu diversi membri tal-Grupp ta’ Diversi Partijiet Ikkonċernati. Barra minn hekk, in-negozji jsemmu li f’ċerti każijiet l-awtoritajiet nazzjonali għall-protezzjoni tad-data ma rreferewx każijiet lill-awtorità prinċipali għall-protezzjoni tad-data, iżda mmaniġġjawhom bħala każijiet lokali.
Il-Kummissjoni tilqa’ t-tħabbira tal-Bord li huwa beda riflessjoni dwar kif jindirizza dan it-tħassib. B’mod partikolari, il-Bord indika li huwa se jiċċara l-passi proċedurali involuti fil-kooperazzjoni bejn l-awtorità prinċipali għall-protezzjoni tad-data u l-awtoritajiet ikkonċernati għall-protezzjoni tad-data, janalizza l-liġijiet proċedurali amministrattivi nazzjonali, jaħdem għal interpretazzjoni komuni tal-kunċetti ewlenin, u jsaħħaħ il-komunikazzjoni u l-kooperazzjoni (inklużi l-operazzjonijiet konġunti). Jenħtieġ li r-riflessjoni u l-analiżi tal-Bord iwasslu għat-tfassil ta’ arranġamenti ta’ ħidma aktar effiċjenti f’każijiet transfruntiera, anki billi jibni fuq l-għarfien espert tal-membri tiegħu u billi jsaħħaħ l-involviment tas-segretarjat tiegħu. Barra minn hekk, jenħtieġ li jiġi nnotat li r-responsabbiltà tal-Bord fl-iżgurar ta’ interpretazzjoni konsistenti tal-GDPR ma tistax tiġi skarikata billi sempliċiment jinstab l-anqas denominatur komuni.
Finalment, bħala korp tal-UE, il-Bord irid japplika l-liġi amministrattiva tal-UE u jiżgura t-trasparenza fil-proċess ta’ teħid ta’ deċiżjonijiet.
2.3Pariri u linji gwida
Sensibilizzazzjoni u pariri mill-awtoritajiet għall-protezzjoni tad-data
Diversi awtoritajiet għall-protezzjoni tad-data ħolqu għodod ġodda, bħal linji telefoniċi għal individwi u għal negozji, u settijiet ta’ għodod għan-negozji. Ħafna operaturi jilqgħu l-pragmatiżmu muri minn dawn l-awtoritajiet fl-assistenza bl-applikazzjoni tal-GDPR. B’mod partikolari, ħafna minnhom ikkollaboraw u kkomunikaw b’mod attiv u mill-qrib ma’ uffiċjali tal-protezzjoni tad-data, anki permezz ta’ assoċjazzjonijiet ta’ uffiċjali tal-protezzjoni tad-data. Ħafna awtoritajiet ħarġu wkoll linji gwida li jkopru r-rwol u l-obbligi tal-uffiċjali tal-protezzjoni tad-data sabiex jappoġġjaw lill-uffiċjali tal-protezzjoni tad-data matul l-attivitajiet ta’ kuljum tagħhom u organizzaw seminars imfassla apposta għalihom. Madankollu, dan ma kienx il-każ għall-awtoritajiet kollha għall-protezzjoni tad-data.
Il-feedback riċevut mill-partijiet ikkonċernati jindika wkoll numru ta’ problemi relatati mal-gwida u mal-pariri:
·in-nuqqas ta’ approċċ konsistenti u ta’ gwida bejn l-awtoritajiet nazzjonali għall-protezzjoni tad-data dwar ċerti kwistjonijiet (eż. dwar il-cookies, l-applikazzjoni ta’ interess leġittimu, dwar in-notifiki ta’ ksur ta’ data jew dwar il-valutazzjonijiet tal-impatt fuq il-protezzjoni tad-data) jew saħansitra bejn l-awtoritajiet għall-protezzjoni tad-data fi ħdan l-istess Stati Membri (eż. fil-Ġermanja dwar il-kunċetti ta’ kontrollur u ta’ proċessur);
·l-inkonsistenza tal-linji gwida adottati fil-livell nazzjonali ma’ dawk adottati mill-Bord;
·in-nuqqas ta’ konsultazzjonijiet pubbliċi dwar ċerti linji gwida adottati fil-livell nazzjonali;
·il-livelli differenti ta’ interazzjoni mal-partijiet ikkonċernati fost l-awtoritajiet għall-protezzjoni tad-data;
·dewmien fir-riċevuta ta’ tweġibiet għal talbiet għal informazzjoni;
·diffikultajiet fil-kisba ta’ pariri prattiċi u siewja mingħand l-awtoritajiet għall-protezzjoni tad-data;
·il-ħtieġa li jiżdied il-livell ta’ għarfien espert settorjali f’xi awtoritajiet għall-protezzjoni tad-data (eż. fis-settur tas-saħħa u tal-farmaċewtika).
Ħafna minn dawn il-kwistjonijiet huma marbuta wkoll man-nuqqas ta’ riżorsi f’diversi awtoritajiet għall-protezzjoni tad-data (ara aktar ’il quddiem).
Prattiki diverġenti rigward in-notifika ta’ ksur ta’ data
Filwaqt li l-Kunsill jissottolinja l-piż ikkawżat minn notifiki bħal dawn, hemm diskrepanzi sinifikanti dwar in-notifiki bejn l-Istati Membri: billi minn Mejju 2018 sal-aħħar ta’ Novembru 2019, f’ħafna mill-Istati Membri n-numru totali ta’ notifiki ta’ ksur ta’ data kien ta’ anqas minn 2 000, u f’seba' Stati Membri bejn 2 000 u 10 000, l-awtoritajiet għall-protezzjoni tad-data tan-Netherlands u tal-Ġermanja rrapportaw 37 400 u 45 600 notifika rispettivament.
Dan jista’ jindika nuqqas ta’ interpretazzjoni u ta’ implimentazzjoni konsistenti, minkejja l-eżistenza ta’ linji gwida fil-livell tal-UE dwar notifiki ta’ ksur ta’ data.
Linji Gwida tal-Bord Ewropew għall-Protezzjoni tad-Data
Sal-lum, il-Bord adotta aktar minn 20 linja gwida li jkopru aspetti ewlenin tal-GDPR. Il-linji gwida huma għodda essenzjali għall-applikazzjoni konsistenti tal-GDPR u, għalhekk, fil-parti l-kbira ntlaqgħu tajjeb ħafna mill-partijiet ikkonċernati. Il-partijiet ikkonċernati apprezzaw il-konsultazzjoni pubblika sistematika (minn sitt sa tmien ġimgħat). Madankollu, jitolbu aktar djalogu mal-Bord. F’dan il-kuntest, il-prattika ta’ organizzazzjoni ta’ workshops dwar suġġetti mmirati qabel l-abbozzar tal-linji gwida jenħtieġ li titkompla u tiġi amplifikata sabiex jiġu żgurati t-trasparenza, l-inklużività u r-rilevanza tal-ħidma tal-Bord. Il-partijiet ikkonċernati jitolbu li l-interpretazzjoni tal-aktar kwistjonijiet kontenzjużi jenħtieġ li jiġu indirizzati fil-linji gwida, peress li dawn huma soġġetti għall-konsultazzjoni pubblika, u mhux f-opinjonijiet skont l-Artikolu 64(2) tal-GDPR. Uħud mill-partijiet ikkonċernati jitolbu wkoll linji gwida aktar prattiċi, li jispjegaw l-applikazzjoni tal-kunċetti u tad-dispożizzjonijiet tal-GDPR. Il-membri tal-Grupp ta’ Diversi Partijiet Ikkonċernati jisħqu fuq il-ħtieġa ta’ eżempji aktar konkreti sabiex jitnaqqas, kemm jista' jkun, il-lok għal interpretazzjonijiet diverġenti bejn l-awtoritajiet għall-protezzjoni tad-data. Fl-istess ħin, it-talbiet sabiex jiġi ċċarat kif għandu jiġi applikat il-GDPR u sabiex tiġi pprovduta ċertezza tad-dritt jenħtieġ li ma jwasslux għal rekwiżiti addizzjonali jew għal tnaqqis tal-vantaġġi tal-approċċ ibbażat fuq ir-riskju u tal-prinċipju ta’ responsabbiltà.
Is-suġġetti li dwarhom il-partijiet ikkonċernati jixtiequ aktar linji gwida mingħand il-Bord jinkludu: il-kamp ta’ applikazzjoni tad-drittijiet tas-suġġetti tad-data (inkluż fil-kuntest tal-impjiegi); aġġornamenti għall-opinjoni dwar l-ipproċessar fuq il-bażi ta’ interess leġittimu; il-kunċetti ta’ kontrollur, ta’ kontrollur konġunt u ta’ proċessur u l-arranġamenti neċessarji bejn il-partijiet; l-applikazzjoni tal-GDPR għal teknoloġiji ġodda (bħall-blockchain u l-intelliġenza artifiċjali); l-ipproċessar fil-kuntest tar-riċerka xjentifika (inkluż b’rabta mal-kollaborazzjoni internazzjonali); l-ipproċessar ta’ data tat-tfal; il-psewdonimizzazzjoni u l-anonimizzazzjoni; u l-ipproċessar ta’ data dwar is-saħħa.
Il-Bord diġà indika li se joħroġ linji gwida dwar ħafna minn dawn is-suġġetti u diġà beda x-xogħol fuq ħafna minnhom (eż. dwar l-applikazzjoni ta’ interess leġittimu bħala bażi ġuridika għall-ipproċessar).
Il-partijiet ikkonċernati jitolbu lill-Bord jaġġorna u jirrevedi l-linji gwida eżistenti, fejn xieraq, filwaqt li jqis l-esperjenza miġbura mindu ġew ippubblikati u billi jieħu l-opportunità li jidħol f’aktar dettall, fejn ikun hemm bżonn.
2.4Riżorsi tal-awtoritajiet għall-protezzjoni tad-data
Il-provvista tar-riżorsi umani, tekniċi u finanzjarji, tal-bini u tal-infrastruttura lil kull awtorità għall-protezzjoni tad-data hija prerekwiżit sabiex dawn iwettqu dmirijiethom u jeżerċitaw is-setgħat tagħhom b’mod effettiv, u għalhekk din hija kundizzjoni essenzjali għall-indipendenza tagħhom.
Ħafna mill-awtoritajiet għall-protezzjoni tad-data bbenefikaw minn żieda fil-persunal u fir-riżorsi mindu l-GDPR daħal fis-seħħ fl-2016. Madankollu, ħafna minnhom għadhom jirrapportaw li ma għandhomx biżżejjed riżorsi.
In-numru ta’ membri tal-persunal li jaħdmu għall-awtoritajiet nazzjonali għall-protezzjoni tad-data
In-numru totali ta’ membri tal-persunal li jaħdmu f’awtoritajiet taż-ŻEE għall-protezzjoni tad-data meqjusa flimkien żdied bi 42 % bejn l-2016 u l-2019 (bi 62 % jekk wieħed iqis il-previżjoni għall-2020).
In-numru ta’ membri tal-persunal żdied f’ħafna mill-awtoritajiet matul dan il-perjodu, bl-akbar żieda (bħala perċentwal) irreġistrata għall-awtoritajiet fl-Irlanda (+169 %), fin-Netherlands (+145 %), fl-Iżlanda (+143 %), fil-Lussemburgu (+126 %) u fil-Finlandja (+114 %). Min-naħa l-oħra, in-numru ta’ membri tal-persunal naqas f’diversi awtoritajiet għall-protezzjoni tad-data, bl-akbar tnaqqis osservat fil-Greċja (-15 %), fil-Bulgarija (-14 %), fl-Estonja (-11 %), fil-Latvja (-10 %) u fil-Litwanja (-8 %). F’xi awtoritajiet, it-tnaqqis fil-membri tal-persunal huwa dovut ukoll għat-tluq ta’ esperti dwar il-protezzjoni tad-data għas-settur privat li joffri kundizzjonijiet aktar attraenti.
B’mod ġenerali, il-previżjoni għall-2020 tipprovdi għal żieda fil-persunal meta mqabbel mal-2019, ħlief għall-awtoritajiet fl-Awstrija, fil-Bulgarija, fl-Italja, fl-Iżvezja u fl-Iżlanda (fejn in-numri ta’ membri tal-persunal huma mistennija jibqgħu stabbli), f’Ċipru u fid-Danimarka (fejn in-numri ta’ membri tal-persunal huma mistennija jonqsu).
L-awtoritajiet tal-Ġermanja għall-protezzjoni tad-data f’daqqa għandhom l-ogħla numru ta’ membri tal-persunal (888 fl-2019/1002 fil-previżjoni għall-2020), segwiti mill-awtoritajiet għall-protezzjoni tad-data fil-Polonja (238/260), fi Franza (215/225), fi Spanja (170/220), fin-Netherlands (179/188), fl-Italja (170/170) u fl-Irlanda (140/176).
L-awtoritajiet għall-protezzjoni tad-data bl-anqas numri ta’ membri tal-persunal huma dawk f’Ċipru (24/22), fil-Latvja (19/31), fl-Iżlanda (17/17), fl-Estonja (16/18) u f’Malta (13/15).
Baġit tal-awtoritajiet nazzjonali għall-protezzjoni tad-data
Il-baġit totali tal-awtoritajiet taż-ŻEE għall-protezzjoni tad-data meqjusa flimkien żdied b’49 % bejn l-2016 u l-2019 (b’64 % jekk wieħed iqis il-previżjoni għall-2020).
Il-Baġit ta’ ħafna mill-awtoritajiet żdied matul dan il-perjodu, bl-akbar żieda (bħala perċentwal) irreġistrata għall-awtoritajiet fl-Irlanda (+223 %), fl-Iżlanda (+167 %), fil-Lussemburgu (+165 %), fin-Netherlands (+130 %) u f’Ċipru (+114 %). Min-naħa l-oħra, xi awtoritajiet raw żieda żgħira biss fil-baġit, bl-iżgħar żidiet irreġistrati għall-awtoritajiet għall-protezzjoni tad-data fl-Estonja (7 %), fil-Latvja (4 %), fir-Rumanija (3 %) u fil-Belġju (1 %), filwaqt li l-awtorità fi Franza esperjenzat tnaqqis (-2 %).
B’mod ġenerali, il-previżjoni għall-2020 tipprovdi għal żieda fil-baġit meta mqabbel mal-2019, ħlief għall-awtoritajiet fl-Awstrija, fil-Bulgarija, fl-Estonja u fin-Netherlands (li l-baġits tagħhom huma mistennija jibqgħu stabbli).
L-awtoritajiet għall-protezzjoni tad-data bl-akbar baġit huma dawk tal-Ġermanja (EUR 76,6 miljun fl-2019/EUR 85,8 miljun fil-previżjoni għall-2020), tal-Italja (29,1/30,1), tan-Netherlands (18,6/18,6), ta’ Franza (18,5/20,1) u tal-Irlanda (15,2/16,9).
L-awtoritajiet bl-anqas baġit huma dawk tal-Kroazja (EUR 1,2 miljun fl-2019/EUR 1,4 miljun fil-previżjoni għall-2020), tar-Rumanija (1,1/1,3), tal-Latvja (0,6/1,2), ta’ Ċipru (0,5/0,5) u ta’ Malta (0,5/0,6).
It-tabella fl-Anness II tipprovdi ħarsa ġenerali lejn ir-riżorsi umani u baġitarji tal-awtoritajiet nazzjonali għall-protezzjoni tad-data.
Minbarra l-impatt li jħalli fuq il-kapaċità tal-awtoritajiet għall-protezzjoni tad-data sabiex jinfurzaw ir-regoli fil-livell nazzjonali, in-nuqqas ta’ riżorsi jillimita wkoll il-ħila tagħhom li jieħdu sehem fil-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza u li jikkontribwixxu għalihom kif ukoll għall-ħidma mwettqa fi ħdan il-Bord. Kif enfasizzat mill-Bord, is-suċċess tal-mekkaniżmu ta’ punt uniku ta’ servizz jiddependi miż-żmien u mill-isforz li l-awtoritajiet għall-protezzjoni tad-data jistgħu jiddedikaw għall-immaniġġjar ta’ każijiet transfruntiera individwali u għall-kooperazzjoni fihom. Il-kwistjoni tar-riżorsi hija aggravata mir-rwol akbar tal-awtoritajiet fis-superviżjoni ta’ sistemi tal-IT fuq skala kbira li qed jiġu żviluppati bħalissa. Barra minn hekk, l-awtoritajiet għall-protezzjoni tad-data fl-Irlanda u fil-Lussemburgu għandhom ħtiġijiet speċifiċi ta’ riżorsi fid-dawl tar-rwol tagħhom bħala l-awtoritajiet prinċipali għall-infurzar tal-GDPR fir-rigward ta’ kumpaniji kbar tat-teknoloġija, li fil-parti l-kbira jinsabu f’dawn l-Istati Membri.
Filwaqt li l-Kunsill isemmi l-impatt tal-mekkaniżmu ta’ kooperazzjoni u tal-iskadenzi tiegħu fuq il-ħidma tal-awtoritajiet għall-protezzjoni tad-data, il-GDPR jobbliga lill-Istati Membri jipprovdu riżorsi umani, finanzjarji u tekniċi adegwati lill-awtoritajiet nazzjonali tagħhom għall-protezzjoni tad-data.
Is-segretarjat tal-Bord, li huwa pprovdut mill-Kontrollur Ewropew għall-Protezzjoni tad-Data, bħalissa huwa msawwar minn 20 persuna, inklużi esperti legali, tal-IT u tal-komunikazzjoni. Għandu jiġi vvalutat jekk din iċ-ċifra teħtieġx li tevolvi fil-ġejjieni fid-dawl tal-issodisfar effettiv tal-funzjoni tiegħu ta’ appoġġ analitiku, amministrattiv u loġistiku għall-Bord u għas-subgruppi tiegħu, inkluż permezz tal-ġestjoni tas-sistema ta’ skambju ta’ informazzjoni,
3Regoli armonizzati, iżda xorta waħda għad hemm grad ta’ frammentazzjoni u approċċi diverġenti
Il-GDPR jipprovdi għal approċċ konsistenti għar-regoli dwar il-protezzjoni tad-data fi ħdan l-UE kollha, li jieħu post ir-reġimi nazzjonali differenti li kienu jeżistu taħt id-Direttiva tal-1995 dwar il-Protezzjoni tad-Data.
3.1L-implimentazzjoni tal-GDPR mill-Istati Membri
Il-GDPR ilu applikabbli b’mod dirett fl-Istati Membri kollha sa mill-25 ta’ Mejju 2018. Dan obbliga lill-Istati Membri jilleġiżlaw, b’mod partikolari sabiex iwaqqfu awtoritajiet nazzjonali għall-protezzjoni tad-data u l-kundizzjonijiet ġenerali għall-membri tagħhom, bl-għan li jiżguraw li kull awtorità taġixxi b’indipendenza sħiħa meta twettaq dmirijietha u teżerċita s-setgħat tagħha f’konformità mal-GDPR. L-obbligi legali u l-kompiti pubbliċi jistgħu jikkostitwixxu bażi ġuridika għall-ipproċessar ta’ data personali biss jekk ikunu stabbiliti fid-dritt (tal-Unjoni jew) nazzjonali. Barra minn hekk, l-Istati Membri jridu jistabbilixxu regoli dwar penali b’mod partikolari għal ksur mhux soġġett għal multi amministrattivi u jridu jirrikonċiljaw id-dritt għall-protezzjoni ta’ data personali mad-dritt għal-libertà ta’ espressjoni u ta’ informazzjoni. Il-liġi nazzjonali tista’ tipprovdi wkoll għal bażi ġuridika għall-eżenzjoni mill-projbizzjoni ġenerali għall-ipproċessar ta’ kategoriji speċjali ta’ data personali, pereżempju għar-raġunijiet ta’ interess pubbliku sostanzjali fil-qasam tas-saħħa pubblika, inkluża l-protezzjoni kontra theddidiet transfruntiera serji għas-saħħa. Barra minn hekk, l-Istati Membri jridu jiżguraw l-akkreditazzjoni tal-korpi ta’ ċertifikazzjoni.
Il-Kummissjoni qed timmonitorja l-implimentazzjoni tal-GDPR fil-leġiżlazzjoni nazzjonali. Fil-mument tal-kitba ta’ dan ir-rapport, l-Istati Membri kollha ħlief is-Slovenja adottaw leġiżlazzjoni ġdida dwar il-protezzjoni tad-data jew adattaw il-liġi tagħhom f’dan il-qasam. Għalhekk, il-Kummissjoni talbet lis-Slovenja tipprovdi kjarifika dwar il-progress li għamlet sa issa u saħqitilha tiffinalizza dak il-proċess.
Barra minn hekk, il-konformità tal-leġiżlazzjoni nazzjonali mar-regoli dwar il-protezzjoni tad-data fir-rigward tal-acquis ta’ Schengen hija vvalutata wkoll fil-kuntest tal-Mekkaniżmu ta’ Evalwazzjoni ta’ Schengen ikkoordinat mill-Kummissjoni. Il-Kummissjoni u l-Istati Membri jevalwaw flimkien kif il-pajjiżi jimplimentaw u japplikaw l-acquis ta’ Schengen f’numru ta’ oqsma; għall-protezzjoni tad-data, dan jikkonċerna sistemi tal-IT fuq skala kbira bħas-Sistema ta’ Informazzjoni ta’ Schengen u s-Sistema ta’ Informazzjoni dwar il-Viża u jinkludi r-rwol tal-awtoritajiet għall-protezzjoni tad-data fis-superviżjoni tal-ipproċessar ta’ data personali fi ħdan dawk is-sistemi.
Il-ħidma fuq l-adattament tal-liġijiet settorjali għadha għaddejja fil-livell nazzjonali. Wara l-inkorporazzjoni tal-GDPR fil-Ftehim dwar iż-Żona Ekonomika Ewropea, l-applikazzjoni tiegħu ġiet estiża għan-Norveġja, għall-Iżlanda u għal-Lichtenstein. Dawn il-pajjiżi adottaw ukoll il-liġijiet nazzjonali tagħhom dwar il-protezzjoni tad-data.
Il-Kummissjoni se tagħmel użu mill-għodod kollha għad-dispożizzjoni tagħha, inklużi proċeduri ta’ ksur, sabiex tiżgura li l-Istati Membri jikkonformaw mal-GDPR.
Il-kwistjonijiet ewlenin relatati mal-implimentazzjoni nazzjonali
Il-kwistjonijiet ewlenin identifikati sal-lum bħala parti mill-valutazzjoni kurrenti tal-leġiżlazzjoni nazzjonali u tal-iskambji bilaterali mal-Istati Membri jinkludu:
·Ir-restrizzjonijiet għall-applikazzjoni tal-GDPR: xi Stati Membri, pereżempju, jeskludu għalkollox l-attivitajiet tal-parlament nazzjonali;
·Id-differenzi fl-applikabbiltà tal-liġijiet ta’ speċifikazzjoni nazzjonali. Xi Stati Membri jorbtu l-applikabbiltà tal-liġi nazzjonali tagħhom mal-post fejn jiġu offruti l-oġġetti jew is-servizzi, oħrajn mas-sede tal-kontrollur jew tal-proċessur. Dan imur kontra l-objettiv ta’ armonizzazzjoni li jfittex li jilħaq il-GDPR;
·Il-liġijiet nazzjonali li jqajmu kwistjonijiet relatati mal-proporzjonalità tal-interferenza mad-dritt għal protezzjoni tad-data. Pereżempju, il-Kummissjoni nediet proċedura ta’ ksur kontra Stat Membru li għadda leġiżlazzjoni li teħtieġ li l-imħallfin jiddivulgaw informazzjoni speċifika dwar l-attivitajiet mhux professjonali tagħhom, li hija inkompatibbli mad-dritt għar-rispett għall-ħajja privata u mad-dritt għall-protezzjoni ta’ data personali;
·In-nuqqas ta’ korp indipendenti għas-superviżjoni tal-ipproċessar tad-data mill-qrati li jaġixxu fil-kapaċità ġudizzjarja tagħhom.
·Il-leġiżlazzjoni f’oqsma rregolati bis-sħiħ mill-GDPR lil hinn mill-marġni għal speċifikazzjonijiet jew għal restrizzjonijiet. Dan ikun il-każ, b’mod partikolari, meta d-dispożizzjonijiet nazzjonali jiddeterminaw il-kundizzjonijiet għall-ipproċessar fuq il-bażi ta’ interess leġittimu, billi jiġi pprovdut għall-ibbilanċjar tal-interessi rispettivi tal-kontrollur u tal-individwi kkonċernati, filwaqt li l-GDPR jobbliga lil kull kontrollur iwettaq ibbilanċjar bħal dan individwalment u jisfrutta dik il-bażi ġuridika.
·Speċifikazzjonijiet u rekwiżiti addizzjonali lil hinn mill-ipproċessar għall-konformità ma’ obbligu legali jew għat-twettiq ta’ kompitu pubbliku (eż. għal sorveljanza bil-vidjo fis-settur privat jew għall-kummerċjalizzazzjoni diretta); u għall-kunċetti użati fil-GDPR (eż. “skala kbira” jew “tħassir”).
Uħud minn dawn il-kwistjonijiet jistgħu jiġu ċċarati mill-Qorti tal-Ġustizzja f’kawżi li għadhom pendenti.
Ir-rikonċiljazzjoni tad-dritt għall-protezzjoni ta’ data personali mal-libertà ta’ espressjoni u ta’ informazzjoni
Kwistjoni speċifika tikkonċerna l-implimentazzjoni tal-obbligu għall-Istati Membri għar-rikonċiljazzjoni bil-liġi tad-dritt għall-protezzjoni ta’ data personali mal-libertà ta’ espressjoni u ta’ informazzjoni. Din il-kwistjoni hija kumplessa ħafna, peress li valutazzjoni tal-ibbilanċjar bejn dawn id-drittijiet fundamentali trid tqis ukoll id-dispożizzjonijiet u s-salvagwardji fil-liġijiet dwar l-istampa u l-midja.
Il-valutazzjoni tal-leġiżlazzjoni tal-Istati Membri turi approċċi differenti għar-rikonċiljazzjoni tad-dritt għall-protezzjoni ta’ data personali mal-libertà ta’ espressjoni u ta’ informazzjoni:
·Uħud mill-Istati Membri jistabbilixxu l-prinċipju ta’ preċedenza tal-libertà ta’ espressjoni jew jeżentaw fil-prinċipju l-applikazzjoni tal-kapitoli sħaħ imsemmija fl-Artikolu 85(2) tal-GDPR jekk l-ipproċessar għal skopijiet ġurnalistiċi u għall-espressjoni akkademika, artistika u litterarja jkun f’riskju. Sa ċertu punt, il-liġijiet dwar il-midja jipprovdu għal xi salvagwardji fir-rigward tad-drittijiet tas-suġġett tad-data.
·Xi Stati Membri jistabbilixxu l-preċedenza tal-protezzjoni ta’ data personali u jeżentaw l-applikazzjoni tar-regoli dwar il-protezzjoni tad-data f’sitwazzjonijiet speċifiċi biss, bħal meta tkun ikkonċernata persuna bi status pubbliku.
·Stati Membri oħra jipprovdu għal ċertu bbilanċjat mil-leġiżlatur u/jew valutazzjoni ta’ każ b’każ fir-rigward ta’ derogi minn ċerti dispożizzjonijiet tal-GDPR.
Il-Kummissjoni se tkompli l-valutazzjoni tagħha tal-leġiżlazzjoni nazzjonali fuq il-bażi tar-rekwiżiti tal-Karta. Ir-rikonċiljazzjoni trid tiġi pprovduta mil-liġi, tirrispetta l-essenza ta’ dawk id-drittijiet fundamentali, u tkun proporzjonata u neċessarja (l-Artikolu 52(1) tal-Karta). Jenħtieġ li r-regoli dwar il-protezzjoni tad-data ma jaffettwawx l-eżerċitar tal-libertà ta’ espressjoni u ta’ informazzjoni speċjalment billi joħolqu effett dissważiv jew billi jiġu interpretati bħala mod kif tinxteħet pressjoni fuq il-ġurnalisti sabiex jiddivulgaw is-sorsi tagħhom.
3.2Klawżoli ta’ speċifikazzjoni fakultattiva u l-limiti tagħhom
Il-GDPR jagħti lill-Istati Membri l-possibbiltà li jkomplu jispeċifikaw l-applikazzjoni tiegħu f’numru limitat ta’ oqsma. Dan il-marġni għal-leġiżlazzjoni nazzjonali jrid jiġi distint mill-obbligu li jiġu implimentati ċerti dispożizzjonijiet oħra tal-GDPR kif imsemmi aktar ’il fuq. Il-klawżoli għal speċifikazzjonijiet fakultattivi huma elenkati fl-Anness I.
Il-marġini għal-liġi tal-Istati Membri huma soġġetti għall-kundizzjonijiet u għal-limiti stabbiliti mill-GDPR u ma jippermettux għal reġim nazzjonali parallel ta’ protezzjoni tad-data. L-Istati Membri huma obbligati jemendaw jew jirrevokaw il-liġijiet nazzjonali dwar il-protezzjoni tad-data, inkluża leġiżlazzjoni settorjali b’aspetti ta’ protezzjoni tad-data.
Barra minn hekk, il-leġiżlazzjoni relatata tal-Istati Membri ma tistax tinkludi dispożizzjonijiet li jistgħu joħolqu konfużjoni rigward l-applikazzjoni diretta tal-GDPR. Għaldaqstant, fejn il-GDPR jipprovdi għal speċifikazzjonijiet jew għal restrizzjonijiet tar-regoli tiegħu mil-liġi tal-Istati Membri, l-Istati Membri jistgħu jinkorporaw elementi tal-GDPR fil-liġi nazzjonali, sa fejn jista’ jkun sabiex jiżguraw il-koerenza u jrendu d-dispożizzjonijiet nazzjonali komprensibbli għall-persuni li japplikaw għalihom.
Il-partijiet ikkonċernati jqisu li jenħtieġ li l-Istati Membri jonqsu jew iżommu lura milli jużaw klawżoli ta’ speċifikazzjoni peress li dawn ma jikkontribwux għall-armonizzazzjoni. Id-diverġenzi nazzjonali kemm fl-implimentazzjoni tal-liġijiet kif ukoll fl-interpretazzjoni tagħhom mill-awtoritajiet għall-protezzjoni tad-data jżidu b’mod konsiderevoli l-kost tal-konformità legali madwar l-UE.
Il-frammentazzjoni marbuta mal-użu ta’ klawżoli ta’ speċifikazzjoni fakultattiva
·Limitu tal-età għall-kunsens tat-tfal għas-servizzi tas-soċjetà tal-informazzjoni
Diversi Stati Membri użaw il-possibbiltà li jipprovdu għal età iżgħar minn 16-il sena għall-kunsens b’rabta mas-servizzi tas-soċjetà tal-informazzjoni (l-Artikoli 8(1) GDPR). Filwaqt li disa’ Stati Membri japplikaw il-limitu ta’ età ta’ 16-il sena, tmien Stati Membri rrikorrew għal 13-il sena, sitta għal 14-il sena u tlieta għal 15-il sena.
Konsegwentement, kumpanija li tipprovdi servizzi tas-soċjetà tal-informazzjoni lil minorenni madwar l-UE trid tagħmel distinzjoni bejn l-etajiet tal-utenti potenzjali, skont f’liema Stat Membru jirresjedu. Dan imur kontra l-objettiv ewlieni tal-GDPR li jipprovdi għal livell ugwali ta’ protezzjoni lil individwi u ta’ opportunitajiet kummerċjali fl-Istati Membri kollha.
Differenzi bħal dawn iwasslu għal sitwazzjonijiet li fihom l-Istat Membru li fih ikun stabbilit il-kontrollur jipprovdi għal limitu ta’ età differenti mill-Istati Membri fejn ikunu jirresjedu s-suġġetti tad-data.
·Saħħa u riċerka
Meta timplimenta derogi mill-projbizzjoni ġenerali għall-ipproċessar ta’ kategoriji speċjali ta’ data personali, il-leġiżlazzjoni tal-Istati Membri ssegwi approċċi differenti fir-rigward tal-livell ta’ speċifikazzjoni u ta’ salvagwardji, inkluż għall-finijiet tas-saħħa u tar-riċerka. Ħafna mill-Istati Membri introduċew jew żammew kundizzjonijiet ulterjuri għall-ipproċessar ta’ data ġenetika, ta’ data bijometrika jew ta’ data rigward is-saħħa. Dan huwa minnu wkoll għal derogi relatati mad-drittijiet tas-suġġetti tad-data għal finijiet ta’ riċerka, fir-rigward kemm tal-firxa tad-derogi kif ukoll tas-salvagwardji relatati.
Il-linji gwida futuri tal-Bord dwar l-użu ta’ data personali fil-qasam tar-riċerka xjentifika se jikkontribwixxu għal approċċ armonizzat f’dan il-qasam. Il-Kummissjoni se tikkontribwixxi għall-Bord, b’mod partikolari f’dak li għandu x’jaqsam mar-riċerka dwar is-saħħa, inkluż fil-forma ta’ mistoqsijiet konkreti u ta’ analiżi ta’ xenarji konkreti li hija rċeviet mingħand il-komunità tar-riċerka. Ikun ta’ għajnuna li kieku dawn il-linji gwida jiġu adottati qabel it-tnedija tal-Programm Qafas Orizzont Ewropa fid-dawl tal-armonizzazzjoni tal-prattiki dwar il-protezzjoni tad-data u l-faċilitazzjoni tal-kondiviżjoni tad-data għall-avvanzi fir-riċerka. Linji gwida mill-Bord dwar l-ipproċessar ta’ data personali fil-qasam tas-saħħa jistgħu jkunu siewja wkoll.
Il-GDPR jipprovdi qafas robust għal-leġiżlazzjoni nazzjonali fil-qasam tas-saħħa pubblika u jinkludi b’mod espliċitu theddidiet transfruntiera għas-saħħa u l-monitoraġġ ta’ epidemiji u tat-tifrix tagħhom, li kien rilevanti fil-kuntest tal-ġlieda kontra l-pandemija tal-COVID-19.
Fil-livell tal-UE, fit-8 ta’ April 2020 il-Kummissjoni adottat Rakkomandazzjoni għal sett ta’ għodod għall-użu ta’ teknoloġija u ta’ data f’dan il-kuntest, inklużi applikazzjonijiet tal-mowbajl u l-użu ta’ data anonimizzata dwar il-mobilità, u fis-16 ta’ April 2020 gwida dwar l-Apps li jgħinu fil-ġlieda kontra l-pandemija fir-rigward tal-protezzjoni tad-data. Fid-19 ta’ Marzu 2020 il-Bord ippubblika dikjarazzjoni dwar l-ipproċessar ta’ data f’dan il-kuntest, segwita, fil-21 ta’ April 2020, minn linji gwida dwar l-ipproċessar tad-data għall-finijiet ta’ riċerka u dwar l-użu ta’ data ta’ lokalizzazzjoni u għodod għat-traċċar tal-kuntatti f’dan il-kuntest. Dawn ir-rakkomandazzjonijiet u l-linji gwida jiċċaraw kif il-prinċipji u r-regoli dwar il-protezzjoni ta’ data personali japplikaw fil-kuntest tal-ġlieda kontra l-pandemija.
·Restrizzjonijiet estensivi tad-drittijiet tas-suġġetti tad-data
Ħafna mil-liġijiet nazzjonali dwar il-protezzjoni tad-data li jirrestrinġu d-drittijiet tas-suġġetti tad-data ma jispeċifikawx l-objettivi ta’ interess pubbliku ġenerali ssalvagwardjat minn dawn ir-restrizzjonijiet u/jew ma jissodisfawx b’mod suffiċjenti l-kundizzjonijiet u s-salvagwardji meħtieġa mill-Artikolu 23(2) tal-GDPR. Diversi Stati Membri ma jħallu l-ebda lok għat-test tal-proporzjonalità jew jestendu r-restrizzjonijiet saħansitra lil hinn mill-kamp ta’ applikazzjoni tal-Artikolu 23(1) tal-GDPR. Pereżempju, xi liġijiet nazzjonali jċaħħdu d-dritt ta’ aċċess għal raġunijiet ta’ sforz sproporzjonat min-naħa tal-kontrollur, għal data personali li tkun maħżuna fuq il-bażi ta’ obbligu ta’ żamma jew b’rabta mat-twettiq ta’ kompiti pubbliċi mingħajr ma jillimitaw it-tali restrizzjoni għal objettivi ta’ interess pubbliku ġenerali.
·Rekwiżiti addizzjonali għall-kumpaniji
Minkejja li r-rekwiżit ta’ uffiċjal obbligatorju tal-protezzjoni tad-data huwa bbażat fuq l-approċċ ibbażat fuq ir-riskju, Stat Membru minnhom estendieh għal kriterji kwantitattivi, li jobbliga lill-kumpaniji li fihom 20 impjegat jew aktar ikunu involuti b’mod permanenti fl-ipproċessar awtomatizzat ta’ data personali sabiex jinnominaw uffiċjal tal-protezzjoni tad-data, indipendentement mir-riskji marbuta mal-attivitajiet ta’ pproċessar. Dan wassal għal piżijiet addizzjonali.
4L-għoti tas-setgħa lill-individwi sabiex jikkontrollaw id-data tagħhom
Il-GDPR jagħmel id-drittijiet fundamentali effettivi, b’mod partikolari d-dritt għall-protezzjoni ta’ data personali, iżda anki d-drittijiet fundamentali l-oħra rikonoxxuti mill-Karta, inkluż ir-rispett għall-ħajja privata u tal-familja, il-libertà ta’ espressjoni u ta’ informazzjoni, in-nondiskriminazzjoni, il-libertà tal-ħsieb, tal-kuxjenza u tar-reliġjon, il-libertà ta’ intrapriża u d-dritt għal rimedju effettiv. Dawn id-drittijiet iridu jkunu bbilanċjati ma’ xulxin f’konformità mal-prinċipju ta’ proporzjonalità.
Il-GDPR jipprovdi lill-individwi bi drittijiet infurzabbli, bħad-dritt ta’ aċċess, ta’ rettifika, ta’ tħassir, ta’ oġġezzjoni, ta’ portabilità u ta’ trasparenza msaħħa. Jagħti wkoll lill-individwi d-dritt li jippreżentaw ilment ma’ awtorità għall-protezzjoni tad-data, anki permezz ta’ azzjonijiet rappreżentattivi, u għal rimedju ġudizzjarju.
L-individwi qed isiru dejjem aktar konxji ta’ drittijiethom, kif muri mir-riżultati tal-Ewrobarometru ta’ Lulju 2019 u l-istħarriġ imwettaq mill-Aġenzija għad-Drittijiet Fundamentali.
Skont il-Fundamental Rights Survey imwettaq mill-Aġenzija għad-Drittijiet Fundamentali:
·69 % tal-popolazzjoni tal-UE li għandha aktar minn 16-il sena semgħet bil-GDPR;
·71 % tar-rispondenti fl-UE semgħu dwar l-awtorità nazzjonali għall-protezzjoni tad-data tagħhom; din iċ-ċifra tvarja minn 90 % fir-Repubblika Ċeka għal 44 % fil-Belġju;
·60 % tar-rispondenti fl-UE huma konxji b’liġi li tippermettilhom jaċċessaw id-data personali tagħhom kif miżmuma minn amministrazzjoni pubblika; madankollu, dan il-perċentwal jonqos għal 51 % għal kumpaniji privati;
·aktar minn wieħed minn kull ħames rispondenti (23 %) fl-UE ma jridux jaqsmu data personali (bħall-indirizz, iċ-ċittadinanza jew id-data tat-twelid tal-individwu) mal-amministrazzjoni pubblika, u 41 % ma jridux jaqsmu din id-data ma’ kumpaniji privati.
L-individwi qed jużaw dejjem aktar id-dritt tagħhom li jippreżentaw ilmenti mal-awtoritajiet għall-protezzjoni tad-data, jew b’mod individwali jew b’azzjonijiet rappreżentattivi. Ftit Stati Membri biss ippermettew lil organizzazzjonijiet mhux governattivi jniedu azzjonijiet mingħajr mandat, f’konformità mal-possibbiltà pprovduta mill-GDPR. Id-Direttiva proposta dwar l-azzjonijiet rappreżentattivi għall-protezzjoni tal-interessi kollettivi tal-konsumaturi, ladarba tiġi adottata, hija mistennija ssaħħaħ il-qafas għal azzjonijiet rappreżentattivi anki fil-qasam tal-protezzjoni tad-data.
Ilmenti
In-numru totali ta’ lmenti bejn Mejju 2018 u l-aħħar ta’ Novembru 2019 kif irrapportat mill-Bord huwa ta’ madwar 275 000. Madankollu, jenħtieġ li din iċ-ċifra tiġi kkunsidrata bil-galbu ħafna minħabba li d-definizzjoni ta’ lment mhijiex identika fost l-awtoritajiet. In-numru assolut ta’ lmenti riċevuti mill-awtoritajiet għall-protezzjoni tad-data huwa differenti ħafna bejn l-Istati Membri. L-ogħla numri ta’ lmenti ġew irreġistrati fil-Ġermanja (67 000), fin-Netherlands (37 000), fi Spanja u Franza (18 000 kull wieħed), fl-Italja (14 000), fil-Polonja u l-Irlanda (12 000 kull wieħed). Żewġ terzi tal-awtoritajiet irrapportaw li n-numru ta’ lmenti jvarja bejn 8 000 u 600. L-anqas numri ta’ lmenti ġew irreġistrati fl-Estonja u fil-Belġju (madwar 500 kull wieħed), f’Malta u fl-Iżlanda (anqas minn 200 kull wieħed).
In-numru ta’ lmenti mhux bilfors ikun korrelatat mad-daqs tal-popolazzjoni jew mal-PDG, b’pereżempju kważi d-doppju ta’ lmenti fil-Ġermanja meta mqabbla man-Netherlands, u erba’ darbiet meta mqabbla ma’ Spanja u ma’ Franza.
Il-feedback mill-Grupp ta’ Diversi Partijiet Ikkonċernati juri li l-organizzazzjonijiet daħħlu fis-seħħ varjetà ta’ miżuri sabiex jiffaċilitaw l-eżerċizzju tad-drittijiet tas-suġġetti tad-data, inklużi l-implimentazzjoni ta’ proċessi li jiżguraw rieżami individwali tat-talbiet u tweġiba mingħand il-kontrollur, l-użu ta’ diversi kanali (posta, indirizz iddedikat tal-posta elettronika, sit web, eċċ.), proċeduri u politiki interni aġġornati dwar l-immaniġġjar intern puntwali tat-talbiet, u taħriġ tal-persunal. Xi kumpaniji daħħlu fis-seħħ portali diġitali aċċessibbli permezz tas-sit web tal-kumpanija (jew permezz tal-intranet tal-kumpanija għall-impjegati) sabiex jiffaċilitaw l-eżerċizzju tad-drittijiet mis-suġġetti tad-data.
Madankollu, hemm bżonn li jsir aktar progress fuq dawn il-punti li ġejjin:
·Mhux il-kontrolluri tad-data kollha jikkonformaw mal-obbligu tagħhom li jiffaċilitaw l-eżerċizzju tad-drittijiet tas-suġġetti tad-data. Dawn iridu jiżguraw li s-suġġetti tad-data jkollhom punt ta’ kuntatt effettiv fejn jistgħu jispjegaw il-problemi li jsibu. Dan jista’ jkun l-uffiċjal tal-protezzjoni tad-data, li d-dettalji ta’ kuntatt tiegħu jridu jiġu pprovduti b’mod proattiv lis-suġġett tad-data. Il-modalitajiet ta’ kuntatt ma jistgħux ikunu limitati għal ittri elettroniċi, iżda jridu jippermettu wkoll lis-suġġett tad-data jindirizza lill-kontrollur b’mezzi oħra.
·L-individwi għadhom qed jaffaċċjaw diffikultajiet meta jitolbu aċċess għad-data tagħhom, pereżempju minn pjattaformi, minn sensara tad-data u minn kumpaniji tat-teknoloġija avvanzata.
·Id-dritt għal portabilità tad-data mhuwiex użat fil-potenzjal sħiħ tiegħu. L-Istrateġija Ewropea għad-Data (minn hawn ’il quddiem l-Istrateġija għad-Data), adottata mill-Kummissjoni fid-19 ta’ Frar 2020, enfasizzat il-ħtieġa li jiġu ffaċilitati l-użi possibbli kollha ta’ dan id-dritt (eż. billi jiġu mandati l-interfaċċi tekniċi u l-formats li jinqraw mill-magni li jippermettu l-portabilità tad-data f’ħin (kważi) reali). L-operaturi jinnotaw li kultant jinstabu diffikultajiet fil-provvista tad-data f’format strutturat, użat spiss u li jinqara mill-magni (minħabba n-nuqqas ta’ standard). L-organizzazzjonijiet f’setturi partikolari biss, bħall-ibbankjar, it-telekomunikazzjoni, l-arloġġi tal-ilma u tat-tisħin, jirrapportaw li implimentaw l-interfaċċi neċessarji. Ġew żviluppati aktar għodod teknoloġiċi sabiex jiffaċilitaw l-eżerċizzju minn individwi tad-drittijiet tagħhom skont il-GDPR, mhux limitati għall-portabilità tad-data (eż. spazji tad-data personali u servizzi ta’ ġestjoni tal-informazzjoni personali).
·Id-drittijiet tat-tfal: Diversi membri tal-Grupp ta’ Diversi Partijiet Ikkonċernati jisħqu fuq il-ħtieġa li tiġi pprovduta informazzjoni lit-tfal u l-fatt li ħafna organizzazzjonijiet jinjoraw li t-tfal jistgħu jkunu mħassba mill-ipproċessar tad-data tagħhom. Il-Kunsill saħaq li tista’ tingħata attenzjoni partikolari għall-protezzjoni tat-tfal meta jiġu abbozzati l-kodiċijiet ta’ kondotta. Il-protezzjoni tat-tfal hija wkoll tema prijoritarja tal-awtoritajiet għall-protezzjoni tad-data.
·Id-dritt għal informazzjoni: xi kumpaniji għandhom approċċ legalistiku ħafna, billi jieħdu avviżi dwar il-protezzjoni tad-data bħala eżerċizzju legali, bl-informazzjoni li tkun pjuttost kumplessa, diffiċli li tinftiehem jew inkompluta, filwaqt li l-GDPR jeħtieġ li kwalunkwe informazzjoni jenħtieġ li tkun konċiża u tuża lingwaġġ ċar u sempliċi. Jidher li xi kumpaniji ma jsegwux ir-rakkomandazzjonijiet tal-Bord, pereżempju rigward l-elenkar tal-ismijiet tal-entitajiet li magħhom jikkondividu d-data.
·Diversi Stati Membri rrestrinġew b’mod estensiv id-drittijiet tas-suġġetti tad-data permezz tal-liġi nazzjonali tagħhom, u xi wħud anki lil hinn mill-marġini tal-Artikolu 23 tal-GDPR.
·L-eżerċizzju tad-drittijiet tal-individwi kultant ikun imxekkel mill-prattiki ta’ ftit atturi diġitali ewlenin li jagħmluha diffiċli għall-individwi li jagħżlu l-issettjar li jkun jipproteġi bl-aħjar mod il-privatezza tagħhom (bi ksur tar-rekwiżit ta’ protezzjoni tad-data mid-disinn u b’mod awtomatiku).
Il-linji gwida tal-Bord dwar id-drittjiet tas-suġġetti tad-data huma mistennija b’ħerqa mill-partijiet ikkonċernati.
5Opportunitajiet u sfidi għall-organizzazzjonijiet, b’mod partikolari Intrapriżi Żgħar u Medji
Opportunitajiet għall-organizzazzjonijiet
Il-GDPR ikattar il-kompetizzjoni u l-innovazzjoni. Flimkien mar-Regolament dwar il-Moviment Liberu ta’ Data Mhux Personali, dan jiżgura l-moviment liberu ta’ data fi ħdan l-UE u joħloq kundizzjonijiet ekwi mal-kumpaniji mhux stabbiliti fl-UE. Billi joħloq qafas armonizzat għall-protezzjoni ta’ data personali, il-GDPR jiżgura li l-atturi kollha fis-suq intern ikunu marbuta bl-istess regoli u jibbenefikaw mill-istess opportunitajiet, indipendentement minn jekk humiex stabbiliti u fejn iseħħ l-ipproċessar. In-newtralità teknoloġika tal-GDPR tipprovdi l-qafas għall-protezzjoni tad-data għal żviluppi teknoloġiċi ġodda. Il-prinċipji ta’ protezzjoni tad-data mid-disinn u b’mod awtomatiku jinċentivaw soluzzjonijiet innovattivi, li jinkludu kunsiderazzjonijiet relatati mal-protezzjoni tad-data sa mill-bidu nett u jistgħu jnaqqsu l-kost tal-konformità mar-regoli dwar il-protezzjoni tad-data.
Barra minn hekk, il-privatezza ssir parametru kompetittiv importanti li l-individwi jikkunsidraw dejjem aktar meta jagħżlu s-servizzi tagħhom. Dawk li huma aktar informati u sensittivi għal kunsiderazzjonijiet dwar il-protezzjoni tad-data jfittxu prodotti u servizzi li jiżguraw protezzjoni effettiva tad-data personali. L-implimentazzjoni tad-dritt għal portabilità tad-data għandha l-potenzjal li tnaqqas l-ostakli għad-dħul għal negozji li joffru servizzi innovattivi u kompatibbli mal-protezzjoni tad-data. Jenħtieġ li jkunu mmonitorjati l-effetti ta’ użu potenzjalment usa’ ta’ dan id-dritt fis-suq f’setturi differenti. Il-konformità mar-regoli dwar il-protezzjoni tad-data u l-applikazzjoni trasparenti tagħhom se joħolqu fiduċja dwar l-użu tad-data personali tan-nies u, b’hekk, opportunitajiet ġodda għan-negozji.
Bħal kull regolamentazzjoni, ir-regoli dwar il-protezzjoni tad-data għandhom kostijiet ta’ konformità inerenti għall-kumpaniji. Madankollu, dawn il-kostijiet huma megħluba mill-opportunitajiet u mill-vantaġġi tal-fiduċja msaħħa fl-innovazzjoni diġitali u mill-benefiċċji soċjetali li jirriżultaw mir-rispett ta’ dritt fundamentali. Billi jiżgura kundizzjonijiet ekwi u jipprovdi lill-awtoritajiet għall-protezzjoni tad-data b’dak li jeħtieġu sabiex jinfurzaw ir-regoli b’mod effettiv, il-GDPR jipprevjeni l-opportuniżmu minn kumpaniji mhux konformi fuq il-fiduċja minn dawk li jsegwu r-regoli.
Sfidi speċifiċi għal Intrapriżi Żgħar u Medji (SMEs)
Hemm perċezzjoni ġenerali mill-partijiet ikkonċernati, iżda anki mill-Parlament Ewropew, mill-Kunsill u mill-awtoritajiet għall-protezzjoni tad-data li l-applikazzjoni tal-GDPR hija sfida partikolari għall-intrapriżi mikro, żgħar u medji, u għal organizzazzjonijiet ta’ volontarjat u tal-karità żgħar.
Skont l-approċċ ibbażat fuq ir-riskju, ma jkunx xieraq li jiġu pprovduti derogi fuq il-bażi tad-daqs tal-operaturi, peress li d-daqs tagħhom minnu nnifsu mhuwiex indikazzjoni tar-riskji li l-ipproċessar ta’ data personali li jwettqu jista’ joħloq għall-individwi. L-approċċ ibbażat fuq ir-riskju jgħaqqad il-flessibbiltà mal-protezzjoni effettiva. Iqis il-ħtiġijiet tal-SMEs li ma għandhomx l-ipproċessar ta’ data bħala n-negozju ewlieni tagħhom, u jikkalibra l-obbligi tagħhom b’mod partikolari fuq il-bażi tal-probabbiltà u tas-severità tar-riskji relatati mal-ipproċessar speċifiku li jwettqu.
Jenħtieġ li l-ipproċessar limitat u b’riskju baxx ma jiġix ittrattat bl-istess mod bħall-ipproċessar b’riskju għoli u frekwenti – irrispettivament mid-daqs tal-kumpanija li twettqu. Għalhekk, hekk kif ikkonkluda l-Bord, “fi kwalunkwe każ, l-approċċ ibbażat fuq ir-riskju promoss mil-leġiżlatur fit-test jenħtieġ li jinżamm, peress li r-riskji għas-suġġetti tad-data ma jiddependux mid-daqs tal-kontrolluri”. Jenħtieġ li l-awtoritajiet għall-protezzjoni tad-data jadottaw bis-sħiħ dan il-prinċipju meta jinfurzaw il-GDPR, idealment fi ħdan approċċ Ewropew komuni sabiex ma joħolqux ostakli għas-Suq Uniku.
L-awtoritajiet għall-protezzjoni tad-data żviluppaw diversi għodod u saħqu fuq l-intenzjoni tagħhom li jkomplu jtejbuhom. Xi awtoritajiet varaw kampanji ta’ sensibilizzazzjoni u saħansitra se jorganizzaw “klassijiet dwar il-GDPR” mingħajr ħlas għall-SMEs.
Eżempji ta’ gwida u ta’ għodod ipprovduti mill-awtoritajiet għall-protezzjoni tad-data speċifikament għall-SMEs
·il-pubblikazzjoni ta’ informazzjoni indirizzata lill-SMEs;
·seminars għall-uffiċjali tal-protezzjoni tad-data u avvenimenti għall-SMEs li ma għandhomx bżonn jinnominaw uffiċjal tal-protezzjoni tad-data;
·gwidi interattivi sabiex jassistu lill-SMEs;
·linji telefoniċi għall-konsultazzjonijiet;
·mudelli għall-kuntratti ta’ pproċessar u rekords dwar l-attivitajiet ta’ pproċessar.
Deskrizzjoni tal-attivitajiet imwettqa mill-awtoritajiet għall-protezzjoni tad-data hija ppreżentata fil-kontribut tal-Bord.
Ħafna mill-azzjonijiet li jappoġġjaw lill-SMEs b’mod speċifiku rċevew finanzjament mill-UE. Il-Kummissjoni pprovdiet appoġġ finanzjarju permezz ta’ tliet mewġiet ta’ għotjiet, għal total ta’ EUR 5 miljun, bl-aktar tnejn riċenti mmirati b’mod speċifiku lejn l-għoti ta’ appoġġ lill-awtoritajiet nazzjonali għall-protezzjoni tad-data fl-isforzi tagħhom li jilħqu lil individwi u lil SMEs. Bħala riżultat, fl-2018, ġew allokati EUR 2 miljun għal disa’ awtoritajiet għall-protezzjoni tad-data għal attivitajiet fl-2018-2019 (il-Belġju, il-Bulgarija, id-Danimarka, l-Ungerija, il-Litwanja, il-Latvja, in-Netherlands, is-Slovenja, u l-Iżlanda), u fl-2019 ġew allokati EUR 1 miljun lil erba’ awtoritajiet għall-protezzjoni tad-data għal attivitajiet fl-2020 (il-Belġju, Malta, is-Slovenja u l-Kroazja fi sħubija mal-Irlanda)
. EUR 1 miljun ieħor se jiġi allokat fl-2020.
Minkejja dawn l-inizjattivi, l-SMEs u n-negozji ġodda spiss jirrapportaw li jbatu fl-implimentazzjoni tal-prinċipju ta’ responsabbiltà stabbilit fil-GDPR. B’mod partikolari, huma jirrapportaw li mhux dejjem jiksbu biżżejjed gwida u pariri prattiċi mingħand l-awtoritajiet nazzjonali għall-protezzjoni tad-data, jew li ż-żmien meħud sabiex jiksbu gwida u pariri huwa twil wisq. Kien hemm ukoll każijiet li fihom l-awtoritajiet ma kinux lesti li jidħlu fi kwistjonijiet legali. Meta jiltaqgħu ma’ sitwazzjonijiet bħal dawn, l-SMEs spiss jirrikorru għal konsulenti u għal avukati esterni sabiex jittrattaw l-implimentazzjoni tal-prinċipju ta’ responsabbiltà u l-approċċ ibbażat fuq ir-riskju (inklużi r-rekwiżiti ta’ trasparenza, ir-rekords dwar l-ipproċessar u n-notifiki ta’ ksur ta’ data). Dan jista’ jkompli jżidilhom il-kostijiet.
Kwistjoni speċifika minnhom hija r-reġistrazzjoni tal-attivitajiet ta’ pproċessar, li hija meqjusa mill-SMEs u mill-assoċjazzjonijiet iż-żgħar bħala piż amministrattiv impenjattiv. L-eżenzjoni minn dak l-obbligu fl-Artikolu 30(5) tal-GDPR tabilħaqq hija ristretta ħafna. Madankollu, l-isforzi relatati għall-konformità ma’ dak l-obbligu jenħtieġ li ma jkunux stmati b’mod eċċessiv. Meta n-negozju ewlieni tal-SMEs ma jkunx jinvolvi l-ipproċessar ta’ data personali, dawn ir-rekords jistgħu jkunu sempliċi u mhux impenjattivi. L-istess huwa minnu għal assoċjazzjonijiet volontarji u oħrajn. Rekords issimplifikati bħal dawn ikunu ffaċilitati minn mudelli ta’ rekords, kif diġà hija l-prattika ta’ wħud mill-awtoritajiet għall-protezzjoni tad-data. Fi kwalunkwe każ, kull min jipproċessa data personali jenħtieġ li jkollu ħarsa ġenerali lejn l-ipproċessar tad-data tiegħu bħala rekwiżit bażiku tal-prinċipju ta’ responsabbiltà.
L-iżvilupp ta’ għodod prattiċi fil-livell tal-UE mill-Bord, bħal formoli armonizzati għal ksur ta’ data u rekords issimplifikati tal-attivitajiet ta’ pproċessar, jista’ jgħin lill-SMEs u lill-assoċjazzjonijiet iż-żgħar li l-attivitajiet ewlenin tagħhom ma jiffokawx fuq l-ipproċessar ta’ data personali sabiex jissodisfaw l-obbligi tagħhom.
Diversi assoċjazzjonijiet tal-industrija għamlu sforzi sabiex iżidu l-għarfien u jinformaw lill-membri tagħhom, pereżempju permezz ta’ konferenzi u seminars, billi jipprovdu lin-negozji b’informazzjoni dwar il-gwida disponibbli, jew billi żviluppaw servizz ta’ assistenza dwar il-privatezza għall-membri. Dawn jirrapportaw ukoll numru dejjem akbar ta’ seminars, ta’ laqgħat u ta’ avvenimenti organizzati minn gruppi ta’ riflessjoni u minn assoċjazzjonijiet ta’ SMEs dwar materji relatati mal-GDPR.
Sabiex jissaħħaħ il-moviment liberu tad-data kollha fi ħdan l-UE u sabiex tiġi stabbilita applikazzjoni koerenti tal-GDPR u tar-Regolament dwar il-Moviment Liberu ta’ Data Mhux Personali, il-Kummissjoni ħarġet ukoll gwida prattika dwar ir-regoli li jirregolaw l-ipproċessar ta’ settijiet ta’ data mħalltin, imsawra minn data kemm personali kif ukoll mhux personali, u mmirata b’mod partikolari lejn l-SMEs.
Sett ta’ għodod għan-negozji
Il-GDPR jipprovdi għal għodod li jgħinu sabiex tintwera l-konformità, bħal kodiċijiet ta’ kondotta, mekkaniżmi ta’ ċertifikazzjoni, u klawżoli kuntrattwali standard.
·Il-kodiċijiet ta’ kondotta
Il-Bord ħareġ linji gwida li jsostnu u jgħinu lis-“sidien tal-kodiċijiet” fl-abbozzar, fl-emendar jew fl-estensjoni tal-kodiċijiet, u jipprovdu gwida prattika u assistenza interpretattiva. Dawn il-linji gwida jiċċaraw ukoll il-proċeduri għas-sottomissjoni, għall-approvazzjoni u għall-pubblikazzjoni tal-kodiċijiet kemm fil-livell nazzjonali kif ukoll tal-UE billi jistabbilixxu l-kriterji minimi meħtieġa.
Il-partijiet ikkonċernati jqisu l-kodiċijiet ta’ kondotta bħala għodod siewja ħafna. Għad li ħafna kodiċijiet jiġu implimentati f’livell nazzjonali, bħalissa qed jitħejjew diversi kodiċijiet ta’ kondotta li jkopru l-UE kollha (pereżempju dwar apps tal-mowbajl dwar is-saħħa, riċerka dwar is-saħħa fil-ġenomika, il-cloud computing, il-kummerċjalizzazzjoni diretta, l-assigurazzjoni, l-ipproċessar bi prevenzjoni u servizzi ta’ konsulenza għat-tfal). L-operaturi jemmnu li l-kodiċijiet ta’ kondotta tal-UE jenħtieġ li jkunu promossi b’mod aktar prominenti hekk kif ikattru l-applikazzjoni konsistenti tal-GDPR fl-Istati Membri kollha.
Madankollu, il-kodiċijiet ta’ kondotta jeħtieġu wkoll iż-żmien u l-investiment mill-operaturi kemm għall-iżvilupp tagħhom kif ukoll għat-twaqqif tal-korpi ta’ monitoraġġ indipendenti meħtieġa. Ir-rappreżentanti mill-SMEs jisħqu fuq l-importanza u l-utilità tal-kodiċijiet ta’ kondotta mfassla għas-sitwazzjoni tagħhom u li ma jinvolvux kostijiet sproporzjonati.
Konsegwentement, l-assoċjazzjonijiet tan-negozji f’numru ta’ setturi implimentaw tipi oħra ta’ għodod awtoregolatorji bħal kodiċijiet ta’ prattika tajba jew gwida. Filwaqt li għodod bħal dawn jistgħu jipprovdu informazzjoni utli, dawn ma għandhomx l-approvazzjoni tal-awtoritajiet għall-protezzjoni tad-data u ma jistgħux iservu bħala għodda sabiex juru l-konformità mal-GDPR.
Il-Kunsill jisħaq li l-kodiċijiet ta’ kondotta jridu jixħtu attenzjoni partikolari fuq l-ipproċessar tad-data tat-tfal u tad-data dwar is-saħħa. Il-Kummissjoni qed tappoġġja kodiċi(jiet) ta’ kondotta li jarmonizzaw l-approċċ fis-saħħa u fir-riċerka u jiffaċilitaw l-ipproċessar transfruntier ta’ data personali. Il-Bord jinsab fil-proċess li japprova l-abbozz tar-rekwiżiti ta’ akkreditazzjoni għall-korpi ta’ monitoraġġ tal-kodiċijiet ta’ kondotta proposti minn numru ta’ awtoritajiet għall-protezzjoni tad-data. Ladarba l-kodiċijiet ta’ kondotta transnazzjonali jew tal-UE jkunu lesti sabiex jiġu sottomessi lill-awtoritajiet għall-protezzjoni tad-data għall-approvazzjoni, dawn jiġu kkonsultati fil-Bord. L-implimentazzjoni rapida ta’ kodiċijiet ta’ kondotta transnazzjonali hija partikolarment importanti għal oqsma li jinvolvu l-ipproċessar ta’ ammonti sinifikanti ta’ data (eż. cloud computing) jew data sensittiva (eż. saħħa/riċerka).
·Ċertifikazzjoni
Iċ-ċertifikazzjoni tista’ tkun strument siewi sabiex tintwera l-konformità ma’ rekwiżiti speċifiċi tal-GDPR. Din tista’ żżid iċ-ċertezza tad-dritt għan-negozji u tippromwovi l-GDPR globalment.
Kif indikat fl-istudju dwar iċ-ċertifikazzjoni ppubblikat f’April 2019, jenħtieġ li l-objettiv ikun li tiġi ffaċilitata l-adozzjoni tal-iskemi rilevanti. L-iżvilupp ta’ skemi ta’ ċertifikazzjoni fl-UE se jkun sostnut mil-linji gwida maħruġa mill-Bord dwar il-kriterji ta’ ċertifikazzjoni u dwar l-akkreditazzjoni tal-korpi ta’ ċertifikazzjoni.
Is-sigurtà u l-protezzjoni tad-data mid-disinn huma elementi importanti li jridu jiġu kkunsidrati fl-iskemi ta’ ċertifikazzjoni taħt il-GDPR u jibbenefikaw minn approċċ komuni u ambizzjuż li jkopri l-UE kollha. Il-Kummissjoni se tkompli ssostni l-kuntatti kurrenti bejn l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA), l-awtoritajiet għall-protezzjoni tad-data u l-Bord.
Rigward iċ-ċibersigurtà, wara l-adozzjoni tal-Att dwar iċ-Ċibersigurtà, il-Kummissjoni talbet li l-ENISA tħejji żewġ skemi ta’ ċertifikazzjoni inkluża skema waħda għas-servizzi tal-cloud. Qed jiġu kkunsidrati skemi oħrajn li jindirizzaw iċ-ċibersigurtà tas-servizzi u tal-prodotti għall-konsumaturi. Filwaqt li dawn l-iskemi ta’ ċertifikazzjoni stabbiliti taħt l-Att dwar iċ-Ċibersigurtà ma jindirizzawx b’mod espliċitu l-protezzjoni tad-data u l-privatezza, dawn jikkontribwixxu għaż-żieda tal-fiduċja tal-konsumaturi fis-servizzi u fil-prodotti diġitali. Dawn l-iskemi jistgħu jipprovdu evidenza ta’ aderenza mal-prinċipji ta’ sigurtà mid-disinn kif ukoll l-implimentazzjoni ta’ miżuri tekniċi u organizzazzjonali xierqa relatati mas-sigurtà tal-ipproċessar ta’ data personali.
·Klawżoli kuntrattwali standard
Il-Kummissjoni qed taħdem fuq klawżoli kuntrattwali standard bejn il-kontrolluri u l-proċessuri, anki fid-dawl tal-modernizzazzjoni tal-klawżoli kuntrattwali standard għal trasferimenti internazzjonali (ara t-Taqsima 7.2). Att tal-Unjoni, adottat mill-Kummissjoni, ser ikollu effett vinkolanti madwar l-UE kollha li jiżgura armonizzazzjoni sħiħa u ċertezza tad-dritt.
6L-applikazzjoni tal-GDPR għal teknoloġiji ġodda
Qafas newtrali għat-teknoloġija miftuħ għal teknoloġiji ġodda
Il-GDPR huwa newtrali għat-teknoloġija, jabilita l-fiduċja, u huwa msejjes fuq prinċipji. Dawn il-prinċipji, li jinkludu l-ipproċessar legali u trasparenti, il-limitazzjoni tal-iskop u l-minimizzazzjoni tad-data, jipprovdu għal bażi solida għall-protezzjoni ta’ data personali, irrispettivament mill-operazzjonijiet u mit-tekniki ta’ pproċessar applikati.
Il-membri tal-Grupp ta’ Diversi Partijiet Ikkonċernati jirrapportaw li l-GDPR għandu impatt pożittiv fuq l-iżvilupp ta’ teknoloġiji ġodda u jipprovdi bażi tajba għall-innovazzjoni. Il-GDPR huwa meqjus bħala għodda essenzjali u flessibbli sabiex jiġi żgurat l-iżvilupp ta’ teknoloġiji ġodda f’konformità mad-drittijiet fundamentali. L-implimentazzjoni tal-prinċipji ewlenin tiegħu hija partikolarment kruċjali għall-ipproċessar intensiv fid-data. L-approċċ tal-GDPR ibbażat fuq ir-riskji u newtrali għat-teknoloġija jipprovdi livell ta’ protezzjoni tad-data li huwa adegwat sabiex jiġi indirizzat ir-riskju tal-ipproċessar, inkluż minn teknoloġiji emerġenti.
B’mod partikolari, il-partijiet ikkonċernati jsemmu li l-prinċipji tal-GDPR ta’ limitazzjoni tal-iskop u ta’ pproċessar kompatibbli ulterjuri, ta’ minimizzazzjoni tad-data, ta’ limitazzjoni tal-ħżin, ta’ trasparenza, ta’ responsabbiltà u l-kundizzjonijiet li fihom il-proċessi ta’ teħid ta’ deċiżjonijiet awtomatizzati jistgħu jitnedew legalment fil-parti l-kbira jindirizzaw it-tħassib relatat mal-użu tal-intelliġenza artifiċjali.
L-approċċ li jaħseb għall-futur u bbażat fuq ir-riskju tal-GDPR se jkun applikat ukoll fil-qafas futur possibbli għall-intelliġenza artifiċjali u meta tiġi implimentata l-Istrateġija dwar id-Data. L-Istrateġija dwar id-data għandha l-għan li tkattar id-disponibbiltà tad-data u li toħloq spazji tad-data Ewropej komuni sostnuti minn servizzi ta’ infrastruttura tal-cloud federati. Fir-rigward tad-data personali, il-GDPR jipprovdi l-qafas ġuridiku ewlieni, li fi ħdanu jistgħu jitfasslu soluzzjonijiet effettivi fuq bażi ta’ każ b’każ skont in-natura u l-kontenut ta’ kull spazju tad-data.
Il-GDPR żied l-għarfien dwar il-protezzjoni ta’ data personali kemm fl-UE, kif ukoll lil hinn minnha u wassal sabiex kumpaniji jadattaw il-prattiki tagħhom b’tali mod li jqisu l-prinċipji dwar il-protezzjoni tad-data meta jinnovaw. Madankollu, l-organizzazzjonijiet tas-soċjetà ċivili jinnotaw li, minkejja li l-impatt tal-GDPR fuq l-iżvilupp ta’ teknoloġiji ġodda jidher li huwa pożittiv, il-prattiki tal-atturi diġitali ewlenin għadhom ma nbidlux b’mod fundamentali għal ipproċessar aktar favorevoli għall-privatezza. Infurzar b’saħħtu u effettiv tal-GDPR fir-rigward ta’ pjattaformi diġitali kbar u ta’ kumpaniji integrati kbar, inkluż f’oqsma bħar-reklamar online u l-mikrommirar, huwa element essenzjali għall-protezzjoni tal-individwi.
Il-Kummissjoni qed tanalizza l-kwistjonijiet usa’ relatati mal-imġibiet fis-suq ta’ atturi diġitali kbar fil-kuntest tal-pakkett tal-Att dwar is-Servizzi Diġitali. Fir-rigward tar-riċerka fil-qasam tal-midja soċjali, il-Kummissjoni tfakkar li l-GDPR ma jistax jintuża bħala skuża mill-pjattaformi tal-midja soċjali sabiex jillimitaw l-aċċess ta’ riċerkaturi u ta’ verifikaturi tal-fatti għal data mhux personali bħal statistiki dwar liema reklami mmirati ntbagħtu lil liema kategoriji ta’ persuni, il-kriterji għat-tfassil ta’ dan l-immirar, informazzjoni dwar kontijiet foloz, eċċ.
L-approċċ teknoloġikament newtrali u li jaħseb għall-futur tal-GDPR waslitlu s-siegħa tal-prova matul il-pandemija tal-COVID-19 u wera li rnexxa. Ir-regoli tiegħu bbażati fuq il-prinċipji sostnew l-iżvilupp ta’ għodod għall-ġlieda u għall-monitoraġġ tat-tifrix tal-vajrus.
Sfidi li għandhom jiġu indirizzati
L-iżvilupp u l-applikazzjoni ta’ teknoloġiji ġodda ma jitfgħux dubji fuq dawn il-prinċipji. L-isfidi jinsabu fil-mod ’kif għandhom jiġu applikati l-prinċipji pprovati sabiex jintużaw teknoloġiji speċifiċi bħall-intelliġenza artifiċjali, il-blockchain, l-Internet tal-Oġġetti, ir-rikonoxximent tal-wiċċ jew il-computing kwantistiku.
F’dan il-kuntest, il-Parlament Ewropew u l-Kunsill saħqu fuq il-ħtieġa għal monitoraġġ kontinwu sabiex jiġi ċċarat kif il-GDPR japplika għal teknoloġiji ġodda u għal kumpaniji kbar tat-teknoloġija. Barra minn hekk, il-partijiet ikkonċernati jwissu li l-valutazzjoni ta’ jekk il-GDPR għadux idoneu għall-iskop tiegħu teħtieġ monitoraġġ kostanti.
Il-partijiet ikkonċernati tal-industrija jisħqu li l-innovazzjoni teħtieġ li l-GDPR jiġi applikat b’mod ibbażat fuq il-prinċipji, f’konformità mad-disinn tiegħu, aktar milli b’mod riġidu u formali. Dawn huma tal-fehma li l-linji gwida tal-Bord dwar kif għandhom jiġu applikati l-prinċipji, il-kunċetti u r-regoli tal-GDPR għal teknoloġiji ġodda bħall-intelliġenza artifiċjali, il-blockchain jew l-Internet tal-Oġġetti, b’kunsiderazzjoni tal-approċċ ibbażat fuq ir-riskji, ikunu ta’ għajnuna sabiex jiġu pprovduti kjarifiki u aktar ċertezza tad-dritt. Għodod tal-liġi mhux vinkolanti bħal dawn huma adattati sabiex jakkumpanjaw l-applikazzjoni tal-GDPR għat-teknoloġiji l-ġodda peress li jipprovdu għal aktar ċertezza tad-dritt u jistgħu jiġu rieżaminati f’konformità mal-iżviluppi teknoloġiċi. Xi partijiet ikkonċernati jissuġġerixxu wkoll li l-gwida settorjali dwar kif il-GDPR għandu jiġi applikat għal teknoloġiji ġodda tista’ tkun ta’ għajnuna.
Il-Bord iddikjara li se jkompli jikkunsidra l-impatt tat-teknoloġiji emerġenti fuq il-protezzjoni ta’ data personali.
Il-partijiet ikkonċernati jisħqu wkoll fuq l-importanza għar-regolaturi sabiex jiksbu fehim dettaljat ta’ kif it-teknoloġija qed tintuża u sabiex jidħlu fi djalogu mal-industrija dwar l-iżvilupp ta’ teknoloġiji emerġenti. Huma jqisu li approċċ ta’ “ambjent ta’ esperimentazzjoni regolatorja” – bħala mezz sabiex tinkiseb gwida dwar l-applikazzjoni tar-regoli – jista’ jkun għażla interessanti sabiex jiġu ttestjati teknoloġiji ġodda u n-negozji jiġu megħjuna japplikaw il-prinċipju ta’ protezzjoni tad-data mit-tfassil u b’mod awtomatiku f’teknoloġiji ġodda.
F’termini ta’ azzjoni politika ulterjuri, il-partijiet ikkonċernati jirrakkomandaw li kwalunkwe proposta ta’ politika fil-ġejjieni dwar l-intelliġenza artifiċjali jenħtieġ li tibni fuq l-oqfsa legali eżistenti u jkunu allinjati mal-GDPR. Jenħtieġ li kwistjonijiet speċifiċi potenzjali jiġu vvalutati bir-reqqa, fuq il-bażi tal-evidenza rilevanti, qabel ma jiġu proposti regoli preskrittivi ġodda.
Il-White Paper tal-Kummissjoni dwar l-Intelliġenza Artifiċjali tipproponi numru ta’ għażliet politiċi li dwarhom intalbu l-ftehmiet tal-partijiet ikkonċernati sal-14 ta’ Lulju 2020. Rigward ir-rikonoxximent tal-wiċċ, teknoloġija li tista’ tħalli impatt sinifikanti fuq id-drittijiet tal-individwi, il-White Paper fakkret fil-qafas leġiżlattiv kurrenti u fetħet dibattitu pubbliku dwar iċ-ċirkustanzi speċifiċi, jekk ikun hemm, li jistgħu jiġġustifikaw l-użu tal-intelliġenza artifiċjali għar-rikonoxximent tal-wiċċ u għal skopijiet oħra ta’ identifikazzjoni bijometrika mill-bogħod f’postijiet pubbliċi, u dwar salvagwardji komuni.
7Trasferimenti internazzjonali u kooperazzjoni globali
7.1Privatezza: kwistjoni globali
Id-domanda għall-protezzjoni ta’ data personali ma tħarisx lejn fruntieri, peress li l-individwi madwar id-dinja kollha saru jgħożżu u jħaddnu dejjem aktar il-privatezza u s-sigurtà tad-data tagħhom.
Fl-istess ħin, l-importanza tal-movimenti tad-data għall-individwi, għall-gvernijiet, għall-kumpaniji u, b’mod aktar ġenerali, għas-soċjetà kollha hija fatt inevitabbli fid-dinja interkonnessa tagħna. Dawn jikkostitwixxu parti integrali mill-kummerċ, mill-kooperazzjoni bejn l-awtoritajiet pubbliċi u mill-interazzjonijiet soċjali. F’dak ir-rigward, il-pandemija kurrenti tal-COVID-19 tenfasizza wkoll kemm huma kritiċi t-trasferiment u l-iskambju ta’ data personali għal ħafna attivitajiet essenzjali, inkluż sabiex tiġi żgurata l-kontinwità tal-operazzjonijiet tal-gvernijiet u tan-negozji – billi jippermettu t-telexogħol u soluzzjonijiet oħra li jibbażaw ferm fuq teknoloġiji tal-informazzjoni u tal-komunikazzjoni – filwaqt li tiġi żviluppata l-kooperazzjoni fir-riċerka xjentifika dwar id-djanjostika, it-trattamenti u t-tilqimiet, u jiġu miġġielda forom ġodda ta’ ċiberkriminalità bħal skemi ta’ frodi online li joffru mediċini ffalsifikati li jgħidu li jipprevjenu jew ifejqu l-COVID-19.
F’dan l-isfond, u aktar minn qatt qabel, il-protezzjoni tal-privatezza u l-iffaċilitar tal-movimenti tad-data jridu jaħdmu id f’id. L-UE, bir-reġim tagħha ta’ protezzjoni tad-data li jgħaqqad l-aċċess miftuħ għal trasferimenti internazzjonali ma’ livell għoli ta’ protezzjoni għall-individwi, tinsab f’pożizzjoni tajba sabiex tippromwovi movimenti ta’ data sikuri u fdati. Il-GDPR diġà rriżulta bħala punt ta’ riferiment fil-livell internazzjonali u aġixxa bħala katalist għal ħafna pajjiżi madwar id-dinja sabiex jikkunsidraw l-introduzzjoni ta’ regoli moderni dwar il-privatezza.
Din hija xejra tassew globali li qed tinħass, fost il-ħafna eżempji li jistgħu jissemmew, miċ-Ċilì sal-Korea t’Isfel, mill-Brażil sal-Ġappun, mill-Kenja sal-Indja, mit-Tuneżija sal-Indoneżja, u minn California sat-Tajwan. Dawn l-iżviluppi huma notevoli minn perspettiva mhux biss kwantitattiva iżda anki kwalitattiva: ħafna mil-liġijiet dwar il-privatezza adottati dan l-aħħar, jew li jinsabu fil-proċess li jiġu adottati, huma bbażati fuq sett ewlieni ta’ salvagwardji komuni, ta’ drittijiet u ta’ mekkaniżmi ta’ infurzar li huma kondiviżi mill-UE. F’dinja li ta’ spiss wisq hija kkaratterizzata minn approċċi regolatorji differenti, jekk mhux diverġenti, din ix-xejra lejn konverġenza globali hija żvilupp pożittiv ħafna li jġib miegħu opportunitajiet ġodda għaż-żieda tal-protezzjoni tal-individwi fl-Ewropa filwaqt li, fl-istess ħin, jiffaċilita l-movimenti tad-data u jbaxxi l-kostijiet tat-tranżazzjoni għall-operaturi kummerċjali.
Sabiex taħtaf dawn l-opportunitajiet u timplimenta l-istrateġija stabbilita fil-Komunikazzjoni tagħha tal-2017 “L-Iskambjar u l-Protezzjoni tad-Data Personali f’Dinja Globalizzata”, il-Kummissjoni saħħet b’mod sinifikanti l-ħidma tagħha fuq id-dimensjoni internazzjonali tal-privatezza billi tagħmel użu sħiħ mis-“sett ta’ għodod” disponibbli għat-trasferimenti, kif spjegat hawn taħt. Dan inkluda l-komunikazzjoni attiva mas-sħab ewlenin bl-għan li tinkiseb “konstatazzjoni tal-adegwatezza” u pprovda riżultati importanti, bħall-ħolqien tal-akbar spazju fid-dinja ta’ movimenti liberi u sikuri tad-data bejn l-UE u l-Ġappun.
Minbarra l-ħidma tagħha dwar l-adegwatezza, il-Kummissjoni ħadmet mill-qrib mal-awtoritajiet għall-protezzjoni tad-data fi ħdan il-Bord, kif ukoll ma’ partijiet ikkonċernati oħra, sabiex tisfrutta l-potenzjal sħiħ tar-regoli flessibbli tal-GDPR għal trasferimenti internazzjonali. Dan jikkonċerna l-modernizzazzjoni tal-istrumenti bħall-klawżoli kuntrattwali standard, l-iżvilupp ta’ skemi ta’ ċertifikazzjoni, ta’ kodiċijiet ta’ kondotta jew ta’ arranġamenti amministrattivi għall-iskambji ta’ data bejn l-awtoritajiet pubbliċi, kif ukoll l-iċċarar tal-kunċetti ewlenin relatati, pereżempju, mal-kamp ta’ applikazzjoni territorjali tar-regoli tal-UE dwar il-protezzjoni tad-data jew l-użu tal-hekk imsejħa “derogi” għat-trasferiment ta’ data personali.
Finalment, il-Kummissjoni intensifikat id-djalogu tagħha f’numru ta’ fora bilaterali, reġjonali u multilaterali sabiex trawwem kultura globali ta’ rispett għall-privatezza u tiżviluppa elementi ta’ konverġenza bejn sistemi differenti ta’ privatezza. Fl-isforzi tagħha, il-Kummissjoni setgħet tistrieħ fuq l-appoġġ attiv tas-Servizz Ewropew għall-Azzjoni Esterna u tan-network ta’ delegazzjonijiet tal-UE f’pajjiżi terzi u ta’ missjonijiet għal organizzazzjonijiet internazzjonali. Dan żgura wkoll il-koerenza u l-komplimentarjetà akbar bejn aspetti differenti tad-dimensjoni esterna tal-politiki tal-UE – mill-kummerċ sas-Sħubija UE-Afrika l-ġdida.
7.2Is-sett ta’ għodod tal-GDPR għat-trasferimenti
Hekk kif dejjem aktar operaturi privati u pubbliċi qed jibbażaw fuq movimenti internazzjonali tad-data bħala parti mill-operazzjonijiet ta’ rutina tagħhom, hemm ħtieġa dejjem akbar għal strumenti flessibbli li jistgħu jiġu adattati għal setturi, għal mudelli tan-negozju u għal sitwazzjonijiet ta’ trasferiment differenti. Filwaqt li jirrifletti dawn il-ħtiġijiet, il-GDPR joffri sett ta’ għodod modernizzat li jiffaċilita t-trasferiment ta’ data personali mill-UE lejn pajjiż terz jew organizzazzjoni internazzjonali, filwaqt li jiżgura li d-data tkompli tibbenefika minn livell għoli ta’ protezzjoni. Din il-kontinwità tal-protezzjoni hija importanti, peress li fid-dinja tal-lum id-data tiċċaqlaq faċilment bejn il-fruntieri u l-protezzjonijiet iggarantiti mill-GDPR ma jkunux kompluti li kieku jkunu limitati għall-ipproċessar fl-UE.
Bil-Kapitolu V tal-GDPR, il-leġiżlatur ikkonferma l-arkitettura tar-regoli dwar it-trasferimenti li diġà kienu jeżistu fid-Direttiva 95/46: it-trasferimenti ta’ data jistgħu jseħħu meta l-Kummissjoni tkun għamlet konstatazzjoni tal-adegwatezza fir-rigward ta’ pajjiż terz jew ta’ organizzazzjoni internazzjonali jew, fin-nuqqas ta’ din, fejn il-kontrollur jew il-proċessur fl-UE (“esportatur tad-data”) ikun ipprovda salvagwardji xierqa, pereżempju permezz ta’ kuntatt mar-riċevitur (“importatur tad-data”). Barra minn hekk, ir-raġunijiet statutorji għat-trasferimenti (l-hekk imsejħa derogi), għadhom disponibbli għal sitwazzjonijiet speċifiċi li għalihom il-leġiżlatur iddeċieda li l-bilanċ tal-interessi jippermetti trasferiment ta’ data taħt ċerti kundizzjonijiet. Fl-istess ħin, ir-riforma ċċarat u ssimplifikat ir-regoli eżistenti, pereżempju billi stipulat f’dettall il-kundizzjonijiet għal konstatazzjoni tal-adegwatezza jew ir-regoli korporattivi vinkolanti, billi llimitat ir-rekwiżiti ta’ awtorizzazzjoni għal ftit każijiet speċifiċi u billi neħħiet kompletament ir-rekwiżiti ta’ notifika. Barra minn hekk, ġew introdotti għodod ġodda ta’ trasferiment bħal kodiċijiet ta’ kondotta jew skemi ta’ ċertifikazzjoni u ġew estiżi l-possibbiltajiet għall-użu tal-istrumenti eżistenti (eż. klawżoli kuntrattwali standard).
L-ekonomija diġitali tal-lum tippermetti lil operaturi barranin jieħdu sehem (mill-bogħod iżda) direttament fis-suq intern tal-UE u jikkompetu għal klijenti Ewropej u għad-data personali tagħhom. Fejn dawn jimmiraw b’mod speċifiku lejn l-Ewropej billi joffru oġġetti jew servizzi, jew jimmonitorjaw l-imġiba tagħhom, jenħtieġ li jikkonformaw mad-dritt tal-UE bħall-operaturi tal-UE. Dan huwa rifless fl-Artikolu 3 tal-GDPR, li jestendi l-applikabbiltà diretta tar-regoli tal-UE dwar il-protezzjoni tad-data għal ċerti operazzjonijiet ta’ pproċessar tal-kontrolluri u tal-proċessuri barra mill-UE. Dan jiggarantixxi s-salvagwardji neċessarji u, barra minn hekk, kundizzjonijiet ekwi għall-kumpaniji kollha li joperaw fis-suq tal-UE.
L-applikabbiltà mifruxa tiegħu hija waħda mir-raġunijiet għaliex l-effetti tal-GDPR inħassu wkoll fi bnadi oħra tad-dinja. Għalhekk, il-gwida dettaljata maħruġa mill-Bord dwar il-kamp ta’ applikazzjoni territorjali tal-GDPR, wara konsultazzjoni pubblika komprensiva, hija importanti sabiex l-operaturi barranin ikunu megħjuna jiddeterminaw jekk l-attivitajiet ta’ pproċessar humiex soġġetti b’mod dirett għas-salvagwardji tiegħu, u f’dak il-każ liema minnhom, anki billi tipprovdi eżempji konkreti .
Madankollu, l-estensjoni tal-kamp ta’ applikazzjoni tal-liġi tal-UE dwar il-protezzjoni tad-data minnha nnifisha mhijiex biżżejjed sabiex tiggarantixxi r-rispett tagħha fil-prattika. Kif enfasizzat mill-Kunsill, huwa kruċjali li jiġu żgurati l-konformità mill-operaturi barranin, u l-infurzar effettiv kontra dawn. Il-ħatra ta’ rappreżentant fl-UE (l-Artikolu 27(1), (2) tal-GDPR) li jista’ jiġi indirizzat minn individwi u mill-awtoritajiet superviżorji minbarra jew minflok il-kumpanija responsabbli li taġixxi minn barra l-pajjiż jenħtieġ li taqdi rwol importanti f’dan ir-rigward. Dan l-approċċ, li qed jittieħed dejjem aktar f’kuntesti oħra, jenħtieġ li jiġi segwit b’aktar ħeġġa sabiex jintbagħat messaġġ ċar li n-nuqqas ta’ stabbiliment fl-UE ma jeħlisx lill-operaturi barranin mir-responsabbiltà tagħhom skont il-GDPR. Meta dawn l-operaturi jonqsu milli jissodisfaw l-obbligu tagħhom li jaħtru rappreżentant, jenħtieġ li l-awtoritajiet superviżorji jagħmlu użu mis-sett ta’ għodod sħiħ dwar l-infurzar stabbilit fl-Artikolu 58 tal-GDPR (eż. twissijiet pubbliċi, projbizzjonijiet temporanji jew definittivi fuq l-ipproċessar fl-UE, infurzar kontra kontrolluri konġunti stabbiliti fl-UE).
Finalment, huwa importanti ħafna li l-Bord jiffinalizza l-ħidma tiegħu dwar l-iċċarar ulterjuri tar-relazzjoni bejn l-Artikolu 3 dwar l-applikazzjoni diretta tal-GDPR u r-regoli dwar it-trasferimenti internazzjonali fil-Kapitolu V.
Deċiżjonijiet ta’ adegwatezza
Il-kontribut riċevut mill-partijiet ikkonċernati jikkonferma li d-deċiżjonijiet ta’ adegwatezza għadhom għodda essenzjali għall-operaturi tal-UE sabiex jittrasferixxu b’mod sikur id-data personali lil pajjiżi terzi. Dawn id-deċiżjonijiet jipprovdu l-aktar soluzzjoni komprensiva, diretta u kosteffettiva għat-trasferimenti ta’ data peress li dawn huma assimilati għal trażmissjonijiet intra-UE, u b’hekk jiżguraw il-moviment sikur u liberu ta’ data personali mingħajr kundizzjonijiet oħra jew ħtieġa ta’ awtorizzazzjoni. Għalhekk, id-deċiżjonijiet ta’ adegwatezza jiftħu kanali kummerċjali għall-operaturi tal-UE u jiffaċilitaw il-kooperazzjoni bejn l-awtoritajiet pubbliċi, filwaqt li jipprovdu aċċess privileġġjat għas-suq uniku tal-UE. Filwaqt li jibni fuq il-prattika skont id-Direttiva tal-1995, il-GDPR jippermetti b’mod espliċitu li ssir determinazzjoni tal-adegwatezza fir-rigward ta’ territorju partikolari ta’ pajjiż terz jew fir-rigward ta’ settur jew ta’ industrija speċifiku fi ħdan pajjiż terz (l-hekk imsejħa adegwatezza “parzjali”).
Il-GDPR jibni fuq l-esperjenza tas-snin tal-passat u l-kjarifiki previsti mill-Qorti tal-Ġustizzja billi jistabbilixxi katalogu dettaljat ta’ elementi li l-Kummissjoni trid tikkunsidra fil-valutazzjoni tagħha. L-istandard ta’ adegwatezza jeħtieġ livell ta’ protezzjoni li huwa komparabbli (jew “essenzjalment ekwivalenti”) għal dak żgurat fl-UE. Dan jinvolvi valutazzjoni komprensiva tas-sistema ta’ pajjiż terz fis-sħuħija tagħha, li tinkludi s-sustanza tal-protezzjonijiet tal-privatezza, l-implimentazzjoni u l-infurzar effettivi tagħhom, kif ukoll ir-regoli dwar l-aċċess għal data personali mill-awtoritajiet pubbliċi, b’mod partikolari għall-finijiet ta’ infurzar tal-liġi u ta’ sigurtà nazzjonali.
Dan huwa rifless fil-gwida adottata mill-eks Grupp ta’ Ħidma tal-Artikolu 29 (u approvata mill-Bord), b’mod partikolari l-hekk imsejħa “adegwatezza referenzjali”, li tkompli tikklassifika l-elementi li l-Kummissjoni trid tikkunsidra meta twettaq valutazzjoni tal-adegwatezza, inkluż billi tipprovdi ħarsa ġenerali lejn il-“garanziji essenzjali” għall-aċċess għal data personali mill-awtoritajiet pubbliċi. Din tal-aħħar tibni b’mod partikolari fuq il-ġurisprudenza tal-Qorti Ewropea tad-Drittijiet tal-Bniedem. Filwaqt li l-istandard ta’ “ekwivalenza essenzjali” majtinvolvix replika minn punt sa punt (“fotokopja”) tar-regoli tal-UE, peress li l-mezzi ta’ żgurar ta’ livell komparabbli ta’ protezzjoni jistgħu jvarjaw bejn sistemi ta’ privatezza differenti, li spiss jirriflettu tradizzjonijiet legali differenti, xorta waħda jeħtieġ livell b’saħħtu ta’ protezzjoni.
Dan l-istandard huwa ġġustifikat mill-fatt li deċiżjoni tal-adegwatezza essenzjalment testendi għal pajjiż terz il-benefiċċji tas-suq uniku f’termini tal-moviment liberu tad-data. Madankollu, dan ifisser ukoll li kultant se jkun hemm differenzi rilevanti bejn il-livell ta’ protezzjoni żgurat fil-pajjiż terz inkwistjoni meta mqabbel mal-GDPR li jridu jiġu solvuti, pereżempju permezz tan-negozjar ta’ salvagwardji addizzjonali. Jenħtieġ li salvagwardji bħal dawn jitqiesu minn lenti pożittiva peress li jkomplu jsaħħu l-protezzjonijiet disponibbli għall-individwi fl-UE. Fl-istess ħin, il-Kummissjoni taqbel mal-Bord dwar l-importanza tal-monitoraġġ kontinwu tal-applikazzjoni tagħhom fil-prattika, inkluż l-infurzar effettiv mill-awtorità ta’ pajjiż terz għall-protezzjoni tad-data.
Il-GDPR jiċċara li d-deċiżjonijiet ta’ adegwatezza huma “strumenti ħajjin” li jenħtieġ li jiġu monitorjati kontinwament u rieżaminati kull ċertu żmien. F’konformità ma’ dawn ir-rekwiżiti, il-Kummissjoni torganizza skambji regolari mal-awtoritajiet rilevanti sabiex tagħti segwitu proattiv għal dawn l-iżviluppi. Pereżempju, sa mill-adozzjoni tad-deċiżjoni dwar it-Tarka tal-Privatezza UE-U.S. fl-2016, il-Kummissjoni, flimkien mar-rappreżentanti mill-Bord, wettqet tliet rieżamijiet annwali sabiex tevalwa l-aspetti kollha tal-funzjonament tal-qafas. Dawn ir-rieżamijiet ibbażaw fuq l-informazzjoni miksuba permezz tal-iskambji mal-awtoritajiet tal-Istati Uniti kif ukoll fuq il-kontribut ta’ partijiet ikkonċernati oħra, bħall-awtoritajiet tal-UE għall-protezzjoni tad-data, is-soċjetà ċivili u l-assoċjazzjonijiet kummerċjali. Dawn ippermettew li jitjieb il-funzjonament prattiku ta’ diversi elementi tal-qafas. F’perspettiva usa’, ir-rieżamijiet annwali kkontribwew għall-istabbiliment ta’ djalogu aktar mifrux mal-amministrazzjoni tal-Istati Uniti dwar il-privatezza b’mod ġenerali, u l-limitazzjonijiet u s-salvagwardji fir-rigward tas-sigurtà nazzjonali b’mod partikolari.
Bħala parti mill-ewwel evalwazzjoni tagħha tal-GDPR, il-Kummissjoni hija meħtieġa wkoll tirrieżamina d-deċiżjonijiet ta’ adegwatezza adottati skont id-Direttiva tal-1995. Is-servizzi tal-Kummissjoni daħlu fi djalogu intensiv ma’ kull wieħed mill-11-il pajjiż u territorju kkonċernati sabiex tivvaluta kif is-sistemi tagħhom ta’ protezzjoni tad-data personali evolvew mindu ġiet adottata d-deċiżjoni ta’ adegwatezza u jekk jissodisfawx l-istandard stabbilit mill-GDPR. Il-ħtieġa li tiġi żgurata l-kontinwità ta’ deċiżjonijiet bħal dawn, peress li huma għodda importanti għall-kummerċ u għall-kooperazzjoni internazzjonali, hija wieħed mill-fatturi li wasslu sabiex diversi minn dawn il-pajjiżi u t-territorji jimmodernizzaw u jsaħħu l-liġijiet tagħhom dwar il-privatezza. Dawn ċertament li huma żviluppi ta’ min ifaħħarhom. Qed jiġu diskussi salvagwardji addizzjonali ma’ wħud minn dawn il-pajjiżi u t-territorji sabiex jiġu indirizzati d-differenzi rilevanti fil-protezzjoni.
Madankollu, peress li f’sentenza li se tinqata’ fis-16 ta’ Lulju l-Qorti tal-Ġustizzja tista’ tipprovdi kjarifiki li jistgħu jkunu rilevanti għal ċerti elementi tal-istandard ta’ adegwatezza, il-Kummissjoni se tirrapporta b’mod separat dwar l-evalwazzjoni tal-imsemmija 11-il deċiżjoni ta’ adegwatezza wara li l-Qorti tal-Ġustizzja qatgħet is-sentenza tagħha f’dik il-kawża.
Billi implimentat l-istrateġija stabbilita fil-Komunikazzjoni tagħha tal-2017 dwar “L-Iskambjar u l-Protezzjoni tad-Data Personali f’Dinja Globalizzata”, il-Kummissjoni daħlet ukoll fi djalogi ta’ adegwatezza ġodda. Din il-ħidma diġà rendiet riżultati sinifikanti li invokaw sħab ewlenin fl-UE. F’Jannar 2019, il-Kummissjoni adottat id-deċiżjoni ta’ adegwatezza għall-Ġappun, li hija bbażata fuq grad għoli ta’ konverġenza, inkluż permezz ta’ salvagwardji speċifiċi bħall-qasam ta’ trasferimenti ulterjuri u permezz tal-ħolqien ta’ mekkaniżmu għall-investigazzjoni u għas-soluzzjoni ta’ lmenti ta’ individwi rigward l-aċċess mill-gvern għal data personali għall-finijiet ta’ infurzar tal-liġi u ta’ sigurtà nazzjonali.
Bħala l-ewwel konstatazzjoni tal-adegwatezza adottata skont il-GDPR, il-qafas miftiehem mal-Ġappun jipprovdi preċedent siewi għal deċiżjonijiet futuri. Dan jinkludi l-fatt li kien reċiprokat min-naħa tal-Ġappun b’konstatazzjoni tal-“adegwatezza” għall-UE. Flimkien, dawn il-konstatazzjonijiet tal-adegwatezza reċiproċi joħolqu l-akbar spazju ta’ movimenti sikuri u liberi tad-data personali fid-dinja, u b’hekk jikkumplimentaw il-Ftehim ta’ Sħubija Ekonomika bejn l-UE u l-Ġappun. Fil-fatt, l-arranġament isostni madwar EUR 124 biljun f’kummerċ f’merkanzija u EUR 42,5 biljun f’kummerċ f’servizzi kull sena.
|
Il-proċess ta’ adegwatezza jinsab ukoll fi stadju avvanzat mal-Korea t’Isfel. Eżitu importanti ta’ dan huwa r-riforma leġiżlattiva riċenti tal-Korea t’Isfel li wasslet għall-istabbiliment ta’ awtorità indipendenti għall-protezzjoni tad-data mgħammra b’setgħat ta’ infurzar b’saħħithom. Dan juri kif djalogu dwar l-adegwatezza jista’ jikkontribwixxi sabiex iżid il-konverġenza bejn ir-regoli tal-UE dwar il-protezzjoni tad-data u dawk ta’ pajjiż barrani.
Il-Kummissjoni taqbel bis-sħiħ mas-sejħa mill-partijiet ikkonċernati sabiex jintensifikaw id-djalogu ma’ ċerti pajjiżi terzi fid-dawl ta’ konstatazzjonijiet possibbli ġodda tal-adegwatezza. Hija qed tesplora din il-possibbiltà b’mod attiv flimkien ma’ sħab importanti oħra fl-Asja, fl-Amerika Latina u fil-Viċinat, filwaqt li tibni fuq it-tendenza kurrenti favur konverġenza globali mtejba fl-istandards għall-protezzjoni tad-data. Pereżempju, leġiżlazzjoni komprensiva dwar il-privatezza ġiet adottata jew tinsab fi stadju avvanzat tal-proċess leġiżlattiv fl-Amerika Latina (il-Brażil, iċ-Ċilì), u qed iseħħu żviluppi promettenti fl-Asja (eż. l-Indja, l-Indoneżja, il-Malasja, is-Sri Lanka, it-Tajwan u t-Tajlandja), fl-Afrika (eż. l-Etjopja, il-Kenja) kif ukoll fil-Viċinat tal-Lvant u tan-Nofsinhar tal-Ewropa (eż. il-Georgia, it-Tuneżija). Fejn possibbli, il-Kummissjoni se taħdem favur il-kisba ta’ deċiżjonijiet komprensivi ta’ adegwatezza li jkopru s-settur kemm privat kif ukoll pubbliku.
Barra minn hekk, il-GDPR introduċa wkoll il-possibbiltà li l-Kummissjoni tadotta konstatazzjonijiet tal-adegwatezza għal organizzazzjonijiet internazzjonali. Fi żmien li fih l-organizzazzjonijiet internazzjonali qed jimmodernizzaw ir-reġimi tagħhom dwar il-protezzjoni tad-data billi jimplimentaw regoli komprensivi, kif ukoll mekkaniżmi li jipprovdu sorveljanza u rimedju indipendenti, dan il-perkors jista’ jiġi esplorat għall-ewwel darba.
L-adegwatezza taqdi wkoll rwol importanti fil-kuntest tar-relazzjoni mar-Renju Unit wara Brexit, dment li jiġu ssodisfati l-kundizzjonijiet applikabbli. Din tikkostitwixxi fattur abilitanti għall-kummerċ, inkluż għall-kummerċ diġitali, u prerekwiżit essenzjali għal kooperazzjoni msaħħa u ambizzjuża fil-qasam tal-infurzar tal-liġi u tas-sigurtà. Barra minn hekk, fid-dawl tas-sinifikat tal-movimenti tad-data mar-Renju Unit u tal-qrubija tiegħu għas-suq tal-UE, grad għoli ta’ konverġenza bejn ir-regoli dwar il-protezzjoni tad-data fuq iż-żewġ naħat tal-Kanal huwa element importanti għall-iżgurar ta’ kundizzjonijiet ekwi. F’konformità mad-Dikjarazzjoni Politika dwar ir-Relazzjoni Futura bejn l-UE u r-Renju Unit, bħalissa l-Kummissjoni qed twettaq valutazzjoni tal-adegwatezza skont kemm il-GDPR kif ukoll id-Direttiva dwar l-Infurzar tal-Liġi. Fid-dawl tan-natura awtonoma u unilaterali ta’ valutazzjoni dwar l-adegwatezza, dawn it-taħditiet isegwu perkors separat min-negozjati dwar ftehim dwar ir-relazzjoni futura bejn l-UE u r-Renju Unit.
|
Finalment, il-Kummissjoni tilqa’ l-fatt li pajjiżi oħra qed jimplimentaw mekkaniżmi ta’ trasferiment tad-data simili għal konstatazzjoni tal-adegwatezza. B’dan il-mod, spiss dawn jagħrfu lill-UE u lill-pajjiżi li għalihom il-Kummissjoni adottat deċiżjoni ta’ adegwatezza, bħala destinazzjonijiet sikuri għat-trasferimenti. In-numru dejjem akbar ta’ pajjiżi li jibbenefikaw minn deċiżjonijiet ta’ adegwatezza tal-UE, minn naħa, u din il-forma ta’ rikonoxximent minn pajjiżi oħra, min-naħa l-oħra, għandu l-potenzjal li joħloq network ta’ pajjiżi fejn id-data tista’ tiċċaqlaq b’mod liberu u sikur. Il-Kummissjoni tqis li dan huwa żvilupp ta’ min ifaħħru li se jkompli jżid il-benefiċċji ta’ deċiżjoni ta’ adegwatezza għall-pajjiżi terzi u jikkontribwixxi għall-konverġenza globali. Dan it-tip ta’ sinerġiji jista’ jikkontribwixxi b’mod utli wkoll għall-iżvilupp ta’ oqfsa għall-moviment sikur u liberu ta’ data, bħal fil-kuntest tal-inizjattiva “moviment liberu tad-data b’fiduċja” (ara aktar ’il quddiem).
Salvagwardji xierqa
Il-GDPR jipprovdi għal numru ta’ strumenti oħra ta’ trasferiment lil hinn mis-soluzzjoni komprensiva għal konstatazzjoni tal-adegwatezza. Il-flessibbiltà ta’ dan is-“sett ta’ għodod” tintwera bl-Artikolu 46 tal-GDPR, li jirregola t-trasferimenti ta’ data fuq il-bażi ta’ “salvagwardji xierqa”, inklużi d-drittijiet infurzabbli tas-suġġetti tad-data u rimedji legali effettivi. Sabiex jiggarantixxu salvagwardji xierqa, hemm strumenti differenti disponibbli sabiex jaħsbu għall-ħtiġijiet ta’ trasferiment kemm tal-operaturi kummerċjali kif ukoll tal-korpi pubbliċi.
·Klawżoli kuntrattwali standard (SCCs)
L-ewwel grupp ta’ dawn l-istrumenti jikkonċerna għodod kuntrattwali, li jistgħu jkunu jew imfassla apposta, klawżoli ad hoc ta’ protezzjoni tad-data miftiehma bejn esportatur tad-data fl-UE u importatur tad-data barra mill-UE awtorizzat mill-awtorità kompetenti għall-protezzjoni tad-data (l-Artikolu 46(3)(a) tal-GDPR) jew klawżoli mudell approvati minn qabel mill-Kummissjoni (l-Artikolu 46(2)(c), (d) tal-GDPR). L-aktar importanti minn fost dawn l-istrumenti huma l-hekk imsejħa klawżoli kuntrattwali standard (SCCs), jiġifieri klawżoli mudell ta’ protezzjoni tad-data li l-esportatur tad-data u l-importatur tad-data jistgħu jinkorporaw fl-arranġamenti kuntrattwali tagħhom (eż. kuntratt ta’ servizz li jeħtieġ it-trasferiment ta’ data personali) fuq bażi volontarja u li stabbilew ir-rekwiżiti relatati mas-salvagwardji xierqa.
L-SCCs jirrappreżentaw bil-bosta l-aktar mekkaniżmu użat għat-trasferiment tad-data. Eluf ta’ kumpaniji tal-UE jibbażaw fuq l-SCCs sabiex jipprovdu firxa wiesgħa ta’ servizzi lill-klijenti, lill-fornituri, lis-sħab u lill-impjegati tagħhom, inklużi servizzi essenzjali għall-funzjonament tal-ekonomija. L-użu mifrux tagħhom jindika li huma tassew siewja għan-negozji fl-isforzi ta’ konformità tagħhom u ta’ benefiċċju partikolari għal kumpaniji li ma għandhomx ir-riżorsi sabiex jinnegozjaw kuntratti individwali ma’ kull wieħed mis-sħab kummerċjali tagħhom. Permezz tal-istandardizzazzjoni u tal-approvazzjoni minn qabel tagħhom, l-SCCs jipprovdu lill-kumpaniji b’għodda faċli sabiex tiġi implimentata bl-għan li jissodisfaw ir-rekwiżiti ta’ protezzjoni tad-data f’kuntest ta’ trasferiment.
Is-settijiet eżistenti ta’ SCCs ġew adottati u approvati fuq il-bażi tad-Direttiva tal-1995. Dawn l-SCCs jibqgħu fis-seħħ sakemm jiġu emendati, issostitwiti jew irrevokati, jekk ikun hemm bżonn permezz ta’ deċiżjoni tal-Kummissjoni (l-Artikolu 46(5) tal-GDPR). Il-GDPR jespandi l-possibbiltajiet li jintużaw l-SCCs kemm fi ħdan l-UE u wkoll għat-trasferimenti internazzjonali. Il-Kummissjoni qed taħdem mal-partijiet ikkonċernati sabiex jagħmlu użu minn dawn il-possibbiltajiet u sabiex jaġġornaw il-klawżoli eżistenti. Sabiex tiżgura li t-tfassil futur tal-SCCs ikun idoneu għall-iskop fil-mira, il-Kummissjoni kienet qed tiġbor feedback dwar l-esperjenzi tal-partijiet ikkonċernati bl-SCCs, permezz tal-“Grupp ta’ Diversi Partijiet Ikkonċernati dwar il-GDPR” u workshop iddedikat li sar f’Settembru 2019, iżda anki permezz ta’ diversi kuntatti ma’ kumpanji li jużaw l-SCCs kif ukoll ma’ organizzazzjonijiet tas-soċjetà ċivili. Il-Bord qed jaġġorna wkoll numru ta’ linji gwida li jistgħu jkunu rilevanti għar-rieżami tal-SCCs, pereżempju dwar il-kunċetti ta’ kontrollur u ta’ proċessur.
Billi jibnu fuq il-feedback riċevut, is-servizzi tal-Kummissjoni bħalissa qed jaħdmu fuq ir-reviżjoni tal-SCCs. F’dak il-kuntest, ġew identifikati diversi oqsma fejn jista’ jsir titjib, b’mod partikolari fir-rigward tal-aspetti li ġejjin:
1.L-aġġornar tal-SCCs fid-dawl tar-rekwiżiti l-ġodda introdotti mill-GDPR, bħal dawk li jikkonċernaw ir-relazzjoni kontrollur-proċessur skont l-Artikolu 28 tal-GDPR (b’mod partikolari l-obbligi tal-proċessur), l-obbligi ta’ trasparenza tal-importatur tad-data (f’termini tal-informazzjoni neċessarja li jrid jipprovdi lis-suġġett tad-data), eċċ.
2.L-indirizzar ta’ numru ta’ xenarji ta’ trasferiment li mhumiex koperti mill-SCCs kurrenti, bħat-trasferiment ta’ data minn proċessur fl-UE lil (sub)proċessur mhux fl-UE, iżda anki pereżempju sitwazzjonijiet li fihom il-kontrollur ikun jinsab barra mill-UE.
3.Ir-riflessjoni aħjar tar-realtajiet tal-operazzjonijiet ta’ pproċessar fl-ekonomija diġitali moderna, fejn it-tali operazzjonijiet spiss jinvolvu diversi importaturi u esportaturi tad-data, ktajjen ta’ pproċessar twal u spiss kumplessi, relazzjonijiet kummerċjali li jevolvu, eċċ. Sabiex ikunu koperti sitwazzjonijiet bħal dawn, qed jiġu esplorati sitwazzjonijiet li jinkludu, pereżempju, il-possibbiltà li l-SCCs ikunu jistgħu jiġu ffirmati minn diversi partijiet jew l-adeżjoni ta’ partijiet ġodda tul id-durata sħiħa tal-kuntratt.
Fl-indirizzar ta’ dawn il-punti, il-Kummissjoni qed tikkunsidra wkoll modi kif tagħmel l-“arkitettura” kurrenti tal-SCCs aktar faċli għall-utenti, pereżempju billi tissostitwixxi diversi settijiet ta’ SCCs b’dokument komprensiv wieħed. L-isfida hija li jinstab bilanċ tajjeb bejn il-ħtieġa għal ċarezza u ċertu grad ta’ standardizzazzjoni, minn naħa, u l-flessibbiltà meħtieġa li se tippermetti li l-klawżoli jintużaw minn numru ta’ operaturi b’rekwiżiti differenti, f’kuntesti differenti u għal tipi differenti ta’ trasferimenti, min-naħa l-oħra.
Aspett importanti ieħor li jrid jiġi kkunsidrat huwa l-ħtieġa possibbli, fid-dawl tal-litigazzjoni kurrenti quddiem il-Qorti tal-Ġustizzja, sabiex ikomplu jiġu ċċarati s-salvagwardji fir-rigward tal-aċċess mill-awtoritajiet pubbliċi barranin għad-data ttrasferita fuq il-bażi tal-SCCs, b’mod partikolari għal skopijiet ta’ sigurtà nazzjonali. Dan jista’ jinkludi l-ħtieġa li l-importatur tad-data jew l-esportatur tad-data, jew it-tnejn li huma, jieħdu azzjoni, u li jiġi ċċarat ir-rwol tal-awtoritajiet għall-protezzjoni tad-data f’dak il-kuntest. Għad li r-reviżjoni tal-SCCs tinsab fi stadju avvanzat ferm, se jkun hemm bżonn li nistennew is-sentenza tal-Qorti sabiex dawn ikunu jirriflettu kwalunkwe rekwiżit addizzjonali possibbli fil-klawżoli riveduti, qabel ma abbozz ta’ deċiżjoni dwar sett ġdid ta’ SCCs ikun jista’ jiġi sottomess lill-Bord għall-opinjoni tiegħu u, imbagħad, propost għall-adozzjoni permezz tal-“proċedura ta’ kumitat”.
B’mod parallel, il-Kummissjoni daħlet f’kuntatt ma’ sħab internazzjonali li qed jiżviluppaw għodod simili. Dan id-djalogu, li jippermetti li jsir skambju tal-esperjenzi u tal-aħjar prattiki, jista’ jikkontribwixxi b’mod sinifikanti għall-iżvilupp ulterjuri tal-konverġenza “fil-prattika”, u b’dan il-mod jiffaċilita l-konformità mar-regoli dwar it-trasferimenti transfruntiera għal kumpaniji li joperaw f’reġjuni differenti tad-dinja.
·Ir-Regoli korporattivi vinkolanti (BCRs)
Strument importanti ieħor huwa l-hekk imsejħa regoli korporattivi vinkolanti (BCRs). Dawn huma politiki u arranġamenti legalment vinkolanti li japplikaw għall-membri ta’ grupp korporattiv, inklużi l-impjegati tiegħu (l-Artikoli 46(2)(b), 47 tal-GDPR). L-użu tal-BCRs jippermetti li data personali timxi liberament fost id-diversi membri tal-grupp madwar id-dinja – u b’hekk jiffranka l-bżonn li jkun hemm arranġamenti kuntrattwali bejn kull entità korporattiva individwali – filwaqt li jiġi żgurat li l-istess livell għoli ta’ protezzjoni tad-data personali jiġi rrispettat fi ħdan il-grupp kollu. Dawn joffru soluzzjoni partikolarment tajba għal gruppi korporattivi kumplessi u kbar u għall-kooperazzjoni msaħħa bejn intrapriżi li jiskambjaw data bejn diversi ġurisdizzjonijiet. Għall-kuntrarju tad-Direttiva tal-1995, skont il-GDPR il-BCRs jistgħu jintużaw minn grupp ta’ intrapriżi involuti f’attività ekonomika konġunta iżda li ma jagħmlux parti mill-istess grupp korporattiv.
Proċeduralment, il-BCRs iridu jiġu approvati mill-awtoritajiet kompetenti għall-protezzjoni tad-data, fuq il-bażi ta’ opinjoni mhux vinkolanti mill-Bord. Sabiex jiggwida dan il-proċess, il-Bord irrieżamina r-“referenzjali” tal-BCRs (li jistabbilixxu l-istandards sostantivi) għall-kontrolluri u għall-proċessuri fid-dawl tal-GDPR, u qed ikompli jaġġorna dawn id-dokumenti fuq il-bażi tal-esperjenza prattika miksuba mill-awtoritajiet superviżorji. Huwa adotta wkoll diversi dokumenti ta’ gwida sabiex jgħin lill-applikanti, u jissimplifika l-proċess ta’ applikazzjoni u ta’ approvazzjoni għall-BCRs. Skont il-Bord, bħalissa hemm aktar minn 40 BCR fil-proċess li jiġu approvati, u nofshom huma mistennija jiġu approvati sal-aħħar tal-2020. Importanti li l-awtoritajiet għall-protezzjoni tad-data jkomplu jaħdmu fuq is-simplifikazzjoni ulterjuri tal-proċess ta’ approvazzjoni, peress li t-tali ta’ dawn il-proċeduri spiss jissemma mill-partijiet ikkonċernati bħala ostaklu prattiku għall-użu aktar mifrux tal-BCRs.
Finalment, speċifikament fir-rigward tal-BCRs approvati mill-awtorità tar-Renju Unit għall-protezzjoni tad-data – l-Information Commissioner Office – il-kumpaniji se jkunu jistgħu jkomplu jużawhom bħala mekkaniżmu validu ta’ trasferiment skont il-GDPR wara li jintemm il-perjodu ta’ tranżizzjoni skont il-Ftehim tal-UE u tar-Renju Unit dwar il-Ħruġ , iżda biss jekk jiġu emendati b’tali mod li kwalunkwe konnessjoni mal-ordinament ġuridiku tar-Renju Unit tiġi ssostitwita b’referenzi xierqa għal entitajiet korporattivi u għal entitajiet kompetenti fi ħdan l-UE. L-approvazzjoni ta’ kwalunkwe BCR ġdida jenħtieġ li titfittex mingħand waħda mill-awtoritajiet superviżorji fl-UE.
·Il-mekkaniżmi ta’ ċertifikazzjoni u l-kodiċijiet ta’ kondotta
Minbarra l-modernizzazzjoni u t-twessigħ tal-applikazzjoni tal-għodod diġà eżistenti ta’ trasferiment, il-GDPR introduċa strumenti ġodda, u b’hekk espanda l-possibbiltajiet għal trasferimenti internazzjonali. Dan jinkludi l-użu, taħt ċerti kundizzjonijiet, ta’ kodiċijiet ta’ kondotta u ta’ mekkaniżmi ta’ ċertifikazzjoni approvati (bħal siġilli jew marki ta’ privatezza) għall-iżgurar ta’ salvagwardji xierqa. Dawn huma għodod minn isfel għal fuq għal soluzzjonijiet imfassla apposta – bħala mekkaniżmu ta’ responsabbiltà ġenerali (ara l-Artikoli minn 40 sa 42 tal-GDPR) u, speċifikament, għal trasferimenti internazzjonali ta’ data – li jirriflettu, pereżempju, il-karatteristiċi u l-ħtiġijiet speċifiċi ta’ ċerti settur jew industrija, jew ta’ movimenti partikolari tad-data. Billi jikkalibraw l-obbligi mar-riskji, il-Kodiċijiet ta’ Kondotta jistgħu wkoll ikunu mod utli u kosteffettiv ħafna għall-intrapriżi żgħar u medji sabiex jissodisfaw l-obbligi tagħhom relatati mal-GDPR.
Fir-rigward tal-mekkaniżmi ta’ ċertifikazzjoni, għad li l-Bord adotta linji gwida sabiex irawwem l-użu tagħhom fi ħdan l-UE, il-ħidma tiegħu fuq l-iżvilupp ta’ kriterji għall-approvazzjoni ta’ mekkaniżmi ta’ ċertifikazzjoni bħala għodod għat-trasferimenti internazzjonali għadha għaddejja. L-istess japplika għall-kodiċijiet ta’ kondotta, li fir-rigward tagħhom il-Bord bħalissa qed jaħdem fuq linji gwida sabiex jintużaw bħala għodda għat-trasferimenti.
Fid-dawl tal-fatt li huwa importanti li l-operaturi jiġu pprovduti b’firxa wiesgħa ta’ strumenti għat-trasferimenti li jkunu adattati għall-ħtiġijiet tagħhom, u minħabba l-potenzjal li għandhom b’mod partikolari l-mekkaniżmi ta’ ċertifikazzjoni sabiex jiffaċilitaw it-trasferimenti tad-data filwaqt li jiżguraw livell għoli ta’ protezzjoni tad-data, il-Kummissjoni teżiġi li l-Bord jiffinalizza mill-aktar fis possibbli l-gwida tiegħu f’dan ir-rigward. Dan jikkonċerna kemm aspetti sostantivi (kriterji) u kif ukoll proċedurali (approvazzjoni, monitoraġġ, eċċ.). Il-partijiet ikkonċernati esprimew interess kbir f’dawn il-mekkaniżmi ta’ trasferiment u jenħtieġ li jkunu jistgħu jagħmlu użu sħiħ mis-sett ta’ għodod tal-GDPR. Il-linji gwida tal-Bord jikkontribwixxu wkoll għall-promozzjoni tal-mudell tal-UE għall-protezzjoni tad-data f’livell globali u jkattru l-konverġenza peress li sistemi oħra tal-privatezza qed jużaw strumenti simili.
Jistgħu jittieħdu tagħlimiet siewja minn sforzi eżistenti ta’ standardizzazzjoni fil-qasam tal-privatezza, kemm fil-livell Ewropew kif ukoll internazzjonali. Eżempju interessanti minnhom huwa l-istandard internazzjonali maħruġ riċentement ISO 27701, li għandu l-għan li jgħin lin-negozji jissodisfaw ir-rekwiżiti dwar il-privatezza u jimmaniġġjaw ir-riskji relatati mal-ipproċessar tad-data personali permezz tas-“sistemi ta’ ġestjoni tal-informazzjoni tal-privatezza”. Għad li ċ-ċertifikazzjoni skont l-istandard minnha nnifisha ma tissodisfax ir-rekwiżiti tal-Artikoli 42 u 43 tal-GDPR, l-applikazzjoni tas-Sistemi ta’ Ġestjoni tal-Informazzjoni tal-Privatezza tista’ tikkontribwixxi għar-responsabbiltà, anki fil-kuntest ta’ trasferimenti internazzjonali tad-data.
·Ftehimiet internazzjonali u arranġamenti amministrattivi
Il-GDPR jagħmilha wkoll possibbli li jiġu żgurati salvagwardji xierqa għat-trasferimenti ta’ data bejn l-awtoritajiet jew il-korpi pubbliċi fuq il-bażi ta’ ftehimiet internazzjonali (l-Artikolu 46(2)(a)) jew ta’ arranġamenti amministrattivi (l-Artikolu 46(3)(b)). Filwaqt li ż-żewġ strumenti jridu jiggarantixxu l-istess eżitu f’termini ta’ salvagwardji, inklużi drittijiet eżegwibbli tas-suġġetti tad-data u rimedji legali effettivi, dawn ivarjaw fir-rigward tan-natura legali u tal-proċedura ta’ adozzjoni tagħhom.
Għall-kuntrarju tal-ftehimiet internazzjonali, li joħolqu obbligi vinkolanti skont id-dritt internazzjonali, l-arranġamenti amministrattivi (eż. fil-forma ta’ Memorandum ta’ Qbil) tipikament ma jkunux vinkolanti u, għalhekk, jeħtieġu awtorizzazzjoni minn qabel mill-awtorità kompetenti għall-protezzjoni tad-data (ara wkoll il-Premessa 108 tal-GDPR). Eżempju bikri minnhom jikkonċerna l-arranġament amministrattiv għat-trasferiment ta’ data personali bejn superviżuri finanzjarji fiż-ŻEE u mhux fiż-ŻEE li jikkooperaw taħt il-kappa tal-Organizzazzjoni Internazzjonali tal-Kummissjonijiet tat-Titoli (IOSCO), li l-Bord ħareġ Opinjoni dwaru kmieni fl-2019. Minn dak iż-żmien, il-Bord kompla jiżviluppa l-interpretazzjoni tiegħu tas-“salvagwardji minimi” li l-ftehimiet internazzjonali (ta’ kooperazzjoni) u l-arranġamenti amministrattivi bejn l-awtoritajiet jew il-korpi pubbliċi (li jinkludu organizzazzjonijiet internazzjonali) iridu jiżguraw li jikkonformaw mar-rekwiżiti tal-Artikolu 46 tal-GDPR. Fit-18 ta’ Jannar 2020, huwa adotta l-abbozz ta’ linji gwida, u b’hekk indirizza t-talba tal-Istati Membri għal kjarifika u għal gwida ulterjuri dwar x’jista’ jitqies bħala salvagwardji xierqa għat-trasferimenti bejn l-awtoritajiet pubbliċi. Il-Bord jirrakkomanda b’ħeġġa li l-awtoritajiet pubbliċi jużaw dawn il-linji gwida bħala punt ta’ riferiment għan-negozjati tagħhom ma’ partijiet terzi.
Il-linji gwida juru l-flessibbiltà fit-tfassil tat-tali strumenti, inkluż f’aspetti importanti bħas-sorveljanza u r-rimedju. Jenħtieġ li dan jippermetti lill-awtoritajiet pubbliċi jegħlbu d-diffikultajiet, pereżempju, fl-iżgurar tad-drittijiet infurzabbli tas-suġġetti tad-data permezz ta’ arranġamenti mhux vinkolanti. Element importanti ta’ dawn l-arranġamenti huwa l-monitoraġġ kontinwu tagħhom mill-awtorità kompetenti għall-protezzjoni tad-data – sostnuta mir-rekwiżiti ta’ informazzjoni u ta’ żamma ta’ rekords – u s-sospensjoni tal-movimenti tad-data jekk fil-prattika ma jkunux jistgħu jibqgħu jiġu żgurati salvagwardji xierqa.
Derogi
Finalment, il-GDPR jiċċara l-użu tal-hekk imsejħa “derogi”. Dawn huma raġunijiet speċifiċi għat-trasferimenti ta’ data (eż. kunsens espliċitu, eżekuzzjoni ta’ kuntratt jew raġunijiet importanti ta’ interess pubbliku) rikonoxxuti bil-liġi, u li l-entitajiet jistgħu jibbażaw fuqhom fin-nuqqas ta’ għodod oħra għat-trasferiment u taħt ċerti kundizzjonijiet.
Sabiex jiġi ċċarat l-użu ta’ tali raġunijiet statutorji, il-Bord ħareġ gwida speċifika u interpreta l-Artikolu 49 f’numru ta’ każijiet fir-rigward ta’ xenarji speċifiċi ta’ trasferiment. Minħabba l-karattru eċċezzjonali tagħhom, il-Bord iqis li d-derogi jridu jiġu interpretati b’mod restrittiv, skont il-każ. Minkejja l-implimentazzjoni stretta tagħhom, dawn ir-raġunijiet ikopru firxa wiesgħa ta’ xenarji ta’ trasferiment. Dan jinkludi b’mod partikolari t-trasferimenti tad-data minn awtoritajiet kemm pubbliċi kif ukoll privati neċessarji għal “raġunijiet importanti ta’ interess pubbliku”, pereżempju bejn l-awtoritajiet tal-kompetizzjoni, finanzjarji, tat-taxxa jew tad-dwana, is-servizzi kompetenti għal materji relatati mas-sigurtà soċjali jew mas-saħħa pubblika (bħal fil-każ ta’ traċċar tal-kuntatti għal mard li jittieħed jew sabiex jiġi eliminat id-doping fl-isport). Qasam ieħor huwa dak tal-kooperazzjoni transfruntiera għall-finijiet ta’ infurzar tal-liġi kriminali, b’mod partikolari rigward il-kriminalità serja.
Il-Bord iċċara li, għad li l-interess pubbliku rilevanti jrid ikun rikonoxxut fid-dritt tal-UE jew tal-Istat Membru, dan jista’ jiġi stabbilit ukoll fuq il-bażi ta’ “ftehim jew konvenzjoni internazzjonali li tirrikonoxxi objettiv partikolari u tipprevedi l- kooperazzjoni internazzjonali sabiex jitrawwem dak l-objettiv tista’ tkun indikatur meta tiġi vvalutata l-eżistenza ta’ interess pubbliku skont l-Artikolu 49(1)(d), sakemm l-UE jew l-Istati Membri jkunu parti f’dak il-ftehim jew f’dik il-konvenzjoni”.
Deċiżjonijiet minn qrati jew minn awtoritajiet barranin: mhux raġuni għal trasferimenti
Minbarra li jistabbilixxi b’mod pożittiv il-bażijiet għat-trasferimenti tad-data, il-Kapitolu V tal-GDPR jiċċara wkoll, fl-Artikolu 48 tiegħu, li l-ordnijiet mill-qrati u d-deċiżjonijiet tal-awtoritajiet amministrattivi barra mill-UE nfushom ma jipprovdux bażijiet bħal dawn, sakemm ma jkunux rikonoxxuti jew magħmula eżegwibbli abbażi ta’ ftehim internazzjonali (eż. Trattat dwar l-Assistenza Legali Reċiproka). Kwalunkwe divulgazzjoni mill-entità rikjesta fl-UE lill-qorti jew lill-awtorità barranija bħala tweġiba għal ordni jew għal deċiżjoni bħal din tikkostitwixxi trasferiment internazzjonali tad-data li jeħtieġ li jkun ibbażat fuq wieħed mill-istrumenti msemmija għat-trasferimenti.
Il-GDPR ma jikkostitwixxix “statut ta’ mblukkar” u, f’ċerti kundizzjonijiet, jippermetti trasferiment bħala tweġiba għal talba xierqa għall-infurzar tal-liġi minn pajjiż terz. Il-punt importanti huwa li huwa d-dritt tal-UE li jenħtieġ li jiddetermina jekk dan ikunx il-każ u u fuq il-bażi ta' liema salvagwardji jistgħu jseħħu trasferimenti bħal dawn.
Il-Kummissjoni spjegat il-funzjonament tal-Artikolu 48 tal-GDPR, inkluża d-dipendenza possibbli fuq id-deroga għal interess pubbliku, fil-kuntest ta’ ordni ta’ produzzjoni (mandat) minn awtorità barranija għall-infurzar tal-liġi kriminali fil-kawża Microsoft quddiem il-Qorti Suprema tal-Istati Uniti. Fis-sottomissjoni tagħha, il-Kummissjoni saħqet fuq l-interess tal-UE fl-iżgurar li l-kooperazzjoni fl-infurzar tal-liġi sseħħ “fi ħdan qafas legali li jevita kunflitti tal-liġi, u jkun ibbażat fuq […] ir-rispett għall-interessi fundamentali ta’ xulxin kemm fil-privatezza kif ukoll fl-infurzar tal-liġi”. B’mod partikolari, “mill-perspettiva tad-dritt internazzjonali pubbliku, meta awtorità pubblika tkun teħtieġ li kumpanija stabbilita fil-ġurisdizzjoni tagħha stess tipproduċi d-data elettronika maħżuna fuq server f’ġurisdizzjoni barranija, ikunu japplikaw il-prinċipji ta’ territorjalità u ta’ korteżija skont id-dritt internazzjonali pubbliku”.
Dan huwa rifless ukoll fil-proposta tal-Kummissjoni għal Regolament dwar l-Ordnijiet ta’ Produzzjoni u ta’ Preżervazzjoni Ewropej għall-evidenza elettronika f’materji kriminali, li fih “klawżola ta’ korteżija” li tagħmilha possibbli li titqajjem oġġezzjoni kontra ordni ta’ produzzjoni jekk il-konformità tkun f’kunflitt mal-liġijiet ta’ pajjiż terz li jipprojbixxu d-divulgazzjoni, b’mod partikolari fuq il-bażi li jkun hemm bżonn li jkunu protetti d-drittijiet fundamentali tal-individwi kkonċernati.
|
L-iżgurar tal-korteżija huwa importanti, peress li l-infurzar tal-liġi – bħall-kriminalità u b’mod partikolari ċ-ċiberkriminalità – qed isir dejjem aktar transfruntier u, b’hekk, spiss iqajjem domandi ġurisdizzjonali u joħloq kunflitti tal-liġi potenzjali. Mhuwiex sorprendenti li l-aħjar mod kif jiġu indirizzati dawn il-kwistjonijiet huwa permezz ta’ ftehimiet internazzjonali li jipprovdu għal-limitazzjonijiet u għas-salvagwardji neċessarji għall-aċċess transfruntier għad-data personali, inkluż billi jiġi żgurat livell għoli ta’ protezzjoni tad-data min-naħa tal-awtorità rikjedenti.
Il-Kummissjoni, filwaqt li taġixxi f’isem l-UE, bħalissa hija involuta f’negozjati multilaterali għat-Tieni Protokoll Addizzjonali għall-Konvenzjoni (“ta’ Budapest”) tal-Kunsill tal-Ewropa dwar iċ-Ċiberkriminalità, li għandu l-għan li jsaħħaħ ir-regoli eżistenti sabiex jinkiseb aċċess transfruntier għall-evidenza elettronika f’investigazzjonijiet kriminali filwaqt li jiġu żgurati salvagwardji xierqa għall-protezzjoni tad-data bħala parti mill-Protokoll. B’mod simili, bdew negozjati bilaterali fuq ftehim bejn l-UE u l-Istati Uniti dwar l-aċċess transfruntier għall-evidenza elettronika għall-kooperazzjoni ġudizzjarja f’materji kriminali. Il-Kummissjoni tistrieħ fuq l-appoġġ tal-Parlament Ewropew u tal-Kunsill, u fuq il-gwida tal-EDPB, matul dawn in-negozjati.
B’mod aktar ġenerali, huwa importanti li jiġi żgurat li meta l-kumpaniji attivi fis-suq Ewropew jintalbu, fuq il-bażi ta’ talba leġittima, jaqsmu data għall-finijiet ta’ infurzar tal-liġi, huma jkunu jistgħu jagħmlu dan mingħajr ma jaffaċċjaw kunflitti tal-liġi u b’rispett sħiħ tad-drittijiet fundamentali tal-UE. Sabiex ittejjeb trasferimenti bħal dawn, il-Kummissjoni ħadet impenn li tiżviluppa oqfsa legali xierqa mas-sħab internazzjonali tagħha sabiex jiġu evitati kunflitti tal-liġi u jkunu sostnuti forom effettivi ta’ kooperazzjoni, b’mod partikolari billi jiġu pprovduti s-salvagwardji neċessarji għall-protezzjoni tad-data, u b’hekk jingħata kontribut għal ġlieda aktar effettiva kontra l-kriminalità.
7.3Il-kooperazzjoni internazzjonali fil-qasam tal-protezzjoni tad-data
It-trawwim tal-konverġenza bejn sistemi differenti tal-privatezza jfisser ukoll tagħlim minn xulxin, permezz tal-iskambju ta’ għarfien, ta’ esperjenza u tal-aħjar prattiki. Skambji bħal dawn huma neċessarji sabiex jiġu indirizzati sfidi ġodda li qed isiru dejjem aktar globali fin-natura u fl-ambitu tagħhom. Din hija r-raġuni għaliex il-Kummissjoni intensifikat id-djalogu tagħha dwar il-protezzjoni tad-data u l-movimenti tad-data ma’ firxa wiesgħa ta’ atturi u f’fora differenti, f’livell bilaterali, reġjonali u multilaterali.
Id-dimensjoni bilaterali
Wara l-adozzjoni tal-GDPR, kien hemm interess dejjem akbar fl-esperjenza tal-UE fit-tfassil, fin-negozjar u fl-implimentazzjoni tar-regoli moderni dwar il-privatezza. Id-djalogu ma’ pajjiżi li għaddejjin minn proċessi simili seħħ f’diversi forom.
Is-servizzi tal-Kummissjoni għamlu sottomissjonijiet f’numru ta’ konsultazzjonijiet pubbliċi organizzati minn gvernijiet barranin b’kunsiderazzjoni tal-leġiżlazzjoni fil-qasam tal-privatezza, pereżempju mill-Istati Uniti, mill-Indja, mill-Malasja u mill-Etjopja. F’xi pajjiżi terzi, is-servizzi tal-Kummissjoni kellhom il-privileġġ li jixhdu quddiem korpi parlamentari kompetenti, pereżempju fil-Brażil, fiċ-Ċilì, fl-Ekwador u fit-Tuneżija.
Barra minn hekk, fi ħdan il-kuntest tar-riformi kurrenti tal-liġijiet dwar il-protezzjoni tad-data, saru laqgħat iddedikati ma’ rappreżentanti tal-gvern jew ma’ delegazzjonijiet parlamentari minn ħafna reġjuni minn madwar id-dinja (eż. il-Georgia, il-Kenja, it-Tajwan, it-Tajlandja, il-Marokk). Dan inkluda l-organizzazzjoni ta’ seminars u ta’ żjarat ta’ studju, pereżempju ma’ rappreżentanti tal-gvern tal-Indoneżja u ma’ delegazzjoni ta’ membri tal-persunal mill-Kungress tal-Istati Uniti. Dan ipprovda opportunitajiet sabiex jiġu ċċarati kunċetti importanti tal-GDPR, jittejjeb il-fehim reċiproku dwar kwistjonijiet relatati mal-privatezza u jintwerew il-benefiċċji tal-konverġenza għall-iżgurar ta’ livell għoli ta’ protezzjoni tad-drittijiet individwali, tal-kummerċ u tal-kooperazzjoni. F’xi każijiet, dan ippermetta wkoll li jinħarġu twissijiet kontra ċerti ideat żbaljati relatati mal-protezzjoni tad-data li jistgħu jwasslu għall-introduzzjoni ta’ miżuri protezzjonisti bħal rekwiżiti ta’ lokalizzazzjoni obbligatorja.
Mindu ġie adottat il-GDPR, il-Kummissjoni daħlet ukoll f’kuntatt ma’ diversi organizzazzjonijiet internazzjonali, inkluż fid-dawl tal-importanza tal-iskambji tad-data ma’ dawk l-organizzazzjonijiet f’numru ta’ oqsma ta’ politika. B’mod partikolari, ġie stabbilit djalogu partikolari man-Nazzjonijiet Uniti, bl-għan li jiġu ffaċilitati d-diskussjonijiet mal-partijiet ikkonċernati involuti kollha sabiex jiġu żgurati trasferimenti mingħajr intoppi tad-data u tiġi żviluppata konverġenza ulterjuri bejn ir-reġimi rispettivi ta’ protezzjoni tad-data. Bħala parti minn dan id-djalogu, il-Kummissjoni se taħdem mill-qrib mal-EDPB sabiex tkompli tiċċara kif l-operaturi pubbliċi u privati tal-UE jistgħu jikkonformaw mal-obbligi tal-GDPR tagħhom meta jiskambjaw data ma’ organizzazzjoni internazzjonali bħan-NU.
Il-Kummissjoni hija lesta li tkompli taqsam it-tagħlimiet meħuda mill-proċess ta’ riforma tagħha mal-pajjiżi interessati u mal-organizzazzjonijiet internazzjonali, bl-istess mod kif hija tgħallmet minn sistemi oħra meta żviluppat il-proposta tagħha għal regoli ġodda tal-UE dwar il-protezzjoni tad-data. Dan it-tip ta’ djalogu huwa ta’ benefiċċju reċiproku għall-UE u għas-sħab tagħha peress li jippermetti li jinkiseb fehim aħjar tal-pajsaġġ li jevolvi malajr tal-privatezza u li jiġu skambjati fehmiet dwar is-soluzzjonijiet legali u teknoloġiċi emerġenti.
Huwa f’dan l-ispirtu li l-Kummissjoni qed tistabbilixxi “Akkademja għall-Protezzjoni tad-Data” sabiex tkattar l-iskambji bejn regolaturi Ewropej u ta’ pajjiżi terzi u, b’dan il-mod, ittejjeb il-kooperazzjoni “fil-prattika”.
Barra minn hekk, hemm bżonn li jiġu żviluppati strumenti legali xierqa għal forom eqreb ta’ kooperazzjoni u ta’ assistenza reċiproka, anki billi jkun permess l-iskambju neċessarju ta’ informazzjoni fil-kuntest tal-investigazzjonijiet. Għalhekk, il-Kummissjoni se tagħmel użu mis-setgħat mogħtija f’dan il-qasam mill-Artikolu 50 tal-GDPR u, b’mod partikolari, tfittex awtorizzazzjoni sabiex tiftaħ in-negozjati għall-konklużjoni ta’ ftehimiet ta’ kooperazzjoni fl-infurzar ma’ pajjiżi terzi rilevanti. F’dan il-kuntest, se tqis ukoll il-fehmiet tal-Bord dwar liema pajjiżi jenħtieġ li jingħataw prijorità fid-dawl tal-volum ta’ trasferimenti tad-data, tar-rwol u tas-setgħat tal-infurzatur tal-privatezza fil-pajjiż terz u tal-ħtieġa għall-kooperazzjoni fl-infurzar sabiex jiġu indirizzati każijiet ta’ interess komuni.
|
Id-dimensjoni multilaterali
Minbarra skambji bilaterali, il-Kummissjoni qed tieħu sehem b’mod attiv ukoll f’numru ta’ fora multilaterali sabiex tippromwovi valuri kondiviżi u tibni konverġenza f’livell reġjonali u globali.
Is-sħubija dejjem aktar universali tal-“Konvenzjoni 108” tal-Kunsill tal-Ewropa, l-uniku strument multilaterali legalment vinkolanti fil-qasam tal-protezzjoni tad-data personali, hija sinjal ċar ta’ din ix-xejra lejn konverġenza (’il fuq). Il-Konvenzjoni, li hija miftuħa wkoll għal dawk li mhumiex membri tal-Kunsill tal-Ewropa, diġà ġiet ratifikata minn 55 pajjiż, li jinkludu numru ta’ Stati Afrikani u tal-Amerika Latina. Il-Kummissjoni kkontribwiet b’mod sinifikanti għall-eżitu b’suċċess tan-negozjati dwar il-modernizzazzjoni tal-Konvenzjoni, u żgurat li din tkun tirrifletti l-istess prinċipji bħal dawk imnaqqxa fir-regoli tal-UE dwar il-protezzjoni tad-data. Ħafna mill-Istati Membri tal-UE issa ffirmaw il-Protokoll Emendatorju, għad li l-firem tad-Danimarka, ta’ Malta u tar-Rumanija għadhom pendenti. Erba’ Stati Membri biss (il-Bulgarija, il-Kroazja, il-Litwanja u l-Polonja) s’issa rratifikaw il-Protokoll Emendatorju. Il-Kummissjoni tesiġi li t-tliet Stati Membri li fadal jiffirmaw il-Konvenzjoni mmodernizzata, u li l-Istati Membri kollha minnufih jipproċedu għar-ratifika, sabiex tkun tista’ tidħol fis-seħħ fil-futur qarib. Barra minn hekk, hija se tkompli tħeġġeġ b’mod proattiv l-adeżjoni minn pajjiżi terzi.
Il-movimentiu l-protezzjoni tad-data ġew indirizzati riċentement fil-G20 u l-G7 ukoll. Fl-2019, il-mexxejja globali għall-ewwel darba approvaw l-idea li l-protezzjoni tad-data tikkontribwixxi għall-fiduċja fl-ekonomija diġitali u tiffaċilita l-movimenti tad-data. Bl-appoġġ attiv tal-Kummissjoni
, il-mexxejja approvaw il-kunċett ta’ “moviment liberu tad-data b’fiduċja” (DFFT) oriġinarjament propost mill-Ġappun fid-Dikjarazzjoni ta’ Osaka tal-G20
kif ukoll fis-summit tal-G7 fi Biarritz
. Dan l-approċċ huwa rifless ukoll fil-Komunikazzjoni tal-Kummissjoni tal-2020 dwar “Strateġija Ewropea għad-data” li tenfasizza l-intenzjoni tagħha li tkompli tippromwovi l-kondiviżjoni tad-data mas-sħab fdati filwaqt li tiġġieled kontra abbużi bħall-aċċess sproporzjonat tal-awtoritajiet pubbliċi (barranin) għad-data.
B’dan il-mod, l-UE se tkun tista’ tibbaża wkoll fuq numru ta’ għodod f’oqsma ta’ politika differenti li jqisu dejjem aktar l-impatt fuq il-privatezza: pereżempju l-ewwel qafas fl-istorja tal-UE għall-iskrinjar tal-investiment barrani, li se jsir applikabbli bis-sħiħ f’Ottubru 2020, jagħti lill-UE u lill-Istati Membri tagħha l-possibbiltà li jiskrinjaw it-tranżazzjonijiet ta’ investiment li għandhom effetti fuq “aċċess għal informazzjoni sensittiva, inkluża data personali, jew il-kapaċità ta’ kontroll fuq tali informazzjoni” jekk jaffettwaw is-sigurtà jew l-ordni pubbliku.
Il-Kummissjoni qed taħdem ma’ pajjiżi li jaħsbuha b’mod simili f’diversi fora multilaterali oħra sabiex tippromwovi b’mod attiv il-valuri u l-istandards tagħha. Forum importanti minnhom huwa l-Grupp ta’ Ħidma maħluq riċentement tal-OECD dwar il-Governanza tad-Data u l-Privatezza, li qed ifittex numru ta’ inizjattivi importanti relatati mal-protezzjoni tad-data, mal-kondiviżjoni tad-data, u mat-trasferimenti tad-data. Dan jinkludi l-evalwazzjoni tal-Linji Gwida tal-2013 tal-OECD dwar il-Privatezza. Barra minn hekk, il-Kummissjoni kkontribwiet b’mod attiv għar-Rakkomandazzjoni tal-Kunsill tal-OECD dwar l-Intelliġenza Artifiċjali u żgurat li l-approċċ tal-UE ffokat fuq il-bniedem, li jfisser li l-applikazzjonijiet tal-AI jridu jikkonformaw mad-drittijiet fundamentali u, b’mod partikolari, mal-protezzjoni tad-data, ġie rifless fit-test finali. Ta’ min jgħid li r-Rakkomandazzjoni dwar l-AI – li mbagħad ġiet inkorporata fil-Prinċipji tal-G20 dwar l-AI mehmuża mad-Dikjarazzjoni tal-Mexxejja ta’ Osaka tal-G20 – tistipula l-prinċipji ta’ trasparenza u ta’ spjegabilità bl-għan li “tippermetti lil dawk affettwati b’mod avvers minn sistema tal-AI sabiex jikkontestaw l-eżitu tagħha fuq il-bażi ta’ informazzjoni sempliċi u faċli li tinftiehem fuq il-fatturi u l-loġika li servew bħala l-bażi għat-tbassir, għar-rakkomandazzjoni jew għad-deċiżjoni”, u b’hekk tirrifletti mill-qrib il-prinċipji tal-GDPR fir-rigward tat-teħid ta’ deċiżjonijiet awtomatizzati.
Il-Kummissjoni qed issaħħaħ ukoll id-djalogu tagħha ma’ organizzazzjonijiet u ma’ networks reġjonali li qed jaqdu rwol dejjem aktar ċentrali fit-tiswir tal-istandards komuni dwar il-protezzjoni tad-data, jippromwovu l-iskambju tal-aħjar prattiki, u jrawmu l-kooperazzjoni bejn l-infurzaturi. Dan jikkonċerna, b’mod partikolari, l-Assoċjazzjoni tan-Nazzjonijiet tax-Xlokk tal-Asja (ASEAN) – inkluż fil-kuntest tal-ħidma kontinwa tagħha fuq għodod għat-trasferiment ta’ data –, l-Unjoni Afrikana, il-forum tal-Awtoritajiet dwar il-Privatezza tal-Paċifiku tal-Asja (APPA) u n-Network Ibero-Amerikan għall-Protezzjoni tad-Data, li lkoll nedew inizjattivi importanti f’dan il-qasam u jipprovdu fora għal djalogu siewi bejn ir-regolaturi privati u partijiet ikkonċernati oħra.
L-Afrika hija eżempju tajjeb tal-komplimentarjetà bejn id-dimensjonijiet nazzjonali, reġjonali u globali tal-privatezza. It-teknoloġiji diġitali qed jittrasformaw il-kontinent Afrikan b’mod rapidu u approfondit. Dawn għandhom il-potenzjal li jaċċelleraw il-kisba tal-Għanijiet ta’ Żvilupp Sostenibbli billi jkattru t-tkabbir ekonomiku, itaffu l-faqar u jtejbu ħajjet in-nies. Id-dħul fis-seħħ ta’ qafas modern għall-protezzjoni tad-data li jattira l-investiment u jrawwem l-iżvilupp ta’ negozji kompetittivi filwaqt li jikkontribwixxi għar-rispett għad-drittijiet tal-bniedem, għad-demokrazija u għall-istat tad-dritt huwa element importanti ta’ din it-trasformazzjoni. L-armonizzazzjoni tar-regoli dwar il-protezzjoni tad-data madwar l-Afrika tkun tippermetti l-integrazzjoni tas-suq diġitali, filwaqt li l-konverġenza ma’ standards globali tkun tiffaċilita l-iskambji ta’ data mal-UE. Dawn id-dimensjonijiet differenti tal-protezzjoni tad-data huma minsuġa ma’ xulxin u jsaħħu lil xulxin.
Issa hemm interess li qed jikber fil-protezzjoni tad-data f’ħafna pajjiżi Afrikani, u n-numru ta’ pajjiżi Afrikani li adottaw jew li jinsabu fil-proċess li jadottaw regoli moderni dwar il-protezzjoni tad-data, irratifikaw il-Konvenzjoni 108 jew il-Konvenzjoni ta’ Malabo qed ikompli jiżdied. Fl-istess ħin, il-qafas regolatorju għadu ferm żbilanċjat u frammentat madwar il-kontinent Afrikan. Ħafna pajjiżi għadhom joffru ftit salvagwardji għall-protezzjoni tad-data, jew l-ebda salvagwardja affattu. Miżuri li jirrestrinġu l-movimenti tad-data għadhom mifruxin u jxekklu l-iżvilupp ta’ ekonomija diġitali reġjonali.
Sabiex tisfrutta l-benefiċċji reċiproċi ta’ regoli konverġenti dwar il-protezzjoni tad-data, il-Kummissjoni se tidħol f’kuntatt mas-sħab Afrikani tagħha kemm b’mod bilaterali kif ukoll f’fora reġjonali. Dan jibni fuq il-ħidma tat-Task Force dwar l-Ekonomija Diġitali UE-AU fi ħdan il-kuntest tas-Sħubija l-Ġdida Afrika-Ewropa għall-Ekonomija Diġitali. Huwa wkoll fid-dawl tat-tali objettivi li l-kamp ta’ applikazzjoni tal-istrument ta’ sħubija tal-Kummissjoni “Protezzjoni tad-Data u Movimenti tad-Data Msaħħa” ġie estiż sabiex jinkludi l-Afrika. Il-proġett se jiġi mobilizzat sabiex isostni lil pajjiżi Afrikani li biħsiebhom jiżviluppaw oqfsa moderni għall-protezzjoni tad-data jew li jixtiequ jsaħħu l-kapaċità tal-awtoritajiet regolatorji tagħhom, permezz ta’ taħriġ, ta’ kondiviżjoni tal-għarfien u ta’ skambju tal-aħjar prattiki.
|
Finalment, filwaqt li tippromwovi l-konverġenza ta’ standards dwar il-protezzjoni tad-data fil-livell internazzjonali, bħala mod kif tiffaċilita l-movimenti tad-data u, għalhekk, il-kummerċ, il-Kummissjoni hija ddeterminata wkoll li tindirizza l-protezzjoniżmu diġitali, kif enfasizzat riċentement fl-Istrateġija għad-Data. Għal dak l-għan, hija żviluppat dispożizzjonijiet speċifiċi dwar il-movimenti tad-data u l-protezzjoni tad-data fi ftehimiet kummerċjali li hija sistematikament tipproponi fin-negozjati bilaterali tagħha – l-aktar riċenti mal-Awstralja, ma’ New Zealand, u mar-Renju Unit – u f’negozjati multilaterali bħat-taħditiet kurrenti mad-WTO dwar il-kummerċ elettroniku. Dawn id-dispożizzjonijiet orizzontali jeskludu restrizzjonijiet mhux iġġustifikati, bħal rekwiżiti ta’ lokalizzazzjoni obbligata ta’ data, filwaqt li jippreżervaw l-awtonomija regolatorja tal-partijiet sabiex jipproteġu d-dritt fundamentali għall-protezzjoni tad-data.
Billi d-djalogi dwar il-protezzjoni tad-data u n-negozjati kummerċjali jridu jsegwu linji separati, huma jistgħu jikkumplimentaw lil xulxin. Fil-fatt, il-konverġenza, ibbażata fuq standards għoljin u sostnuta minn infurzar effettiv, tipprovdi l-aktar pedament b’saħħtu għall-iskambju ta’ data personali, xi ħaġa li qed tiġi rikonoxxuta dejjem aktar mis-sħab internazzjonali tagħha. Minħabba li l-kumpaniji qegħdin joperaw dejjem aktar minn pajjiż għal ieħor u jippreferu japplikaw settijiet simili ta’ regoli fl-operazzjonijiet kummerċjali kollha tagħhom madwar id-dinja, tali konverġenza tgħin sabiex jinħoloq ambjent li jwassal għal investiment dirett, jiffaċilita l-kummerċ u jtejjeb il-fiduċja bejn is-sħab kummerċjali. Għalhekk, jenħtieġ li s-sinerġiji bejn l-istrumenti ta’ protezzjoni tal-kummerċ u tad-data jkomplu jiġu esplorati sabiex jiġu żgurati movimenti internazzjonali liberi u sikuri tad-data li huma essenzjali għall-operazzjonijiet kummerċjali, għall-kompetittività u għat-tkabbir tal-kumpaniji Ewropej, inklużi l-SMEs, fl-ekonomija dejjem aktar diġitalizzata tagħna.
|
Anness I – Klawżoli għal speċifikazzjonijiet fakultattivi mil-leġiżlazzjoni nazzjonali
Suġġett
|
Kamp ta’ applikazzjoni
|
Artikoli tal-GDPR
|
Speċifikazzjonijiet għall-obbligi legali u għad-dmir pubbliku
|
L-adattament tal-applikazzjoni tad-dispożizzjonijiet fir-rigward tal-ipproċessar għall-konformità ma’ obbligu legali jew ma’ dmir pubbliku, anki għal sitwazzjonijiet speċifiċi ta’ pproċessar skont il-Kapitolu IX
|
L-Artikolu 6(2) u 6(3)
|
Il-limitu tal-età għall-kunsens fir-rigward tas-servizzi tas-soċjetà tal-informazzjoni
|
Id-determinazzjoni tal-età minima bejn it-13 u s-16-il sena
|
L-Artikolu 8(1)
|
L-ipproċessar ta’ kategoriji speċjali ta’ data
|
Iż-żamma jew l-introduzzjoni ta’ aktar kundizzjonijiet, inklużi limitazzjonijiet, għall-ipproċessar ta’ data ġenetika, ta’ data bijometrika jew ta’ data dwar is-saħħa.
|
L-Artikolu 9(4)
|
Id-deroga mir-rekwiżiti ta’ informazzjoni
|
Il-kisba jew id-divulgazzjoni stabbiliti b’mod espliċitu mil-liġi jew għas-segretezza professjonali rregolata bil-liġi
|
L-Artikolu 14(5)(c) u (d)
|
It-teħid ta’ deċiżjonijiet individwali awtomatizzati
|
L-awtorizzazzjoni għat-teħid ta’ deċiżjonijiet awtomatizzati fid-deroga mill-projbizzjoni ġenerali
|
L-Artikolu 22(2)(b)
|
Restrizzjonijiet tad-drittijiet tas-suġġetti tad-data
|
Ir-restrizzjonijiet mill-Artikoli 12 sa 22, mill-Artikolu 34 u mid-dispożizzjonijiet korrispondenti fl-Artikolu 5, meta jkunu neċessarji u proporzjonati għas-salvagwardja b’mod eżawrjenti tal-objettivi importanti elenkati
|
L-Artikolu 23(1)
|
Ir-rekwiżit ta’ konsultazzjoni u ta’ awtorizzazzjoni
|
Ir-rekwiżit għall-kontrolluri li jikkonsultaw jew jiksbu awtorizzazzjoni mingħand l-awtorità għall-protezzjoni tad-data għall-ipproċessar għal kompitu fl-interess pubbliku
|
L-Artikolu 36(5)
|
Id-deżinjazzjoni ta’ uffiċjal tal-protezzjoni tad-data f’każijiet addizzjonali
|
Id-deżinjazzjoni ta’ uffiċjal tal-protezzjoni tad-data f’każijiet li mhumiex fost dawk fil-paragrafu 1 tal-Artikolu 37
|
L-Artikolu 37(4)
|
Il-limitazzjonijiet tat-trasferimenti
|
Il-limitazzjoni tat-trasferimenti ta’ kategoriji speċifiċi ta’ data personali
|
L-Artikolu 49(5)
|
L-ilmenti u l-proċeduri quddiem il-qorti ta’ organizzazzjonijiet minn jeddhom
|
L-awtorizzazzjoni għal organizzazzjonijiet tal-privatezza sabiex jippreżentaw ilmenti u proċeduri quddiem il-qorti indipendentement minn mandat mis-suġġetti tad-data
|
L-Artikolu 80(2)
|
L-aċċess għad-dokumenti uffiċjali
|
Ir-rikonċiljazzjoni tal-aċċess pubbliku għal dokumenti uffiċjali mad-dritt għall-protezzjoni tad-data personali
|
L-Artikolu 86
|
L-ipproċessar tan-numru ta’ identifikazzjoni nazzjonali
|
Il-kundizzjonijiet speċifiċi għall-ipproċessar tan-numru ta’ identifikazzjoni nazzjonali
|
L-Artikolu 87
|
L-ipproċessar fil-kuntest ta’ impjieg
|
Ir-regoli aktar speċifiċi għall-ipproċessar tad-data personali tal-impjegati
|
L-Artikolu 88
|
Id-derogi għall-ipproċessar għall-arkivjar fl-interess pubbliku, għar-riċerka jew għal finijiet statistiċi
|
Id-derogi minn drittijiet speċifikati tas-suġġetti tad-data għaliex tali drittijiet ikollhom probabbiltà li jrendu impossibbli jew ixekklu serjament il-kisba ta’ skopijiet speċifiċi
|
L-Artikolu 89(2) u (3)
|
Ir-rikonċiljazzjoni tal-protezzjoni tad-data mal-obbligi ta’ segretezza
|
Regoli speċifiċi dwar is-setgħat investigattivi tal-awtoritajiet għall-protezzjoni tad-data b’rabta mal-kontrolluri jew mal-proċessuri soġġetti għal obbligi ta’ segretezza professjonali
|
L-Artikolu 90
|
Anness II – Ħarsa ġenerali lejn ir-riżorsi tal-awtoritajiet għall-protezzjoni tad-data
It-tabella ta’ hawn taħt tippreżenta ħarsa ġenerali lejn ir-riżorsi (persunal u baġit) tal-awtoritajiet għall-protezzjoni tad-data għal kull Stat Membru tal-UE/taż-ŻEE.
Meta wieħed iqabbel iċ-ċifri bejn l-Istati Membri, huwa importanti li jiftakar li l-awtoritajiet jista’ jkollhom kompiti assenjati lilhom li jkunu addizzjonali għal dawk skont il-GDPR, u li dawn jistgħu jvarjaw bejn l-Istati Membri. Il-proporzjon ta’ persunal impjegat mill-awtoritajiet għal miljun abitant u l-proporzjon tal-baġit tal-awtoritajiet għal miljun euro tal-PDG huma inklużi biss sabiex jipprovdu elementi addizzjonali ta’ tqabbil fost Stati Membri ta’ daqs simili, u jenħtieġ li ma jiġux analizzati b’mod iżolat. Iċ-ċifri assoluti, il-proporzjonijiet u l-evoluzzjoni tul l-aħħar snin jenħtieġ li jiġu kkunsidrati flimkien meta jiġu vvalutati r-riżorsi ta’ awtorità partikolari.
|
PERSUNAL (Ekwivalenti ta’ Ingaġġ Full-Time)
|
BAĠIT (EUR)
|
Stati Membri tal-UE/taż-ŻEE
|
2019
|
Tbassir 2020
|
tkabbir f’% 2016-2019
|
tkabbir f’% 2016-2020 (tbassir)
|
Persunal għal kull miljun abitant (2019)
|
2019
|
Tbassir 2020
|
tkabbir f’% 2016-2019
|
tkabbir f’% 2016-
2020 (tbassir)
|
Baġit għal kull miljun EUR tal-PDG (2019)
|
L-Awstrija
|
34
|
34
|
48 %
|
48 %
|
3,8
|
2 282 000
|
2 282 000
|
29 %
|
29 %
|
5,7
|
Il-Belġju
|
59
|
65
|
9 %
|
20 %
|
5,2
|
8 197 400
|
8 962 200
|
1 %
|
10 %
|
17,3
|
Il-Bulgarija
|
60
|
60
|
-14 %
|
-14 %
|
8,6
|
1 446 956
|
1 446 956
|
24 %
|
24 %
|
23,8
|
Il-Kroazja
|
39
|
60
|
39 %
|
114 %
|
9,6
|
1 157 300
|
1 405 000
|
57 %
|
91 %
|
21,5
|
Ċipru
|
24
|
22
|
NA
|
NA
|
27,4
|
503 855
|
NA
|
114 %
|
NA
|
23,0
|
Ir-Rep. Ċeka
|
101
|
109
|
0 %
|
8 %
|
9,5
|
6 541 288
|
6 720 533
|
10 %
|
13 %
|
29,7
|
Id-Danimarka
|
66
|
63
|
106 %
|
97 %
|
11,4
|
5 610 128
|
5 623 114
|
101 %
|
101 %
|
18,0
|
L-Estonja
|
16
|
18
|
-11 %
|
0 %
|
12,1
|
750 331
|
750 331
|
7 %
|
7 %
|
26,8
|
Il-Finlandja
|
45
|
55
|
114 %
|
162 %
|
8,2
|
3 500 000
|
4 500 000
|
94 %
|
150 %
|
14,6
|
Franza
|
215
|
225
|
9 %
|
14 %
|
3,2
|
18 506 734
|
20 143 889
|
-2 %
|
7 %
|
7,7
|
Il-Ġermanja
|
888
|
1002
|
52 %
|
72 %
|
10,7
|
76 599 800
|
85 837 500
|
48 %
|
66 %
|
22,3
|
Il-Greċja
|
33
|
46
|
-15 %
|
18 %
|
3,1
|
2 849 000
|
3 101 000
|
38 %
|
50 %
|
15,2
|
L-Ungerija
|
104
|
117
|
42 %
|
60 %
|
10,6
|
3 505 152
|
4 437 576
|
102 %
|
155 %
|
24,4
|
L-Iżlanda
|
17
|
17
|
143 %
|
143 %
|
47,6
|
2 272 490
|
2 294 104
|
167 %
|
170 %
|
105,2
|
L-Irlanda
|
140
|
176
|
169 %
|
238 %
|
28,5
|
15 200 000
|
16 900 000
|
223 %
|
260 %
|
43,8
|
L-Italja
|
170
|
170
|
40 %
|
40 %
|
2,8
|
29 127 273
|
30 127 273
|
46 %
|
51 %
|
16,3
|
Il-Latvja
|
19
|
31
|
-10 %
|
48 %
|
9,9
|
640 998
|
1 218 978
|
4 %
|
98 %
|
21,0
|
Il-Litwanja
|
46
|
52
|
-8 %
|
4 %
|
16,5
|
1 482 000
|
1 581 000
|
40 %
|
49 %
|
30,6
|
Il-Lussemburgu
|
43
|
48
|
126 %
|
153 %
|
70,0
|
5 442 416
|
6 691 563
|
165 %
|
226 %
|
85,7
|
Malta
|
13
|
15
|
30 %
|
50 %
|
26,3
|
480 000
|
550 000
|
41 %
|
62 %
|
36,3
|
In-Netherlands
|
179
|
188
|
145 %
|
158 %
|
10,4
|
18 600 000
|
18 600 000
|
130 %
|
130 %
|
22,9
|
In-Norveġja
|
49
|
58
|
2 %
|
21 %
|
9,2
|
5 708 950
|
6 580 660
|
27 %
|
46 %
|
15,9
|
Il-Polonja
|
238
|
260
|
54 %
|
68 %
|
6,3
|
7 506 345
|
9 413 381
|
66 %
|
108 %
|
14,2
|
Il-Portugall
|
25
|
27
|
-4 %
|
4 %
|
2,4
|
2 152 000
|
2 385 000
|
67 %
|
86 %
|
10,1
|
Ir-Rumanija
|
39
|
47
|
-3 %
|
18 %
|
2,0
|
1 103 388
|
1 304 813
|
3 %
|
22 %
|
4,9
|
Is-Slovakkja
|
49
|
51
|
20 %
|
24 %
|
9,0
|
1 731 419
|
1 859 514
|
47 %
|
58 %
|
18,4
|
Is-Slovenja
|
47
|
49
|
42 %
|
48 %
|
22,6
|
2 242 236
|
2 266 485
|
68 %
|
70 %
|
46,7
|
Spanja
|
170
|
220
|
13 %
|
47 %
|
3,6
|
15 187 680
|
16 500 000
|
8 %
|
17 %
|
12,2
|
L-Iżvezja
|
87
|
87
|
81 %
|
81 %
|
8,5
|
8 800 000
|
10 300 000
|
96 %
|
129 %
|
18,5
|
TOTAL
|
2 966
|
3 372
|
42 %
|
62 %
|
6,6
|
249 127 139
|
273 782 870
|
49 %
|
64 %
|
17,4
|
Sors taċ-ċifri mhux ipproċessati: kontribut mill-Bord. Kalkoli mill-Kummissjoni.