IL-KUMMISSJONI EWROPEA

Brussell, 24.6.2020

SWD(2020) 115 final

DOKUMENT TA’ ĦIDMA TAL-PERSUNAL TAL-KUMMISSJONI

[…]

Li jakkumpanja d-dokument

KOMUNIKAZZJONI TAL-KUMMISSJONI LILL-PARLAMENT EWROPEW U LILL-KUNSILL

Il-protezzjoni tad-data bħala pilastru tal-għoti tas-setgħa liċ-ċittadini u tal-approċċ tal-UE għat-tranżizzjoni diġitali - sentejn ta’ applikazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data

{COM(2020) 264 final}

Werrej

1    Kuntest    

2    L-infurzar tal-GDPR u l-funzjonament tal-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza    

2.1    L-użu tas-setgħat imsaħħa mill-awtoritajiet għall-protezzjoni tad-data    

Kwistjonijiet speċifiċi għas-settur pubbliku    

Il-kooperazzjoni ma’ regolaturi oħra    

2.2    Il-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza    

Punt uniku ta’ servizz    

Assistenza reċiproka    

Mekkaniżmu ta’ konsistenza    

Sfidi li għandhom jiġu indirizzati    

2.3    Pariri u linji gwida    

Sensibilizzazzjoni u pariri mill-awtoritajiet għall-protezzjoni tad-data    

Linji Gwida tal-Bord Ewropew għall-Protezzjoni tad-Data    

2.4    Riżorsi tal-awtoritajiet għall-protezzjoni tad-data    

3    Regoli armonizzati, iżda xorta waħda għad hemm grad ta’ frammentazzjoni u approċċi diverġenti    

3.1    L-implimentazzjoni tal-GDPR mill-Istati Membri    

Il-kwistjonijiet ewlenin relatati mal-implimentazzjoni nazzjonali    

Ir-rikonċiljazzjoni tad-dritt għall-protezzjoni ta’ data personali mal-libertà ta’ espressjoni u ta’ informazzjoni    

3.2    Klawżoli ta’ speċifikazzjoni fakultattiva u l-limiti tagħhom    

Il-frammentazzjoni marbuta mal-użu ta’ klawżoli ta’ speċifikazzjoni fakultattiva    

4    L-għoti tas-setgħa lill-individwi sabiex jikkontrollaw id-data tagħhom    

5    Opportunitajiet u sfidi għall-organizzazzjonijiet, b’mod partikolari Intrapriżi Żgħar u Medji    

Sett ta’ għodod għan-negozji    

6    L-applikazzjoni tal-GDPR għal teknoloġiji ġodda    

7    Trasferimenti internazzjonali u kooperazzjoni globali    

7.1    Privatezza: kwistjoni globali    

7.2    Is-sett ta’ għodod tal-GDPR għat-trasferimenti    

Deċiżjonijiet ta’ adegwatezza    

Salvagwardji xierqa    

Derogi    

Deċiżjonijiet minn qrati jew minn awtoritajiet barranin: mhux raġuni għal trasferimenti    

7.3    Il-kooperazzjoni internazzjonali fil-qasam tal-protezzjoni tad-data    

Id-dimensjoni bilaterali    

Id-dimensjoni multilaterali    

Anness I: Klawżoli għal speċifikazzjonijiet fakultattivi mil-leġiżlazzjoni nazzjonali

Anness II: Ħarsa ġenerali lejn ir-riżorsi tal-awtoritajiet għall-protezzjoni tad-data

1Kuntest

Ir-Regolament Ġenerali dwar il-Protezzjoni tad-Data 1 (minn hawn ’il quddiem “il-GDPR”) huwa r-riżultat ta’ tmien snin ta’ preparamenti, ta’ abbozzar u ta’ negozjati interistituzzjonali, u daħal fis-seħħ fil-25 ta’ Mejju 2018 wara perjodu tranżitorju ta’ sentejn (Mejju 2016 - Mejju 2018). L-Artikolu 97 tal-GDPR jeħtieġ li l-Kummissjoni tirrapporta dwar l-evalwazzjoni u r-rieżami tar-Regolament, billi tibda l-ewwel b’rapport wara sentejn ta’ applikazzjoni u kull erba’ snin wara dawn.

L-evalwazzjoni hija wkoll parti minn approċċ b’diversi aspetti li l-Kummissjoni diġà segwiet qabel ma l-GDPR daħal fis-seħħ u kompliet tfittex li twettaq b’mod attiv minn dak iż-żmien ’l hawn. Bħala parti minn dan l-approċċ, il-Kummissjoni daħlet fi djalogi bilaterali kontinwi mal-Istati Membri dwar il-konformità tal-leġiżlazzjoni nazzjonali mal-GDPR, ikkontribwiet b’mod attiv għall-ħidma tal-Bord Ewropew għall-Protezzjoni tad-Data (minn hawn ’il quddiem “il-Bord”) billi pprovdiet l-esperjenza u l-għarfien espert tagħha, appoġġjat lill-awtoritajiet għall-protezzjoni tad-data u żammet kuntatti mill-qrib ma’ firxa wiesgħa ta’ partijiet ikkonċernati dwar l-applikazzjoni prattika tar-Regolament.

L-evalwazzjoni tibni fuq l-eżerċizzju ta’ rendikont li l-Kummissjoni wettqet fl-ewwel sena tal-applikazzjoni tal-GDPR u li nġabar fil-qosor fil-Komunikazzjoni maħruġa f’Lulju 2019 2 . Hija tagħti wkoll segwitu għall-Komunikazzjoni dwar l-applikazzjoni tal-GDPR maħruġa f’Jannar 2018 3 . Il-Kummissjoni adottat ukoll il-Gwida dwar l-użu ta’ data personali fil-kuntest elettorali f’Settembru 2018 u l-Gwida maħruġa f’April 2020 dwar l-apps li jappoġġjaw il-ġlieda kontra l-pandemija tal-COVID-19.

Għad li l-enfasi tagħha huwa mixħut fuq żewġ kwistjonijiet enfasizzati fl-Artikolu 97(2) tal-GDPR, jiġifieri t-trasferimenti internazzjonali u l-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza, din l-evalwazzjoni tieħu approċċ usa’ sabiex tindirizza kwistjonijiet li diġà tqajmu minn diversi atturi matul l-aħħar sentejn.

Sabiex tħejji l-evalwazzjoni, il-Kummissjoni qieset il-kontributi mingħand:

·il-Kunsill 4 ;

·il-Parlament Ewropew (il-Kumitat għal-Libertajiet Ċivili, il-Ġustizzja u l-Intern) 5 ;

·il-Bord 6 u l-awtoritajiet individwali tal-protezzjoni tad-data 7 , fuq il-bażi ta’ kwestjonarju mibgħut mill-Kummissjoni;

·il-feedback mill-membri tal-Grupp ta’ Esperti ta’ Diversi Partijiet Ikkonċernati bħala appoġġ għall-applikazzjoni tal-GDPR 8 , ibbażat ukoll fuq kwestjonarju mibgħut mill-Kummissjoni;

·u kontributi ad hoc riċevuti mingħand il-partijiet ikkonċernati.

2L-infurzar tal-GDPR u l-funzjonament tal-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza

Il-GDPR waqqaf sistema innovattiva ta’ governanza u ħoloq il-pedament ta’ kultura verament Ewropea ta’ protezzjoni tad-data li għandha l-għan li tiżgura mhux biss interpretazzjoni armonizzata, iżda anki applikazzjoni u infurzar armonizzati tar-regoli dwar il-protezzjoni tad-data. Il-pilastri tiegħu huma l-awtoritajiet nazzjonali indipendenti għall-protezzjoni tad-data u l-Bord li twaqqaf riċentement.

Peress li l-awtoritajiet għall-protezzjoni tad-data huma kruċjali għall-funzjonament tas-sistema sħiħa tal-UE ta’ protezzjoni tad-data, il-Kummissjoni qed timmonitorja l-indipendenza effettiva tagħhom b’attenzjoni kbira, inkluż fir-rigward tar-riżorsi finanzjarji, umani u tekniċi adegwati.

Għadu kmieni wisq sabiex jiġi vvalutat bis-sħiħ il-funzjonament tal-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza, minħabba l-esperjenza limitata miksuba s’issa 9 . Minbarra dan, l-awtoritajiet għall-protezzjoni tad-data għadhom ma użawx il-firxa sħiħa ta’ għodod ipprovduti mill-GDPR sabiex ikomplu jsaħħu l-kooperazzjoni tagħhom.

2.1L-użu tas-setgħat imsaħħa mill-awtoritajiet għall-protezzjoni tad-data

Il-GDPR jistabbilixxi awtoritajiet indipendenti għall-protezzjoni tad-data u jipprovdilhom setgħat ta’ infurzar armonizzati u msaħħa. Kemm ilu japplika l-GDPR, dawk l-awtoritajiet bdew jużaw firxa wiesgħa ta’ setgħat korrettivi previsti fil-GDPR, bħal multi amministrattivi (22 awtorità tal-UE/taż-ŻEE) 10 , twissijiet u twiddib (23), ordnijiet għall-konformità mat-talbiet ta’ suġġett tad-data (26), ordnijiet sabiex operazzjonijiet ta’ pproċessar isiru konformi mal-GDPR (27), u ordnijiet għar-rettifika, għat-tħassir jew għar-restrizzjoni tal-ipproċessar (17). Madwar nofs l-awtoritajiet għall-protezzjoni tad-data (13) imponew limitazzjonijiet temporanji jew definittivi fuq l-ipproċessar, li jinkludu projbizzjonijiet. Dan juri użu konxju tal-miżuri korrettivi kollha previsti fil-GDPR; l-awtoritajiet għall-protezzjoni tad-data ma qagħdux lura milli jimponu multi amministrattivi minbarra jew minflok miżuri korrettivi oħra, skont iċ-ċirkustanzi tal-każijiet individwali.

Is-suċċess tal-GDPR jenħtieġ li ma jitkejjilx min-numru ta’ multi maħruġa, peress li l-GDPR jipprovdi għal medda usa’ ta’ setgħat korrettivi. Skont iċ-ċirkustanzi, pereżempju, l-effett ta’ deterrent ta’ projbizzjoni fuq l-ipproċessar jew is-sospensjoni tal-movimenti tad-data jista’ jkun ferm aktar b’saħħtu.

Kwistjonijiet speċifiċi għas-settur pubbliku

Il-GDPR jippermetti lill-Istati Membri jiddeterminaw jekk u kemm jistgħu jiġu imposti multi fuq awtoritajiet u korpi pubbliċi. Meta l-Istati Membri jagħmlu użu minn din il-possibbiltà, dan ma jċaħħadx lill-awtoritajiet għall-protezzjoni tad-data milli jużaw is-setgħat korrettivi l-oħra kollha fir-rigward tal-awtoritajiet u tal-korpi pubbliċi 12 .

Kwistjoni speċifika oħra hija s-superviżjoni tal-qrati: għad li l-GDPR japplika wkoll għall-attivitajiet tal-qrati, dawn huma eżentati mis-superviżjoni mill-awtoritajiet għall-protezzjoni tad-data meta jaġixxu fil-kapaċità ġudizzjarja tagħhom. Madankollu, il-Karta u t-TFUE jobbligaw lill-Istati Membri sabiex jinkarigaw lil korp indipendenti fi ħdan is-sistemi ġudizzjarji tagħhom bis-superviżjoni ta’ dawn l-operazzjonijiet ta’ pproċessar 13 .

Il-kooperazzjoni ma’ regolaturi oħra

Kif ħabbret fil-Komunikazzjoni tagħha ta’ Lulju 2019, il-Kummissjoni tappoġġja l-interazzjoni ma’ regolaturi oħra, b’rispett sħiħ tal-kompetenzi rispettivi. L-oqsma promettenti ta’ kooperazzjoni jinkludu l-protezzjoni tal-konsumatur u l-kompetizzjoni. Il-Bord indika r-rieda tiegħu li jidħol f’kuntatt ma’ regolaturi oħra, b’mod partikolari fir-rigward tal-konċentrazzjoni fis-swieq diġitali 14 . Il-Kummissjoni għarfet l-importanza tal-privatezza u tal-protezzjoni tad-data bħala parametru kwalitattiv għall-kompetizzjoni 15 . Il-membri tal-Bord ħadu sehem f’workshops konġunti man-Network ta’ Kooperazzjoni għall-Protezzjoni tal-Konsumatur dwar il-kooperazzjoni fl-infurzar aħjar tal-leġiżlazzjoni tal-UE dwar il-protezzjoni tal-konsumatur u tad-data. Dan l-approċċ se jiġi segwit sabiex jitkattar fehim komuni u jiġu żviluppati modi prattiċi kif jiġu indirizzati l-problemi konkreti esperjenzati mill-konsumaturi, b’mod partikolari fl-ekonomija diġitali.

Sabiex jiġi żgurat approċċ konsistenti għall-privatezza u għall-protezzjoni tad-data, u sakemm jiġi adottat ir-Regolament dwar il-Privatezza Elettronika, il-kooperazzjoni msaħħa mal-awtoritajiet kompetenti għall-infurzar tad-Direttiva dwar il-Privatezza Elettronika 16 , il-lex specialis fil-qasam tal-komunikazzjonijiet elettroniċi, hija indispensabbli. Il-kooperazzjoni msaħħa mal-awtoritajiet kompetenti skont id-Direttiva dwar l-NIS 17 , u l-Grupp ta’ Kooperazzjoni dwar l-NIS, tkun ta’ benefiċċju reċiproku għal dawk l-awtoritajiet u għall-awtoritajiet għall-protezzjoni tad-data.

2.2Il-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza

Il-GDPR ħoloq il-mekkaniżmu ta’ kooperazzjoni (sistema ta’ punt uniku ta’ servizz għall-operaturi, għall-operazzjonijiet konġunti u għall-assistenza reċiproka bejn l-awtoritajiet għall-protezzjoni tad-data) u l-mekkaniżmu ta’ konsistenza sabiex irawwem l-applikazzjoni uniformi tar-regoli dwar il-protezzjoni tad-data, permezz ta’ interpretazzjoni konsistenti u r-riżoluzzjoni tan-nuqqas ta’ qbil possibbli bejn l-awtoritajiet mill-Bord.

Il-Bord, li fi ħdanu jiġbor l-awtoritajiet kollha għall-protezzjoni tad-data, twaqqaf bħala korp tal-UE b’personalità ġuridika u huwa kompletament operazzjonali, sostnut minn segretarjat 18 . Huwa kruċjali għall-funzjonament taż-żewġ mekkaniżmi msemmija aktar ’il fuq. Sa tmiem l-2019, il-Bord adotta 67 dokument, inklużi 10 linji gwida ġodda 19 u 43 opinjoni 20 21 .

Ir-rwol importanti tal-Bord irriżulta fejn kien hemm bżonn li tiġi pprovduta rapidament interpretazzjoni konsistenti tal-GDPR u li jinstabu soluzzjonijiet applikabbli minnufih fil-livell tal-UE. Pereżempju, fil-kuntest tat-tifqigħa tal-COVID-19, f’Marzu 2020 il-Bord adotta dikjarazzjoni dwar l-ipproċessar ta’ data personali, li tittratta fost l-oħrajn il-legalità tal-ipproċessar u l-użu ta’ data dwar il-lokalizzazzjoni mobbli f’dak il-kuntest 22 , u f’April 2020 adotta linji gwida dwar l-ipproċessar ta’ data li tikkonċerna s-saħħa għall-fini ta’ riċerka xjentifika fil-kuntest tat-tifqigħa tal-COVID-19  23 u tal-linji gwida dwar l-użu ta’ data ta’ lokalizzazzjoni u għodod għat-traċċar tal-kuntatti fil-kuntest tat-tifqigħa COVID-19 24 . Il-Bord għamel ukoll kontribut sinifikanti għat-tfassil ta’ approċċ tal-UE għall-apps għat-traċċar mill-Kummissjoni u mill-Istati Membri.

Il-kooperazzjoni ta’ kuljum bejn l-awtoritajiet għall-protezzjoni tad-data, kemm jekk jaġixxu fil-kapaċità tagħhom stess jew bħala membri tal-Bord, hija bbażata fuq l-iskambji ta’ informazzjoni u n-notifiki tal-każijiet miftuħa mill-awtoritajiet. Sabiex tiffaċilita l-komunikazzjoni bejn l-awtoritajiet, il-Kummissjoni tat appoġġ sinifikanti billi pprovditilhom sistema ta’ skambju ta’ informazzjoni 25 . Ħafna mill-awtoritajiet iqisu li hija adattata għall-ħtiġijiet tal-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza, għad li tista’ tiġi rfinata ulterjorment, pereżempju billi ssir aktar faċli għall-utenti.

Għad li għadu kmieni, diġà jistgħu jiġu identifikati diversi kisbiet u sfidi, u dawn huma ppreżentati hawn taħt. Dawn juru li, s’issa, l-awtoritajiet għall-protezzjoni tad-data għamlu użu effettiv mill-għodod ta’ kooperazzjoni, bi preferenza għal soluzzjonijiet aktar flessibbli.

Punt uniku ta’ servizz

Bħala regola ġenerali, f’każijiet transfruntiera, awtorità ta’ Stat Membru għall-protezzjoni tad-data tista’ tkun involuta jew (i) bħala awtorità prinċipali meta s-sede prinċipali tal-operatur tkun tinsab f’dan l-Istat Membru, jew (ii) bħala awtorità kkonċernata meta l-operatur ikollu sede fit-territorju ta’ dan l-Istat Membru, meta l-individwi f’dan l-Istat Membru jkunu affettwati b’mod sostanzjali, jew meta jiġi ppreżentat lilhom ilment.

Tali kooperazzjoni mill-qrib saret prattika ta’ kuljum: mindu daħal fis-seħħ il-GDPR, l-awtoritajiet għall-protezzjoni tad-data fl-Istati Membri kollha f’xi waqt ġew identifikati jew bħala awtoritajiet prinċipali jew bħala awtoritajiet ikkonċernati f’każijiet transfruntiera, għad li sa ċertu punt differenti.

Bejn il-25 ta’ Mejju 2018 u l-31 ta’ Diċembru 2019, ġew ippreżentati 141 abbozz ta’ deċiżjoni permezz tal-proċedura ta’ punt uniku ta’ servizz, li minnhom 79 irriżultaw f’deċiżjonijiet finali. Fid-data tal-pubblikazzjoni ta’ dan ir-rapport, għad hemm pendenti diversi deċiżjonijiet importanti b’dimensjoni transfruntiera u soġġetti għall-mekkaniżmu ta’ punt uniku ta’ servizz. Fost dawn id-deċiżjonijiet, uħud jinvolvu kumpaniji multinazzjonali kbar tat-teknoloġija 27 . Dawn huma mistennija jipprovdu kjarifika u jikkontribwixxu għal armonizzazzjoni akbar fl-interpretazzjoni tal-GDPR.

Assistenza reċiproka

L-awtoritajiet għall-protezzjoni tad-data għamlu użu mifrux mill-għodda ta’ assistenza reċiproka.

Il-maġġoranza vasta tal-awtoritajiet iqisu li l-assistenza reċiproka hija għodda siewja ħafna għall-kooperazzjoni u ma sabux xi ostaklu partikolari għall-applikazzjoni tal-proċedura ta’ assistenza reċiproka. L-iskambju volontarju tal-assistenza reċiproka, li ma għandux skadenza legali jew dmir strett ta’ tweġib, intuża aktar ta’ spiss, f’2 427 proċedura. L-awtorità tal-Irlanda għall-protezzjoni tad-data bagħtet u rċeviet l-akbar numru ta’ talbiet għal assistenza reċiproka (527 mibgħuta u 359 riċevuti), segwita mill-awtoritajiet tal-Ġermanja (260 mibgħuta/356 riċevuti).

Min-naħa l-oħra, operazzjonijiet konġunti 30 , li jkunu jagħmluha possibbli għall-awtoritajiet għall-protezzjoni tad-data ta’ diversi Stati Membri sabiex ikunu involuti diġà sa mil-livell tal-investigazzjonijiet tal-każijiet transfruntiera, għadhom ma ġewx konklużi. Għaddejja riflessjoni fi ħdan il-Bord dwar l-implimentazzjoni prattika ta’ din l-għodda u kif għandu jiġi promoss l-użu tagħha.

Mekkaniżmu ta’ konsistenza

S’issa ntuża l-ewwel segment tal-mekkaniżmu ta’ konsistenza, jiġifieri l-adozzjoni tal-opinjonijiet tal-Bord 31 . Min-naħa l-oħra, għadha ma ġiet skattata l-ebda soluzzjoni għat-tilwim fil-livell tal-Bord 32 jew proċedura ta’ urġenza 33 .

Sfidi li għandhom jiġu indirizzati

Minkejja li l-awtoritajiet għall-protezzjoni tad-data qed jaħdmu flimkien b’mod attiv ħafna fil-Bord u diġà jużaw b’mod intensiv l-għodda ta’ kooperazzjoni ta’ assistenza reċiproka, il-bini ta’ kultura verament komuni ta’ protezzjoni tad-data għadu għaddej.

B’mod partikolari, l-immaniġġjar ta’ każijiet transfruntiera jitlob approċċ aktar effiċjenti u armonizzat u l-użu effettiv tal-għodod ta’ kooperazzjoni kollha previsti fil-GDPR. Hemm kunsens mifrux ħafna dwar dan il-punt, peress li tqajjem f’ħafna modi differenti mill-Parlament Ewropew, mill-Kunsill, mill-Kontrollur Ewropew għall-Protezzjoni tad-Data, mill-partijiet ikkonċernati (fi ħdan il-Grupp ta’ Diversi Partijiet Ikkonċernati u lil hinn minnu) u mill-awtoritajiet għall-protezzjoni tad-data.

Il-kwistjonijiet ewlenin li għandhom jiġu indirizzati f’dan il-kuntest jinkludu differenzi f’dawn li ġejjin:

·il-proċeduri amministrattivi nazzjonali, b’mod partikolari li jikkonċernaw: il-proċeduri ta’ mmaniġġjar tal-ilmenti, il-kriterji ta’ ammissibbiltà għall-ilmenti, id-durata tal-proċedimenti minħabba skedi ta’ żmien differenti jew in-nuqqas ta’ kwalunkwe skadenza, il-mument fil-proċedura meta jingħata d-dritt li individwu jinstema’, l-informazzjoni u l-involviment tal-ilmentaturi matul il-proċedura;

·interpretazzjonijiet tal-kunċetti relatati mal-mekkaniżmu ta’ kooperazzjoni, bħal informazzjoni rilevanti, il-kunċett ta’ “mingħajr dewmien”, ta’ “ilment”, id-dokument li huwa ddefinit bħala “abbozz ta’ deċiżjoni” tal-awtorità prinċipali għall-protezzjoni tad-data, il-ftehim bonarju (b’mod partikolari l-proċedura li twassal għal ftehim bonarju u l-forma legali tal-ftehim); u

·l-approċċ għal meta għandha tinbeda l-proċedura ta’ kooperazzjoni, jiġu involuti l-awtoritajiet għall-protezzjoni tad-data u tiġi kkomunikata l-informazzjoni lilhom. L-ilmentaturi huma wkoll nieqsa miċ-ċarezza dwar kif il-każijiet tagħhom huma mmaniġġjati f’sitwazzjonijiet transfruntiera, kif saħqu diversi membri tal-Grupp ta’ Diversi Partijiet Ikkonċernati. Barra minn hekk, in-negozji jsemmu li f’ċerti każijiet l-awtoritajiet nazzjonali għall-protezzjoni tad-data ma rreferewx każijiet lill-awtorità prinċipali għall-protezzjoni tad-data, iżda mmaniġġjawhom bħala każijiet lokali.

Il-Kummissjoni tilqa’ t-tħabbira tal-Bord li huwa beda riflessjoni dwar kif jindirizza dan it-tħassib. B’mod partikolari, il-Bord indika li huwa se jiċċara l-passi proċedurali involuti fil-kooperazzjoni bejn l-awtorità prinċipali għall-protezzjoni tad-data u l-awtoritajiet ikkonċernati għall-protezzjoni tad-data, janalizza l-liġijiet proċedurali amministrattivi nazzjonali, jaħdem għal interpretazzjoni komuni tal-kunċetti ewlenin, u jsaħħaħ il-komunikazzjoni u l-kooperazzjoni (inklużi l-operazzjonijiet konġunti). Jenħtieġ li r-riflessjoni u l-analiżi tal-Bord iwasslu għat-tfassil ta’ arranġamenti ta’ ħidma aktar effiċjenti f’każijiet transfruntiera 38 , anki billi jibni fuq l-għarfien espert tal-membri tiegħu u billi jsaħħaħ l-involviment tas-segretarjat tiegħu. Barra minn hekk, jenħtieġ li jiġi nnotat li r-responsabbiltà tal-Bord fl-iżgurar ta’ interpretazzjoni konsistenti tal-GDPR ma tistax tiġi skarikata billi sempliċiment jinstab l-anqas denominatur komuni.

Finalment, bħala korp tal-UE, il-Bord irid japplika l-liġi amministrattiva tal-UE u jiżgura t-trasparenza fil-proċess ta’ teħid ta’ deċiżjonijiet.

2.3Pariri u linji gwida

Sensibilizzazzjoni u pariri mill-awtoritajiet għall-protezzjoni tad-data

Diversi awtoritajiet għall-protezzjoni tad-data ħolqu għodod ġodda, bħal linji telefoniċi għal individwi u għal negozji, u settijiet ta’ għodod għan-negozji 39 . Ħafna operaturi jilqgħu l-pragmatiżmu muri minn dawn l-awtoritajiet fl-assistenza bl-applikazzjoni tal-GDPR. B’mod partikolari, ħafna minnhom ikkollaboraw u kkomunikaw b’mod attiv u mill-qrib ma’ uffiċjali tal-protezzjoni tad-data, anki permezz ta’ assoċjazzjonijiet ta’ uffiċjali tal-protezzjoni tad-data. Ħafna awtoritajiet ħarġu wkoll linji gwida li jkopru r-rwol u l-obbligi tal-uffiċjali tal-protezzjoni tad-data sabiex jappoġġjaw lill-uffiċjali tal-protezzjoni tad-data matul l-attivitajiet ta’ kuljum tagħhom u organizzaw seminars imfassla apposta għalihom. Madankollu, dan ma kienx il-każ għall-awtoritajiet kollha għall-protezzjoni tad-data.

Il-feedback riċevut mill-partijiet ikkonċernati jindika wkoll numru ta’ problemi relatati mal-gwida u mal-pariri:

·in-nuqqas ta’ approċċ konsistenti u ta’ gwida bejn l-awtoritajiet nazzjonali għall-protezzjoni tad-data dwar ċerti kwistjonijiet (eż. dwar il-cookies 40 , l-applikazzjoni ta’ interess leġittimu, dwar in-notifiki ta’ ksur ta’ data jew dwar il-valutazzjonijiet tal-impatt fuq il-protezzjoni tad-data) jew saħansitra bejn l-awtoritajiet għall-protezzjoni tad-data fi ħdan l-istess Stati Membri (eż. fil-Ġermanja dwar il-kunċetti ta’ kontrollur u ta’ proċessur);

·l-inkonsistenza tal-linji gwida adottati fil-livell nazzjonali ma’ dawk adottati mill-Bord;

·in-nuqqas ta’ konsultazzjonijiet pubbliċi dwar ċerti linji gwida adottati fil-livell nazzjonali;

·il-livelli differenti ta’ interazzjoni mal-partijiet ikkonċernati fost l-awtoritajiet għall-protezzjoni tad-data;

·dewmien fir-riċevuta ta’ tweġibiet għal talbiet għal informazzjoni;

·diffikultajiet fil-kisba ta’ pariri prattiċi u siewja mingħand l-awtoritajiet għall-protezzjoni tad-data;

·il-ħtieġa li jiżdied il-livell ta’ għarfien espert settorjali f’xi awtoritajiet għall-protezzjoni tad-data (eż. fis-settur tas-saħħa u tal-farmaċewtika).

Ħafna minn dawn il-kwistjonijiet huma marbuta wkoll man-nuqqas ta’ riżorsi f’diversi awtoritajiet għall-protezzjoni tad-data (ara aktar ’il quddiem).

Linji Gwida tal-Bord Ewropew għall-Protezzjoni tad-Data

Sal-lum, il-Bord adotta aktar minn 20 linja gwida li jkopru aspetti ewlenin tal-GDPR 43 . Il-linji gwida huma għodda essenzjali għall-applikazzjoni konsistenti tal-GDPR u, għalhekk, fil-parti l-kbira ntlaqgħu tajjeb ħafna mill-partijiet ikkonċernati. Il-partijiet ikkonċernati apprezzaw il-konsultazzjoni pubblika sistematika (minn sitt sa tmien ġimgħat). Madankollu, jitolbu aktar djalogu mal-Bord. F’dan il-kuntest, il-prattika ta’ organizzazzjoni ta’ workshops dwar suġġetti mmirati qabel l-abbozzar tal-linji gwida jenħtieġ li titkompla u tiġi amplifikata sabiex jiġu żgurati t-trasparenza, l-inklużività u r-rilevanza tal-ħidma tal-Bord. Il-partijiet ikkonċernati jitolbu li l-interpretazzjoni tal-aktar kwistjonijiet kontenzjużi jenħtieġ li jiġu indirizzati fil-linji gwida, peress li dawn huma soġġetti għall-konsultazzjoni pubblika, u mhux f-opinjonijiet skont l-Artikolu 64(2) tal-GDPR. Uħud mill-partijiet ikkonċernati jitolbu wkoll linji gwida aktar prattiċi, li jispjegaw l-applikazzjoni tal-kunċetti u tad-dispożizzjonijiet tal-GDPR 44 . Il-membri tal-Grupp ta’ Diversi Partijiet Ikkonċernati jisħqu fuq il-ħtieġa ta’ eżempji aktar konkreti sabiex jitnaqqas, kemm jista' jkun, il-lok għal interpretazzjonijiet diverġenti bejn l-awtoritajiet għall-protezzjoni tad-data. Fl-istess ħin, it-talbiet sabiex jiġi ċċarat kif għandu jiġi applikat il-GDPR u sabiex tiġi pprovduta ċertezza tad-dritt jenħtieġ li ma jwasslux għal rekwiżiti addizzjonali jew għal tnaqqis tal-vantaġġi tal-approċċ ibbażat fuq ir-riskju u tal-prinċipju ta’ responsabbiltà.

Is-suġġetti li dwarhom il-partijiet ikkonċernati jixtiequ aktar linji gwida mingħand il-Bord jinkludu: il-kamp ta’ applikazzjoni tad-drittijiet tas-suġġetti tad-data (inkluż fil-kuntest tal-impjiegi); aġġornamenti għall-opinjoni dwar l-ipproċessar fuq il-bażi ta’ interess leġittimu; il-kunċetti ta’ kontrollur, ta’ kontrollur konġunt u ta’ proċessur u l-arranġamenti neċessarji bejn il-partijiet 45 ; l-applikazzjoni tal-GDPR għal teknoloġiji ġodda (bħall-blockchain u l-intelliġenza artifiċjali); l-ipproċessar fil-kuntest tar-riċerka xjentifika (inkluż b’rabta mal-kollaborazzjoni internazzjonali); l-ipproċessar ta’ data tat-tfal; il-psewdonimizzazzjoni u l-anonimizzazzjoni; u l-ipproċessar ta’ data dwar is-saħħa.

Il-Bord diġà indika li se joħroġ linji gwida dwar ħafna minn dawn is-suġġetti u diġà beda x-xogħol fuq ħafna minnhom (eż. dwar l-applikazzjoni ta’ interess leġittimu bħala bażi ġuridika għall-ipproċessar).

Il-partijiet ikkonċernati jitolbu lill-Bord jaġġorna u jirrevedi l-linji gwida eżistenti, fejn xieraq, filwaqt li jqis l-esperjenza miġbura mindu ġew ippubblikati u billi jieħu l-opportunità li jidħol f’aktar dettall, fejn ikun hemm bżonn.

2.4Riżorsi tal-awtoritajiet għall-protezzjoni tad-data

Il-provvista tar-riżorsi umani, tekniċi u finanzjarji, tal-bini u tal-infrastruttura lil kull awtorità għall-protezzjoni tad-data hija prerekwiżit sabiex dawn iwettqu dmirijiethom u jeżerċitaw is-setgħat tagħhom b’mod effettiv, u għalhekk din hija kundizzjoni essenzjali għall-indipendenza tagħhom 46 .

Ħafna mill-awtoritajiet għall-protezzjoni tad-data bbenefikaw minn żieda fil-persunal u fir-riżorsi mindu l-GDPR daħal fis-seħħ fl-2016 47 . Madankollu, ħafna minnhom għadhom jirrapportaw li ma għandhomx biżżejjed riżorsi 48 .

It-tabella fl-Anness II tipprovdi ħarsa ġenerali lejn ir-riżorsi umani u baġitarji tal-awtoritajiet nazzjonali għall-protezzjoni tad-data.

Minbarra l-impatt li jħalli fuq il-kapaċità tal-awtoritajiet għall-protezzjoni tad-data sabiex jinfurzaw ir-regoli fil-livell nazzjonali, in-nuqqas ta’ riżorsi jillimita wkoll il-ħila tagħhom li jieħdu sehem fil-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza u li jikkontribwixxu għalihom kif ukoll għall-ħidma mwettqa fi ħdan il-Bord. Kif enfasizzat mill-Bord, is-suċċess tal-mekkaniżmu ta’ punt uniku ta’ servizz jiddependi miż-żmien u mill-isforz li l-awtoritajiet għall-protezzjoni tad-data jistgħu jiddedikaw għall-immaniġġjar ta’ każijiet transfruntiera individwali u għall-kooperazzjoni fihom. Il-kwistjoni tar-riżorsi hija aggravata mir-rwol akbar tal-awtoritajiet fis-superviżjoni ta’ sistemi tal-IT fuq skala kbira li qed jiġu żviluppati bħalissa. Barra minn hekk, l-awtoritajiet għall-protezzjoni tad-data fl-Irlanda u fil-Lussemburgu għandhom ħtiġijiet speċifiċi ta’ riżorsi fid-dawl tar-rwol tagħhom bħala l-awtoritajiet prinċipali għall-infurzar tal-GDPR fir-rigward ta’ kumpaniji kbar tat-teknoloġija, li fil-parti l-kbira jinsabu f’dawn l-Istati Membri.

Filwaqt li l-Kunsill isemmi l-impatt tal-mekkaniżmu ta’ kooperazzjoni u tal-iskadenzi tiegħu fuq il-ħidma tal-awtoritajiet għall-protezzjoni tad-data 50 , il-GDPR jobbliga lill-Istati Membri jipprovdu riżorsi umani, finanzjarji u tekniċi adegwati 51 lill-awtoritajiet nazzjonali tagħhom għall-protezzjoni tad-data.

Is-segretarjat tal-Bord, li huwa pprovdut mill-Kontrollur Ewropew għall-Protezzjoni tad-Data 52 , bħalissa huwa msawwar minn 20 persuna, inklużi esperti legali, tal-IT u tal-komunikazzjoni. Għandu jiġi vvalutat jekk din iċ-ċifra teħtieġx li tevolvi fil-ġejjieni fid-dawl tal-issodisfar effettiv tal-funzjoni tiegħu ta’ appoġġ analitiku, amministrattiv u loġistiku għall-Bord u għas-subgruppi tiegħu, inkluż permezz tal-ġestjoni tas-sistema ta’ skambju ta’ informazzjoni,

3Regoli armonizzati, iżda xorta waħda għad hemm grad ta’ frammentazzjoni u approċċi diverġenti 

Il-GDPR jipprovdi għal approċċ konsistenti għar-regoli dwar il-protezzjoni tad-data fi ħdan l-UE kollha, li jieħu post ir-reġimi nazzjonali differenti li kienu jeżistu taħt id-Direttiva tal-1995 dwar il-Protezzjoni tad-Data.

3.1L-implimentazzjoni tal-GDPR mill-Istati Membri

Il-GDPR ilu applikabbli b’mod dirett fl-Istati Membri kollha sa mill-25 ta’ Mejju 2018. Dan obbliga lill-Istati Membri jilleġiżlaw, b’mod partikolari sabiex iwaqqfu awtoritajiet nazzjonali għall-protezzjoni tad-data u l-kundizzjonijiet ġenerali għall-membri tagħhom, bl-għan li jiżguraw li kull awtorità taġixxi b’indipendenza sħiħa meta twettaq dmirijietha u teżerċita s-setgħat tagħha f’konformità mal-GDPR. L-obbligi legali u l-kompiti pubbliċi jistgħu jikkostitwixxu bażi ġuridika għall-ipproċessar ta’ data personali biss jekk ikunu stabbiliti fid-dritt (tal-Unjoni jew) nazzjonali. Barra minn hekk, l-Istati Membri jridu jistabbilixxu regoli dwar penali b’mod partikolari għal ksur mhux soġġett għal multi amministrattivi u jridu jirrikonċiljaw id-dritt għall-protezzjoni ta’ data personali mad-dritt għal-libertà ta’ espressjoni u ta’ informazzjoni. Il-liġi nazzjonali tista’ tipprovdi wkoll għal bażi ġuridika għall-eżenzjoni mill-projbizzjoni ġenerali għall-ipproċessar ta’ kategoriji speċjali ta’ data personali, pereżempju għar-raġunijiet ta’ interess pubbliku sostanzjali fil-qasam tas-saħħa pubblika, inkluża l-protezzjoni kontra theddidiet transfruntiera serji għas-saħħa. Barra minn hekk, l-Istati Membri jridu jiżguraw l-akkreditazzjoni tal-korpi ta’ ċertifikazzjoni.

Il-Kummissjoni qed timmonitorja l-implimentazzjoni tal-GDPR fil-leġiżlazzjoni nazzjonali. Fil-mument tal-kitba ta’ dan ir-rapport, l-Istati Membri kollha ħlief is-Slovenja adottaw leġiżlazzjoni ġdida dwar il-protezzjoni tad-data jew adattaw il-liġi tagħhom f’dan il-qasam. Għalhekk, il-Kummissjoni talbet lis-Slovenja tipprovdi kjarifika dwar il-progress li għamlet sa issa u saħqitilha tiffinalizza dak il-proċess 53 .

Barra minn hekk, il-konformità tal-leġiżlazzjoni nazzjonali mar-regoli dwar il-protezzjoni tad-data fir-rigward tal-acquis ta’ Schengen hija vvalutata wkoll fil-kuntest tal-Mekkaniżmu ta’ Evalwazzjoni ta’ Schengen ikkoordinat mill-Kummissjoni. Il-Kummissjoni u l-Istati Membri jevalwaw flimkien kif il-pajjiżi jimplimentaw u japplikaw l-acquis ta’ Schengen f’numru ta’ oqsma; għall-protezzjoni tad-data, dan jikkonċerna sistemi tal-IT fuq skala kbira bħas-Sistema ta’ Informazzjoni ta’ Schengen u s-Sistema ta’ Informazzjoni dwar il-Viża u jinkludi r-rwol tal-awtoritajiet għall-protezzjoni tad-data fis-superviżjoni tal-ipproċessar ta’ data personali fi ħdan dawk is-sistemi.

Il-ħidma fuq l-adattament tal-liġijiet settorjali għadha għaddejja fil-livell nazzjonali. Wara l-inkorporazzjoni tal-GDPR fil-Ftehim dwar iż-Żona Ekonomika Ewropea, l-applikazzjoni tiegħu ġiet estiża għan-Norveġja, għall-Iżlanda u għal-Lichtenstein. Dawn il-pajjiżi adottaw ukoll il-liġijiet nazzjonali tagħhom dwar il-protezzjoni tad-data.

Il-Kummissjoni se tagħmel użu mill-għodod kollha għad-dispożizzjoni tagħha, inklużi proċeduri ta’ ksur, sabiex tiżgura li l-Istati Membri jikkonformaw mal-GDPR.

Il-kwistjonijiet ewlenin relatati mal-implimentazzjoni nazzjonali

Il-kwistjonijiet ewlenin identifikati sal-lum bħala parti mill-valutazzjoni kurrenti tal-leġiżlazzjoni nazzjonali u tal-iskambji bilaterali mal-Istati Membri jinkludu:

·Ir-restrizzjonijiet għall-applikazzjoni tal-GDPR: xi Stati Membri, pereżempju, jeskludu għalkollox l-attivitajiet tal-parlament nazzjonali;

·Id-differenzi fl-applikabbiltà tal-liġijiet ta’ speċifikazzjoni nazzjonali. Xi Stati Membri jorbtu l-applikabbiltà tal-liġi nazzjonali tagħhom mal-post fejn jiġu offruti l-oġġetti jew is-servizzi, oħrajn mas-sede tal-kontrollur jew tal-proċessur. Dan imur kontra l-objettiv ta’ armonizzazzjoni li jfittex li jilħaq il-GDPR;

·Il-liġijiet nazzjonali li jqajmu kwistjonijiet relatati mal-proporzjonalità tal-interferenza mad-dritt għal protezzjoni tad-data. Pereżempju, il-Kummissjoni nediet proċedura ta’ ksur kontra Stat Membru li għadda leġiżlazzjoni li teħtieġ li l-imħallfin jiddivulgaw informazzjoni speċifika dwar l-attivitajiet mhux professjonali tagħhom, li hija inkompatibbli mad-dritt għar-rispett għall-ħajja privata u mad-dritt għall-protezzjoni ta’ data personali 54 ;

·In-nuqqas ta’ korp indipendenti għas-superviżjoni tal-ipproċessar tad-data mill-qrati li jaġixxu fil-kapaċità ġudizzjarja tagħhom 55 .

·Il-leġiżlazzjoni f’oqsma rregolati bis-sħiħ mill-GDPR lil hinn mill-marġni għal speċifikazzjonijiet jew għal restrizzjonijiet. Dan ikun il-każ, b’mod partikolari, meta d-dispożizzjonijiet nazzjonali jiddeterminaw il-kundizzjonijiet għall-ipproċessar fuq il-bażi ta’ interess leġittimu, billi jiġi pprovdut għall-ibbilanċjar tal-interessi rispettivi tal-kontrollur u tal-individwi kkonċernati, filwaqt li l-GDPR jobbliga lil kull kontrollur iwettaq ibbilanċjar bħal dan individwalment u jisfrutta dik il-bażi ġuridika.

·Speċifikazzjonijiet u rekwiżiti addizzjonali lil hinn mill-ipproċessar għall-konformità ma’ obbligu legali jew għat-twettiq ta’ kompitu pubbliku (eż. għal sorveljanza bil-vidjo fis-settur privat jew għall-kummerċjalizzazzjoni diretta); u għall-kunċetti użati fil-GDPR (eż. “skala kbira” jew “tħassir”).

Uħud minn dawn il-kwistjonijiet jistgħu jiġu ċċarati mill-Qorti tal-Ġustizzja f’kawżi li għadhom pendenti 56 .

Ir-rikonċiljazzjoni tad-dritt għall-protezzjoni ta’ data personali mal-libertà ta’ espressjoni u ta’ informazzjoni

Kwistjoni speċifika tikkonċerna l-implimentazzjoni tal-obbligu għall-Istati Membri għar-rikonċiljazzjoni bil-liġi tad-dritt għall-protezzjoni ta’ data personali mal-libertà ta’ espressjoni u ta’ informazzjoni 57 . Din il-kwistjoni hija kumplessa ħafna, peress li valutazzjoni tal-ibbilanċjar bejn dawn id-drittijiet fundamentali trid tqis ukoll id-dispożizzjonijiet u s-salvagwardji fil-liġijiet dwar l-istampa u l-midja.

Il-Kummissjoni se tkompli l-valutazzjoni tagħha tal-leġiżlazzjoni nazzjonali fuq il-bażi tar-rekwiżiti tal-Karta. Ir-rikonċiljazzjoni trid tiġi pprovduta mil-liġi, tirrispetta l-essenza ta’ dawk id-drittijiet fundamentali, u tkun proporzjonata u neċessarja (l-Artikolu 52(1) tal-Karta). Jenħtieġ li r-regoli dwar il-protezzjoni tad-data ma jaffettwawx l-eżerċitar tal-libertà ta’ espressjoni u ta’ informazzjoni speċjalment billi joħolqu effett dissważiv jew billi jiġu interpretati bħala mod kif tinxteħet pressjoni fuq il-ġurnalisti sabiex jiddivulgaw is-sorsi tagħhom.

3.2Klawżoli ta’ speċifikazzjoni fakultattiva u l-limiti tagħhom

Il-GDPR jagħti lill-Istati Membri l-possibbiltà li jkomplu jispeċifikaw l-applikazzjoni tiegħu f’numru limitat ta’ oqsma. Dan il-marġni għal-leġiżlazzjoni nazzjonali jrid jiġi distint mill-obbligu li jiġu implimentati ċerti dispożizzjonijiet oħra tal-GDPR kif imsemmi aktar ’il fuq. Il-klawżoli għal speċifikazzjonijiet fakultattivi huma elenkati fl-Anness I.

Il-marġini għal-liġi tal-Istati Membri huma soġġetti għall-kundizzjonijiet u għal-limiti stabbiliti mill-GDPR u ma jippermettux għal reġim nazzjonali parallel ta’ protezzjoni tad-data 58 . L-Istati Membri huma obbligati jemendaw jew jirrevokaw il-liġijiet nazzjonali dwar il-protezzjoni tad-data, inkluża leġiżlazzjoni settorjali b’aspetti ta’ protezzjoni tad-data.

Barra minn hekk, il-leġiżlazzjoni relatata tal-Istati Membri ma tistax tinkludi dispożizzjonijiet li jistgħu joħolqu konfużjoni rigward l-applikazzjoni diretta tal-GDPR. Għaldaqstant, fejn il-GDPR jipprovdi għal speċifikazzjonijiet jew għal restrizzjonijiet tar-regoli tiegħu mil-liġi tal-Istati Membri, l-Istati Membri jistgħu jinkorporaw elementi tal-GDPR fil-liġi nazzjonali, sa fejn jista’ jkun sabiex jiżguraw il-koerenza u jrendu d-dispożizzjonijiet nazzjonali komprensibbli għall-persuni li japplikaw għalihom 59 .

Il-partijiet ikkonċernati jqisu li jenħtieġ li l-Istati Membri jonqsu jew iżommu lura milli jużaw klawżoli ta’ speċifikazzjoni peress li dawn ma jikkontribwux għall-armonizzazzjoni. Id-diverġenzi nazzjonali kemm fl-implimentazzjoni tal-liġijiet kif ukoll fl-interpretazzjoni tagħhom mill-awtoritajiet għall-protezzjoni tad-data jżidu b’mod konsiderevoli l-kost tal-konformità legali madwar l-UE.

Il-frammentazzjoni marbuta mal-użu ta’ klawżoli ta’ speċifikazzjoni fakultattiva

·Limitu tal-età għall-kunsens tat-tfal għas-servizzi tas-soċjetà tal-informazzjoni

Diversi Stati Membri użaw il-possibbiltà li jipprovdu għal età iżgħar minn 16-il sena għall-kunsens b’rabta mas-servizzi tas-soċjetà tal-informazzjoni (l-Artikoli 8(1) GDPR). Filwaqt li disa’ Stati Membri japplikaw il-limitu ta’ età ta’ 16-il sena, tmien Stati Membri rrikorrew għal 13-il sena, sitta għal 14-il sena u tlieta għal 15-il sena. 60

Konsegwentement, kumpanija li tipprovdi servizzi tas-soċjetà tal-informazzjoni lil minorenni madwar l-UE trid tagħmel distinzjoni bejn l-etajiet tal-utenti potenzjali, skont f’liema Stat Membru jirresjedu. Dan imur kontra l-objettiv ewlieni tal-GDPR li jipprovdi għal livell ugwali ta’ protezzjoni lil individwi u ta’ opportunitajiet kummerċjali fl-Istati Membri kollha.

Differenzi bħal dawn iwasslu għal sitwazzjonijiet li fihom l-Istat Membru li fih ikun stabbilit il-kontrollur jipprovdi għal limitu ta’ età differenti mill-Istati Membri fejn ikunu jirresjedu s-suġġetti tad-data.

·Saħħa u riċerka

Meta timplimenta derogi mill-projbizzjoni ġenerali għall-ipproċessar ta’ kategoriji speċjali ta’ data personali 61 , il-leġiżlazzjoni tal-Istati Membri ssegwi approċċi differenti fir-rigward tal-livell ta’ speċifikazzjoni u ta’ salvagwardji, inkluż għall-finijiet tas-saħħa u tar-riċerka. Ħafna mill-Istati Membri introduċew jew żammew kundizzjonijiet ulterjuri għall-ipproċessar ta’ data ġenetika, ta’ data bijometrika jew ta’ data rigward is-saħħa. Dan huwa minnu wkoll għal derogi relatati mad-drittijiet tas-suġġetti tad-data għal finijiet ta’ riċerka 62 , fir-rigward kemm tal-firxa tad-derogi kif ukoll tas-salvagwardji relatati. 

Il-linji gwida futuri tal-Bord dwar l-użu ta’ data personali fil-qasam tar-riċerka xjentifika se jikkontribwixxu għal approċċ armonizzat f’dan il-qasam. Il-Kummissjoni se tikkontribwixxi għall-Bord, b’mod partikolari f’dak li għandu x’jaqsam mar-riċerka dwar is-saħħa, inkluż fil-forma ta’ mistoqsijiet konkreti u ta’ analiżi ta’ xenarji konkreti li hija rċeviet mingħand il-komunità tar-riċerka. Ikun ta’ għajnuna li kieku dawn il-linji gwida jiġu adottati qabel it-tnedija tal-Programm Qafas Orizzont Ewropa fid-dawl tal-armonizzazzjoni tal-prattiki dwar il-protezzjoni tad-data u l-faċilitazzjoni tal-kondiviżjoni tad-data għall-avvanzi fir-riċerka. Linji gwida mill-Bord dwar l-ipproċessar ta’ data personali fil-qasam tas-saħħa jistgħu jkunu siewja wkoll.

Il-GDPR jipprovdi qafas robust għal-leġiżlazzjoni nazzjonali fil-qasam tas-saħħa pubblika u jinkludi b’mod espliċitu theddidiet transfruntiera għas-saħħa u l-monitoraġġ ta’ epidemiji u tat-tifrix tagħhom 63 , li kien rilevanti fil-kuntest tal-ġlieda kontra l-pandemija tal-COVID-19.

Fil-livell tal-UE, fit-8 ta’ April 2020 il-Kummissjoni adottat Rakkomandazzjoni għal sett ta’ għodod għall-użu ta’ teknoloġija u ta’ data f’dan il-kuntest, inklużi applikazzjonijiet tal-mowbajl u l-użu ta’ data anonimizzata dwar il-mobilità 64 , u fis-16 ta’ April 2020 gwida dwar l-Apps li jgħinu fil-ġlieda kontra l-pandemija fir-rigward tal-protezzjoni tad-data 65 . Fid-19 ta’ Marzu 2020 il-Bord ippubblika dikjarazzjoni dwar l-ipproċessar ta’ data f’dan il-kuntest 66 , segwita, fil-21 ta’ April 2020, minn linji gwida dwar l-ipproċessar tad-data għall-finijiet ta’ riċerka u dwar l-użu ta’ data ta’ lokalizzazzjoni u għodod għat-traċċar tal-kuntatti f’dan il-kuntest 67 . Dawn ir-rakkomandazzjonijiet u l-linji gwida jiċċaraw kif il-prinċipji u r-regoli dwar il-protezzjoni ta’ data personali japplikaw fil-kuntest tal-ġlieda kontra l-pandemija.

·Restrizzjonijiet estensivi tad-drittijiet tas-suġġetti tad-data

Ħafna mil-liġijiet nazzjonali dwar il-protezzjoni tad-data li jirrestrinġu d-drittijiet tas-suġġetti tad-data ma jispeċifikawx l-objettivi ta’ interess pubbliku ġenerali ssalvagwardjat minn dawn ir-restrizzjonijiet u/jew ma jissodisfawx b’mod suffiċjenti l-kundizzjonijiet u s-salvagwardji meħtieġa mill-Artikolu 23(2) tal-GDPR 68 . Diversi Stati Membri ma jħallu l-ebda lok għat-test tal-proporzjonalità jew jestendu r-restrizzjonijiet saħansitra lil hinn mill-kamp ta’ applikazzjoni tal-Artikolu 23(1) tal-GDPR. Pereżempju, xi liġijiet nazzjonali jċaħħdu d-dritt ta’ aċċess għal raġunijiet ta’ sforz sproporzjonat min-naħa tal-kontrollur, għal data personali li tkun maħżuna fuq il-bażi ta’ obbligu ta’ żamma jew b’rabta mat-twettiq ta’ kompiti pubbliċi mingħajr ma jillimitaw it-tali restrizzjoni għal objettivi ta’ interess pubbliku ġenerali.

·Rekwiżiti addizzjonali għall-kumpaniji

Minkejja li r-rekwiżit ta’ uffiċjal obbligatorju tal-protezzjoni tad-data huwa bbażat fuq l-approċċ ibbażat fuq ir-riskju 69 , Stat Membru minnhom 70 estendieh għal kriterji kwantitattivi, li jobbliga lill-kumpaniji li fihom 20 impjegat jew aktar ikunu involuti b’mod permanenti fl-ipproċessar awtomatizzat ta’ data personali sabiex jinnominaw uffiċjal tal-protezzjoni tad-data, indipendentement mir-riskji marbuta mal-attivitajiet ta’ pproċessar 71 . Dan wassal għal piżijiet addizzjonali.

4L-għoti tas-setgħa lill-individwi sabiex jikkontrollaw id-data tagħhom

Il-GDPR jagħmel id-drittijiet fundamentali effettivi, b’mod partikolari d-dritt għall-protezzjoni ta’ data personali, iżda anki d-drittijiet fundamentali l-oħra rikonoxxuti mill-Karta, inkluż ir-rispett għall-ħajja privata u tal-familja, il-libertà ta’ espressjoni u ta’ informazzjoni, in-nondiskriminazzjoni, il-libertà tal-ħsieb, tal-kuxjenza u tar-reliġjon, il-libertà ta’ intrapriża u d-dritt għal rimedju effettiv. Dawn id-drittijiet iridu jkunu bbilanċjati ma’ xulxin f’konformità mal-prinċipju ta’ proporzjonalità 72 .

Il-GDPR jipprovdi lill-individwi bi drittijiet infurzabbli, bħad-dritt ta’ aċċess, ta’ rettifika, ta’ tħassir, ta’ oġġezzjoni, ta’ portabilità u ta’ trasparenza msaħħa. Jagħti wkoll lill-individwi d-dritt li jippreżentaw ilment ma’ awtorità għall-protezzjoni tad-data, anki permezz ta’ azzjonijiet rappreżentattivi, u għal rimedju ġudizzjarju.

L-individwi qed isiru dejjem aktar konxji ta’ drittijiethom, kif muri mir-riżultati tal-Ewrobarometru ta’ Lulju 2019 73 u l-istħarriġ imwettaq mill-Aġenzija għad-Drittijiet Fundamentali 74 .

L-individwi qed jużaw dejjem aktar id-dritt tagħhom li jippreżentaw ilmenti mal-awtoritajiet għall-protezzjoni tad-data, jew b’mod individwali jew b’azzjonijiet rappreżentattivi 75 . Ftit Stati Membri biss ippermettew lil organizzazzjonijiet mhux governattivi jniedu azzjonijiet mingħajr mandat, f’konformità mal-possibbiltà pprovduta mill-GDPR. Id-Direttiva proposta dwar l-azzjonijiet rappreżentattivi għall-protezzjoni tal-interessi kollettivi tal-konsumaturi 76 , ladarba tiġi adottata, hija mistennija ssaħħaħ il-qafas għal azzjonijiet rappreżentattivi anki fil-qasam tal-protezzjoni tad-data.

Il-feedback mill-Grupp ta’ Diversi Partijiet Ikkonċernati juri li l-organizzazzjonijiet daħħlu fis-seħħ varjetà ta’ miżuri sabiex jiffaċilitaw l-eżerċizzju tad-drittijiet tas-suġġetti tad-data, inklużi l-implimentazzjoni ta’ proċessi li jiżguraw rieżami individwali tat-talbiet u tweġiba mingħand il-kontrollur, l-użu ta’ diversi kanali (posta, indirizz iddedikat tal-posta elettronika, sit web, eċċ.), proċeduri u politiki interni aġġornati dwar l-immaniġġjar intern puntwali tat-talbiet, u taħriġ tal-persunal. Xi kumpaniji daħħlu fis-seħħ portali diġitali aċċessibbli permezz tas-sit web tal-kumpanija (jew permezz tal-intranet tal-kumpanija għall-impjegati) sabiex jiffaċilitaw l-eżerċizzju tad-drittijiet mis-suġġetti tad-data.

Madankollu, hemm bżonn li jsir aktar progress fuq dawn il-punti li ġejjin:

·Mhux il-kontrolluri tad-data kollha jikkonformaw mal-obbligu tagħhom li jiffaċilitaw l-eżerċizzju tad-drittijiet tas-suġġetti tad-data 79 . Dawn iridu jiżguraw li s-suġġetti tad-data jkollhom punt ta’ kuntatt effettiv fejn jistgħu jispjegaw il-problemi li jsibu. Dan jista’ jkun l-uffiċjal tal-protezzjoni tad-data, li d-dettalji ta’ kuntatt tiegħu jridu jiġu pprovduti b’mod proattiv lis-suġġett tad-data 80 . Il-modalitajiet ta’ kuntatt ma jistgħux ikunu limitati għal ittri elettroniċi, iżda jridu jippermettu wkoll lis-suġġett tad-data jindirizza lill-kontrollur b’mezzi oħra.

·L-individwi għadhom qed jaffaċċjaw diffikultajiet meta jitolbu aċċess għad-data tagħhom, pereżempju minn pjattaformi, minn sensara tad-data u minn kumpaniji tat-teknoloġija avvanzata.

·Id-dritt għal portabilità tad-data mhuwiex użat fil-potenzjal sħiħ tiegħu. L-Istrateġija Ewropea għad-Data (minn hawn ’il quddiem l-Istrateġija għad-Data) 81 , adottata mill-Kummissjoni fid-19 ta’ Frar 2020, enfasizzat il-ħtieġa li jiġu ffaċilitati l-użi possibbli kollha ta’ dan id-dritt (eż. billi jiġu mandati l-interfaċċi tekniċi u l-formats li jinqraw mill-magni li jippermettu l-portabilità tad-data f’ħin (kważi) reali). L-operaturi jinnotaw li kultant jinstabu diffikultajiet fil-provvista tad-data f’format strutturat, użat spiss u li jinqara mill-magni (minħabba n-nuqqas ta’ standard). L-organizzazzjonijiet f’setturi partikolari biss, bħall-ibbankjar, it-telekomunikazzjoni, l-arloġġi tal-ilma u tat-tisħin, jirrapportaw li implimentaw l-interfaċċi neċessarji 82 . Ġew żviluppati aktar għodod teknoloġiċi sabiex jiffaċilitaw l-eżerċizzju minn individwi tad-drittijiet tagħhom skont il-GDPR, mhux limitati għall-portabilità tad-data (eż. spazji tad-data personali u servizzi ta’ ġestjoni tal-informazzjoni personali).

·Id-drittijiet tat-tfal: Diversi membri tal-Grupp ta’ Diversi Partijiet Ikkonċernati jisħqu fuq il-ħtieġa li tiġi pprovduta informazzjoni lit-tfal u l-fatt li ħafna organizzazzjonijiet jinjoraw li t-tfal jistgħu jkunu mħassba mill-ipproċessar tad-data tagħhom. Il-Kunsill saħaq li tista’ tingħata attenzjoni partikolari għall-protezzjoni tat-tfal meta jiġu abbozzati l-kodiċijiet ta’ kondotta. Il-protezzjoni tat-tfal hija wkoll tema prijoritarja tal-awtoritajiet għall-protezzjoni tad-data 83 .

·Id-dritt għal informazzjoni: xi kumpaniji għandhom approċċ legalistiku ħafna, billi jieħdu avviżi dwar il-protezzjoni tad-data bħala eżerċizzju legali, bl-informazzjoni li tkun pjuttost kumplessa, diffiċli li tinftiehem jew inkompluta, filwaqt li l-GDPR jeħtieġ li kwalunkwe informazzjoni jenħtieġ li tkun konċiża u tuża lingwaġġ ċar u sempliċi 84 . Jidher li xi kumpaniji ma jsegwux ir-rakkomandazzjonijiet tal-Bord, pereżempju rigward l-elenkar tal-ismijiet tal-entitajiet li magħhom jikkondividu d-data.

·Diversi Stati Membri rrestrinġew b’mod estensiv id-drittijiet tas-suġġetti tad-data permezz tal-liġi nazzjonali tagħhom, u xi wħud anki lil hinn mill-marġini tal-Artikolu 23 tal-GDPR.

·L-eżerċizzju tad-drittijiet tal-individwi kultant ikun imxekkel mill-prattiki ta’ ftit atturi diġitali ewlenin li jagħmluha diffiċli għall-individwi li jagħżlu l-issettjar li jkun jipproteġi bl-aħjar mod il-privatezza tagħhom (bi ksur tar-rekwiżit ta’ protezzjoni tad-data mid-disinn u b’mod awtomatiku 85 ) 86 .

Il-linji gwida tal-Bord dwar id-drittjiet tas-suġġetti tad-data huma mistennija b’ħerqa mill-partijiet ikkonċernati.

5Opportunitajiet u sfidi għall-organizzazzjonijiet, b’mod partikolari Intrapriżi Żgħar u Medji

Opportunitajiet għall-organizzazzjonijiet

Il-GDPR ikattar il-kompetizzjoni u l-innovazzjoni. Flimkien mar-Regolament dwar il-Moviment Liberu ta’ Data Mhux Personali 87 , dan jiżgura l-moviment liberu ta’ data fi ħdan l-UE u joħloq kundizzjonijiet ekwi mal-kumpaniji mhux stabbiliti fl-UE. Billi joħloq qafas armonizzat għall-protezzjoni ta’ data personali, il-GDPR jiżgura li l-atturi kollha fis-suq intern ikunu marbuta bl-istess regoli u jibbenefikaw mill-istess opportunitajiet, indipendentement minn jekk humiex stabbiliti u fejn iseħħ l-ipproċessar. In-newtralità teknoloġika tal-GDPR tipprovdi l-qafas għall-protezzjoni tad-data għal żviluppi teknoloġiċi ġodda. Il-prinċipji ta’ protezzjoni tad-data mid-disinn u b’mod awtomatiku jinċentivaw soluzzjonijiet innovattivi, li jinkludu kunsiderazzjonijiet relatati mal-protezzjoni tad-data sa mill-bidu nett u jistgħu jnaqqsu l-kost tal-konformità mar-regoli dwar il-protezzjoni tad-data.

Barra minn hekk, il-privatezza ssir parametru kompetittiv importanti li l-individwi jikkunsidraw dejjem aktar meta jagħżlu s-servizzi tagħhom. Dawk li huma aktar informati u sensittivi għal kunsiderazzjonijiet dwar il-protezzjoni tad-data jfittxu prodotti u servizzi li jiżguraw protezzjoni effettiva tad-data personali. L-implimentazzjoni tad-dritt għal portabilità tad-data għandha l-potenzjal li tnaqqas l-ostakli għad-dħul għal negozji li joffru servizzi innovattivi u kompatibbli mal-protezzjoni tad-data. Jenħtieġ li jkunu mmonitorjati l-effetti ta’ użu potenzjalment usa’ ta’ dan id-dritt fis-suq f’setturi differenti. Il-konformità mar-regoli dwar il-protezzjoni tad-data u l-applikazzjoni trasparenti tagħhom se joħolqu fiduċja dwar l-użu tad-data personali tan-nies u, b’hekk, opportunitajiet ġodda għan-negozji.

Bħal kull regolamentazzjoni, ir-regoli dwar il-protezzjoni tad-data għandhom kostijiet ta’ konformità inerenti għall-kumpaniji. Madankollu, dawn il-kostijiet huma megħluba mill-opportunitajiet u mill-vantaġġi tal-fiduċja msaħħa fl-innovazzjoni diġitali u mill-benefiċċji soċjetali li jirriżultaw mir-rispett ta’ dritt fundamentali. Billi jiżgura kundizzjonijiet ekwi u jipprovdi lill-awtoritajiet għall-protezzjoni tad-data b’dak li jeħtieġu sabiex jinfurzaw ir-regoli b’mod effettiv, il-GDPR jipprevjeni l-opportuniżmu minn kumpaniji mhux konformi fuq il-fiduċja minn dawk li jsegwu r-regoli.

Sfidi speċifiċi għal Intrapriżi Żgħar u Medji (SMEs)

Hemm perċezzjoni ġenerali mill-partijiet ikkonċernati, iżda anki mill-Parlament Ewropew, mill-Kunsill u mill-awtoritajiet għall-protezzjoni tad-data li l-applikazzjoni tal-GDPR hija sfida partikolari għall-intrapriżi mikro, żgħar u medji, u għal organizzazzjonijiet ta’ volontarjat u tal-karità żgħar.

Skont l-approċċ ibbażat fuq ir-riskju, ma jkunx xieraq li jiġu pprovduti derogi fuq il-bażi tad-daqs tal-operaturi, peress li d-daqs tagħhom minnu nnifsu mhuwiex indikazzjoni tar-riskji li l-ipproċessar ta’ data personali li jwettqu jista’ joħloq għall-individwi. L-approċċ ibbażat fuq ir-riskju jgħaqqad il-flessibbiltà mal-protezzjoni effettiva. Iqis il-ħtiġijiet tal-SMEs li ma għandhomx l-ipproċessar ta’ data bħala n-negozju ewlieni tagħhom, u jikkalibra l-obbligi tagħhom b’mod partikolari fuq il-bażi tal-probabbiltà u tas-severità tar-riskji relatati mal-ipproċessar speċifiku li jwettqu. 88  

Jenħtieġ li l-ipproċessar limitat u b’riskju baxx ma jiġix ittrattat bl-istess mod bħall-ipproċessar b’riskju għoli u frekwenti – irrispettivament mid-daqs tal-kumpanija li twettqu. Għalhekk, hekk kif ikkonkluda l-Bord, “fi kwalunkwe każ, l-approċċ ibbażat fuq ir-riskju promoss mil-leġiżlatur fit-test jenħtieġ li jinżamm, peress li r-riskji għas-suġġetti tad-data ma jiddependux mid-daqs tal-kontrolluri” 89 . Jenħtieġ li l-awtoritajiet għall-protezzjoni tad-data jadottaw bis-sħiħ dan il-prinċipju meta jinfurzaw il-GDPR, idealment fi ħdan approċċ Ewropew komuni sabiex ma joħolqux ostakli għas-Suq Uniku.

L-awtoritajiet għall-protezzjoni tad-data żviluppaw diversi għodod u saħqu fuq l-intenzjoni tagħhom li jkomplu jtejbuhom. Xi awtoritajiet varaw kampanji ta’ sensibilizzazzjoni u saħansitra se jorganizzaw “klassijiet dwar il-GDPR” mingħajr ħlas għall-SMEs.

Ħafna mill-azzjonijiet li jappoġġjaw lill-SMEs b’mod speċifiku rċevew finanzjament mill-UE. Il-Kummissjoni pprovdiet appoġġ finanzjarju permezz ta’ tliet mewġiet ta’ għotjiet, għal total ta’ EUR 5 miljun, bl-aktar tnejn riċenti mmirati b’mod speċifiku lejn l-għoti ta’ appoġġ lill-awtoritajiet nazzjonali għall-protezzjoni tad-data fl-isforzi tagħhom li jilħqu lil individwi u lil SMEs. Bħala riżultat, fl-2018, ġew allokati EUR 2 miljun għal disa’ awtoritajiet għall-protezzjoni tad-data għal attivitajiet fl-2018-2019 (il-Belġju, il-Bulgarija, id-Danimarka, l-Ungerija, il-Litwanja, il-Latvja, in-Netherlands, is-Slovenja, u l-Iżlanda) 91 , u fl-2019 ġew allokati EUR 1 miljun lil erba’ awtoritajiet għall-protezzjoni tad-data għal attivitajiet fl-2020 (il-Belġju, Malta, is-Slovenja u l-Kroazja fi sħubija mal-Irlanda) 92 . EUR 1 miljun ieħor se jiġi allokat fl-2020.

Minkejja dawn l-inizjattivi, l-SMEs u n-negozji ġodda spiss jirrapportaw li jbatu fl-implimentazzjoni tal-prinċipju ta’ responsabbiltà stabbilit fil-GDPR 93 . B’mod partikolari, huma jirrapportaw li mhux dejjem jiksbu biżżejjed gwida u pariri prattiċi mingħand l-awtoritajiet nazzjonali għall-protezzjoni tad-data, jew li ż-żmien meħud sabiex jiksbu gwida u pariri huwa twil wisq. Kien hemm ukoll każijiet li fihom l-awtoritajiet ma kinux lesti li jidħlu fi kwistjonijiet legali. Meta jiltaqgħu ma’ sitwazzjonijiet bħal dawn, l-SMEs spiss jirrikorru għal konsulenti u għal avukati esterni sabiex jittrattaw l-implimentazzjoni tal-prinċipju ta’ responsabbiltà u l-approċċ ibbażat fuq ir-riskju (inklużi r-rekwiżiti ta’ trasparenza, ir-rekords dwar l-ipproċessar u n-notifiki ta’ ksur ta’ data). Dan jista’ jkompli jżidilhom il-kostijiet.

Kwistjoni speċifika minnhom hija r-reġistrazzjoni tal-attivitajiet ta’ pproċessar, li hija meqjusa mill-SMEs u mill-assoċjazzjonijiet iż-żgħar bħala piż amministrattiv impenjattiv. L-eżenzjoni minn dak l-obbligu fl-Artikolu 30(5) tal-GDPR tabilħaqq hija ristretta ħafna. Madankollu, l-isforzi relatati għall-konformità ma’ dak l-obbligu jenħtieġ li ma jkunux stmati b’mod eċċessiv. Meta n-negozju ewlieni tal-SMEs ma jkunx jinvolvi l-ipproċessar ta’ data personali, dawn ir-rekords jistgħu jkunu sempliċi u mhux impenjattivi. L-istess huwa minnu għal assoċjazzjonijiet volontarji u oħrajn. Rekords issimplifikati bħal dawn ikunu ffaċilitati minn mudelli ta’ rekords, kif diġà hija l-prattika ta’ wħud mill-awtoritajiet għall-protezzjoni tad-data. Fi kwalunkwe każ, kull min jipproċessa data personali jenħtieġ li jkollu ħarsa ġenerali lejn l-ipproċessar tad-data tiegħu bħala rekwiżit bażiku tal-prinċipju ta’ responsabbiltà.

L-iżvilupp ta’ għodod prattiċi fil-livell tal-UE mill-Bord, bħal formoli armonizzati għal ksur ta’ data u rekords issimplifikati tal-attivitajiet ta’ pproċessar, jista’ jgħin lill-SMEs u lill-assoċjazzjonijiet iż-żgħar 94 li l-attivitajiet ewlenin tagħhom ma jiffokawx fuq l-ipproċessar ta’ data personali sabiex jissodisfaw l-obbligi tagħhom.

Diversi assoċjazzjonijiet tal-industrija għamlu sforzi sabiex iżidu l-għarfien u jinformaw lill-membri tagħhom, pereżempju permezz ta’ konferenzi u seminars, billi jipprovdu lin-negozji b’informazzjoni dwar il-gwida disponibbli, jew billi żviluppaw servizz ta’ assistenza dwar il-privatezza għall-membri. Dawn jirrapportaw ukoll numru dejjem akbar ta’ seminars, ta’ laqgħat u ta’ avvenimenti organizzati minn gruppi ta’ riflessjoni u minn assoċjazzjonijiet ta’ SMEs dwar materji relatati mal-GDPR.

Sabiex jissaħħaħ il-moviment liberu tad-data kollha fi ħdan l-UE u sabiex tiġi stabbilita applikazzjoni koerenti tal-GDPR u tar-Regolament dwar il-Moviment Liberu ta’ Data Mhux Personali, il-Kummissjoni ħarġet ukoll gwida prattika dwar ir-regoli li jirregolaw l-ipproċessar ta’ settijiet ta’ data mħalltin, imsawra minn data kemm personali kif ukoll mhux personali, u mmirata b’mod partikolari lejn l-SMEs 95 .

Sett ta’ għodod għan-negozji

Il-GDPR jipprovdi għal għodod li jgħinu sabiex tintwera l-konformità, bħal kodiċijiet ta’ kondotta, mekkaniżmi ta’ ċertifikazzjoni, u klawżoli kuntrattwali standard.

·Il-kodiċijiet ta’ kondotta

Il-Bord ħareġ linji gwida 96 li jsostnu u jgħinu lis-“sidien tal-kodiċijiet” fl-abbozzar, fl-emendar jew fl-estensjoni tal-kodiċijiet, u jipprovdu gwida prattika u assistenza interpretattiva. Dawn il-linji gwida jiċċaraw ukoll il-proċeduri għas-sottomissjoni, għall-approvazzjoni u għall-pubblikazzjoni tal-kodiċijiet kemm fil-livell nazzjonali kif ukoll tal-UE billi jistabbilixxu l-kriterji minimi meħtieġa.

Il-partijiet ikkonċernati jqisu l-kodiċijiet ta’ kondotta bħala għodod siewja ħafna. Għad li ħafna kodiċijiet jiġu implimentati f’livell nazzjonali, bħalissa qed jitħejjew diversi kodiċijiet ta’ kondotta li jkopru l-UE kollha (pereżempju dwar apps tal-mowbajl dwar is-saħħa, riċerka dwar is-saħħa fil-ġenomika, il-cloud computing, il-kummerċjalizzazzjoni diretta, l-assigurazzjoni, l-ipproċessar bi prevenzjoni u servizzi ta’ konsulenza għat-tfal) 97 . L-operaturi jemmnu li l-kodiċijiet ta’ kondotta tal-UE jenħtieġ li jkunu promossi b’mod aktar prominenti hekk kif ikattru l-applikazzjoni konsistenti tal-GDPR fl-Istati Membri kollha.

Madankollu, il-kodiċijiet ta’ kondotta jeħtieġu wkoll iż-żmien u l-investiment mill-operaturi kemm għall-iżvilupp tagħhom kif ukoll għat-twaqqif tal-korpi ta’ monitoraġġ indipendenti meħtieġa. Ir-rappreżentanti mill-SMEs jisħqu fuq l-importanza u l-utilità tal-kodiċijiet ta’ kondotta mfassla għas-sitwazzjoni tagħhom u li ma jinvolvux kostijiet sproporzjonati.

Konsegwentement, l-assoċjazzjonijiet tan-negozji f’numru ta’ setturi implimentaw tipi oħra ta’ għodod awtoregolatorji bħal kodiċijiet ta’ prattika tajba jew gwida. Filwaqt li għodod bħal dawn jistgħu jipprovdu informazzjoni utli, dawn ma għandhomx l-approvazzjoni tal-awtoritajiet għall-protezzjoni tad-data u ma jistgħux iservu bħala għodda sabiex juru l-konformità mal-GDPR.

Il-Kunsill jisħaq li l-kodiċijiet ta’ kondotta jridu jixħtu attenzjoni partikolari fuq l-ipproċessar tad-data tat-tfal u tad-data dwar is-saħħa. Il-Kummissjoni qed tappoġġja kodiċi(jiet) ta’ kondotta li jarmonizzaw l-approċċ fis-saħħa u fir-riċerka u jiffaċilitaw l-ipproċessar transfruntier ta’ data personali 98 . Il-Bord jinsab fil-proċess li japprova l-abbozz tar-rekwiżiti ta’ akkreditazzjoni għall-korpi ta’ monitoraġġ tal-kodiċijiet ta’ kondotta proposti minn numru ta’ awtoritajiet għall-protezzjoni tad-data 99 . Ladarba l-kodiċijiet ta’ kondotta transnazzjonali jew tal-UE jkunu lesti sabiex jiġu sottomessi lill-awtoritajiet għall-protezzjoni tad-data għall-approvazzjoni, dawn jiġu kkonsultati fil-Bord. L-implimentazzjoni rapida ta’ kodiċijiet ta’ kondotta transnazzjonali hija partikolarment importanti għal oqsma li jinvolvu l-ipproċessar ta’ ammonti sinifikanti ta’ data (eż. cloud computing) jew data sensittiva (eż. saħħa/riċerka).

·Ċertifikazzjoni

Iċ-ċertifikazzjoni tista’ tkun strument siewi sabiex tintwera l-konformità ma’ rekwiżiti speċifiċi tal-GDPR. Din tista’ żżid iċ-ċertezza tad-dritt għan-negozji u tippromwovi l-GDPR globalment.

Kif indikat fl-istudju dwar iċ-ċertifikazzjoni ppubblikat f’April 2019 100 , jenħtieġ li l-objettiv ikun li tiġi ffaċilitata l-adozzjoni tal-iskemi rilevanti. L-iżvilupp ta’ skemi ta’ ċertifikazzjoni fl-UE se jkun sostnut mil-linji gwida maħruġa mill-Bord dwar il-kriterji ta’ ċertifikazzjoni 101 u dwar l-akkreditazzjoni tal-korpi ta’ ċertifikazzjoni 102 .

Is-sigurtà u l-protezzjoni tad-data mid-disinn huma elementi importanti li jridu jiġu kkunsidrati fl-iskemi ta’ ċertifikazzjoni taħt il-GDPR u jibbenefikaw minn approċċ komuni u ambizzjuż li jkopri l-UE kollha. Il-Kummissjoni se tkompli ssostni l-kuntatti kurrenti bejn l-Aġenzija tal-Unjoni Ewropea għaċ-Ċibersigurtà (ENISA), l-awtoritajiet għall-protezzjoni tad-data u l-Bord.

Rigward iċ-ċibersigurtà, wara l-adozzjoni tal-Att dwar iċ-Ċibersigurtà, il-Kummissjoni talbet li l-ENISA tħejji żewġ skemi ta’ ċertifikazzjoni inkluża skema waħda għas-servizzi tal-cloud 103 . Qed jiġu kkunsidrati skemi oħrajn li jindirizzaw iċ-ċibersigurtà tas-servizzi u tal-prodotti għall-konsumaturi. Filwaqt li dawn l-iskemi ta’ ċertifikazzjoni stabbiliti taħt l-Att dwar iċ-Ċibersigurtà ma jindirizzawx b’mod espliċitu l-protezzjoni tad-data u l-privatezza, dawn jikkontribwixxu għaż-żieda tal-fiduċja tal-konsumaturi fis-servizzi u fil-prodotti diġitali. Dawn l-iskemi jistgħu jipprovdu evidenza ta’ aderenza mal-prinċipji ta’ sigurtà mid-disinn kif ukoll l-implimentazzjoni ta’ miżuri tekniċi u organizzazzjonali xierqa relatati mas-sigurtà tal-ipproċessar ta’ data personali.

·Klawżoli kuntrattwali standard

Il-Kummissjoni qed taħdem fuq klawżoli kuntrattwali standard bejn il-kontrolluri u l-proċessuri 104 , anki fid-dawl tal-modernizzazzjoni tal-klawżoli kuntrattwali standard għal trasferimenti internazzjonali (ara t-Taqsima 7.2). Att tal-Unjoni, adottat mill-Kummissjoni, ser ikollu effett vinkolanti madwar l-UE kollha li jiżgura armonizzazzjoni sħiħa u ċertezza tad-dritt.

6L-applikazzjoni tal-GDPR għal teknoloġiji ġodda

Qafas newtrali għat-teknoloġija miftuħ għal teknoloġiji ġodda

Il-GDPR huwa newtrali għat-teknoloġija, jabilita l-fiduċja, u huwa msejjes fuq prinċipji 105 . Dawn il-prinċipji, li jinkludu l-ipproċessar legali u trasparenti, il-limitazzjoni tal-iskop u l-minimizzazzjoni tad-data, jipprovdu għal bażi solida għall-protezzjoni ta’ data personali, irrispettivament mill-operazzjonijiet u mit-tekniki ta’ pproċessar applikati.

Il-membri tal-Grupp ta’ Diversi Partijiet Ikkonċernati jirrapportaw li l-GDPR għandu impatt pożittiv fuq l-iżvilupp ta’ teknoloġiji ġodda u jipprovdi bażi tajba għall-innovazzjoni. Il-GDPR huwa meqjus bħala għodda essenzjali u flessibbli sabiex jiġi żgurat l-iżvilupp ta’ teknoloġiji ġodda f’konformità mad-drittijiet fundamentali. L-implimentazzjoni tal-prinċipji ewlenin tiegħu hija partikolarment kruċjali għall-ipproċessar intensiv fid-data. L-approċċ tal-GDPR ibbażat fuq ir-riskji u newtrali għat-teknoloġija jipprovdi livell ta’ protezzjoni tad-data li huwa adegwat sabiex jiġi indirizzat ir-riskju tal-ipproċessar, inkluż minn teknoloġiji emerġenti.

B’mod partikolari, il-partijiet ikkonċernati jsemmu li l-prinċipji tal-GDPR ta’ limitazzjoni tal-iskop u ta’ pproċessar kompatibbli ulterjuri, ta’ minimizzazzjoni tad-data, ta’ limitazzjoni tal-ħżin, ta’ trasparenza, ta’ responsabbiltà u l-kundizzjonijiet li fihom il-proċessi ta’ teħid ta’ deċiżjonijiet awtomatizzati 106 jistgħu jitnedew legalment fil-parti l-kbira jindirizzaw it-tħassib relatat mal-użu tal-intelliġenza artifiċjali.

L-approċċ li jaħseb għall-futur u bbażat fuq ir-riskju tal-GDPR se jkun applikat ukoll fil-qafas futur possibbli għall-intelliġenza artifiċjali u meta tiġi implimentata l-Istrateġija dwar id-Data. L-Istrateġija dwar id-data għandha l-għan li tkattar id-disponibbiltà tad-data u li toħloq spazji tad-data Ewropej komuni sostnuti minn servizzi ta’ infrastruttura tal-cloud federati. Fir-rigward tad-data personali, il-GDPR jipprovdi l-qafas ġuridiku ewlieni, li fi ħdanu jistgħu jitfasslu soluzzjonijiet effettivi fuq bażi ta’ każ b’każ skont in-natura u l-kontenut ta’ kull spazju tad-data.

Il-GDPR żied l-għarfien dwar il-protezzjoni ta’ data personali kemm fl-UE, kif ukoll lil hinn minnha u wassal sabiex kumpaniji jadattaw il-prattiki tagħhom b’tali mod li jqisu l-prinċipji dwar il-protezzjoni tad-data meta jinnovaw. Madankollu, l-organizzazzjonijiet tas-soċjetà ċivili jinnotaw li, minkejja li l-impatt tal-GDPR fuq l-iżvilupp ta’ teknoloġiji ġodda jidher li huwa pożittiv, il-prattiki tal-atturi diġitali ewlenin għadhom ma nbidlux b’mod fundamentali għal ipproċessar aktar favorevoli għall-privatezza. Infurzar b’saħħtu u effettiv tal-GDPR fir-rigward ta’ pjattaformi diġitali kbar u ta’ kumpaniji integrati kbar, inkluż f’oqsma bħar-reklamar online u l-mikrommirar, huwa element essenzjali għall-protezzjoni tal-individwi.

Il-Kummissjoni qed tanalizza l-kwistjonijiet usa’ relatati mal-imġibiet fis-suq ta’ atturi diġitali kbar fil-kuntest tal-pakkett tal-Att dwar is-Servizzi Diġitali 107 . Fir-rigward tar-riċerka fil-qasam tal-midja soċjali, il-Kummissjoni tfakkar li l-GDPR ma jistax jintuża bħala skuża mill-pjattaformi tal-midja soċjali sabiex jillimitaw l-aċċess ta’ riċerkaturi u ta’ verifikaturi tal-fatti għal data mhux personali bħal statistiki dwar liema reklami mmirati ntbagħtu lil liema kategoriji ta’ persuni, il-kriterji għat-tfassil ta’ dan l-immirar, informazzjoni dwar kontijiet foloz, eċċ.

L-approċċ teknoloġikament newtrali u li jaħseb għall-futur tal-GDPR waslitlu s-siegħa tal-prova matul il-pandemija tal-COVID-19 u wera li rnexxa. Ir-regoli tiegħu bbażati fuq il-prinċipji sostnew l-iżvilupp ta’ għodod għall-ġlieda u għall-monitoraġġ tat-tifrix tal-vajrus.

Sfidi li għandhom jiġu indirizzati

L-iżvilupp u l-applikazzjoni ta’ teknoloġiji ġodda ma jitfgħux dubji fuq dawn il-prinċipji. L-isfidi jinsabu fil-mod ’kif għandhom jiġu applikati l-prinċipji pprovati sabiex jintużaw teknoloġiji speċifiċi bħall-intelliġenza artifiċjali, il-blockchain, l-Internet tal-Oġġetti, ir-rikonoxximent tal-wiċċ jew il-computing kwantistiku.

F’dan il-kuntest, il-Parlament Ewropew u l-Kunsill saħqu fuq il-ħtieġa għal monitoraġġ kontinwu sabiex jiġi ċċarat kif il-GDPR japplika għal teknoloġiji ġodda u għal kumpaniji kbar tat-teknoloġija. Barra minn hekk, il-partijiet ikkonċernati jwissu li l-valutazzjoni ta’ jekk il-GDPR għadux idoneu għall-iskop tiegħu teħtieġ monitoraġġ kostanti.

Il-partijiet ikkonċernati tal-industrija jisħqu li l-innovazzjoni teħtieġ li l-GDPR jiġi applikat b’mod ibbażat fuq il-prinċipji, f’konformità mad-disinn tiegħu, aktar milli b’mod riġidu u formali. Dawn huma tal-fehma li l-linji gwida tal-Bord dwar kif għandhom jiġu applikati l-prinċipji, il-kunċetti u r-regoli tal-GDPR għal teknoloġiji ġodda bħall-intelliġenza artifiċjali, il-blockchain jew l-Internet tal-Oġġetti, b’kunsiderazzjoni tal-approċċ ibbażat fuq ir-riskji, ikunu ta’ għajnuna sabiex jiġu pprovduti kjarifiki u aktar ċertezza tad-dritt. Għodod tal-liġi mhux vinkolanti bħal dawn huma adattati sabiex jakkumpanjaw l-applikazzjoni tal-GDPR għat-teknoloġiji l-ġodda peress li jipprovdu għal aktar ċertezza tad-dritt u jistgħu jiġu rieżaminati f’konformità mal-iżviluppi teknoloġiċi. Xi partijiet ikkonċernati jissuġġerixxu wkoll li l-gwida settorjali dwar kif il-GDPR għandu jiġi applikat għal teknoloġiji ġodda tista’ tkun ta’ għajnuna.

Il-Bord iddikjara li se jkompli jikkunsidra l-impatt tat-teknoloġiji emerġenti fuq il-protezzjoni ta’ data personali.

Il-partijiet ikkonċernati jisħqu wkoll fuq l-importanza għar-regolaturi sabiex jiksbu fehim dettaljat ta’ kif it-teknoloġija qed tintuża u sabiex jidħlu fi djalogu mal-industrija dwar l-iżvilupp ta’ teknoloġiji emerġenti. Huma jqisu li approċċ ta’ “ambjent ta’ esperimentazzjoni regolatorja” – bħala mezz sabiex tinkiseb gwida dwar l-applikazzjoni tar-regoli – jista’ jkun għażla interessanti sabiex jiġu ttestjati teknoloġiji ġodda u n-negozji jiġu megħjuna japplikaw il-prinċipju ta’ protezzjoni tad-data mit-tfassil u b’mod awtomatiku f’teknoloġiji ġodda.

F’termini ta’ azzjoni politika ulterjuri, il-partijiet ikkonċernati jirrakkomandaw li kwalunkwe proposta ta’ politika fil-ġejjieni dwar l-intelliġenza artifiċjali jenħtieġ li tibni fuq l-oqfsa legali eżistenti u jkunu allinjati mal-GDPR. Jenħtieġ li kwistjonijiet speċifiċi potenzjali jiġu vvalutati bir-reqqa, fuq il-bażi tal-evidenza rilevanti, qabel ma jiġu proposti regoli preskrittivi ġodda.

Il-White Paper tal-Kummissjoni dwar l-Intelliġenza Artifiċjali tipproponi numru ta’ għażliet politiċi li dwarhom intalbu l-ftehmiet tal-partijiet ikkonċernati sal-14 ta’ Lulju 2020. Rigward ir-rikonoxximent tal-wiċċ, teknoloġija li tista’ tħalli impatt sinifikanti fuq id-drittijiet tal-individwi, il-White Paper fakkret fil-qafas leġiżlattiv kurrenti u fetħet dibattitu pubbliku dwar iċ-ċirkustanzi speċifiċi, jekk ikun hemm, li jistgħu jiġġustifikaw l-użu tal-intelliġenza artifiċjali għar-rikonoxximent tal-wiċċ u għal skopijiet oħra ta’ identifikazzjoni bijometrika mill-bogħod f’postijiet pubbliċi, u dwar salvagwardji komuni.

7Trasferimenti internazzjonali u kooperazzjoni globali

7.1Privatezza: kwistjoni globali

Id-domanda għall-protezzjoni ta’ data personali ma tħarisx lejn fruntieri, peress li l-individwi madwar id-dinja kollha saru jgħożżu u jħaddnu dejjem aktar il-privatezza u s-sigurtà tad-data tagħhom.

Fl-istess ħin, l-importanza tal-movimenti tad-data għall-individwi, għall-gvernijiet, għall-kumpaniji u, b’mod aktar ġenerali, għas-soċjetà kollha hija fatt inevitabbli fid-dinja interkonnessa tagħna. Dawn jikkostitwixxu parti integrali mill-kummerċ, mill-kooperazzjoni bejn l-awtoritajiet pubbliċi u mill-interazzjonijiet soċjali. F’dak ir-rigward, il-pandemija kurrenti tal-COVID-19 tenfasizza wkoll kemm huma kritiċi t-trasferiment u l-iskambju ta’ data personali għal ħafna attivitajiet essenzjali, inkluż sabiex tiġi żgurata l-kontinwità tal-operazzjonijiet tal-gvernijiet u tan-negozji – billi jippermettu t-telexogħol u soluzzjonijiet oħra li jibbażaw ferm fuq teknoloġiji tal-informazzjoni u tal-komunikazzjoni – filwaqt li tiġi żviluppata l-kooperazzjoni fir-riċerka xjentifika dwar id-djanjostika, it-trattamenti u t-tilqimiet, u jiġu miġġielda forom ġodda ta’ ċiberkriminalità bħal skemi ta’ frodi online li joffru mediċini ffalsifikati li jgħidu li jipprevjenu jew ifejqu l-COVID-19.

F’dan l-isfond, u aktar minn qatt qabel, il-protezzjoni tal-privatezza u l-iffaċilitar tal-movimenti tad-data jridu jaħdmu id f’id. L-UE, bir-reġim tagħha ta’ protezzjoni tad-data li jgħaqqad l-aċċess miftuħ għal trasferimenti internazzjonali ma’ livell għoli ta’ protezzjoni għall-individwi, tinsab f’pożizzjoni tajba sabiex tippromwovi movimenti ta’ data sikuri u fdati. Il-GDPR diġà rriżulta bħala punt ta’ riferiment fil-livell internazzjonali u aġixxa bħala katalist għal ħafna pajjiżi madwar id-dinja sabiex jikkunsidraw l-introduzzjoni ta’ regoli moderni dwar il-privatezza.

Din hija xejra tassew globali li qed tinħass, fost il-ħafna eżempji li jistgħu jissemmew, miċ-Ċilì sal-Korea t’Isfel, mill-Brażil sal-Ġappun, mill-Kenja sal-Indja, mit-Tuneżija sal-Indoneżja, u minn California sat-Tajwan. Dawn l-iżviluppi huma notevoli minn perspettiva mhux biss kwantitattiva iżda anki kwalitattiva: ħafna mil-liġijiet dwar il-privatezza adottati dan l-aħħar, jew li jinsabu fil-proċess li jiġu adottati, huma bbażati fuq sett ewlieni ta’ salvagwardji komuni, ta’ drittijiet u ta’ mekkaniżmi ta’ infurzar li huma kondiviżi mill-UE. F’dinja li ta’ spiss wisq hija kkaratterizzata minn approċċi regolatorji differenti, jekk mhux diverġenti, din ix-xejra lejn konverġenza globali hija żvilupp pożittiv ħafna li jġib miegħu opportunitajiet ġodda għaż-żieda tal-protezzjoni tal-individwi fl-Ewropa filwaqt li, fl-istess ħin, jiffaċilita l-movimenti tad-data u jbaxxi l-kostijiet tat-tranżazzjoni għall-operaturi kummerċjali.

7.2Is-sett ta’ għodod tal-GDPR għat-trasferimenti 

Hekk kif dejjem aktar operaturi privati u pubbliċi qed jibbażaw fuq movimenti internazzjonali tad-data bħala parti mill-operazzjonijiet ta’ rutina tagħhom, hemm ħtieġa dejjem akbar għal strumenti flessibbli li jistgħu jiġu adattati għal setturi, għal mudelli tan-negozju u għal sitwazzjonijiet ta’ trasferiment differenti. Filwaqt li jirrifletti dawn il-ħtiġijiet, il-GDPR joffri sett ta’ għodod modernizzat li jiffaċilita t-trasferiment ta’ data personali mill-UE lejn pajjiż terz jew organizzazzjoni internazzjonali, filwaqt li jiżgura li d-data tkompli tibbenefika minn livell għoli ta’ protezzjoni. Din il-kontinwità tal-protezzjoni hija importanti, peress li fid-dinja tal-lum id-data tiċċaqlaq faċilment bejn il-fruntieri u l-protezzjonijiet iggarantiti mill-GDPR ma jkunux kompluti li kieku jkunu limitati għall-ipproċessar fl-UE.

Bil-Kapitolu V tal-GDPR, il-leġiżlatur ikkonferma l-arkitettura tar-regoli dwar it-trasferimenti li diġà kienu jeżistu fid-Direttiva 95/46: it-trasferimenti ta’ data jistgħu jseħħu meta l-Kummissjoni tkun għamlet konstatazzjoni tal-adegwatezza fir-rigward ta’ pajjiż terz jew ta’ organizzazzjoni internazzjonali jew, fin-nuqqas ta’ din, fejn il-kontrollur jew il-proċessur fl-UE (“esportatur tad-data”) ikun ipprovda salvagwardji xierqa, pereżempju permezz ta’ kuntatt mar-riċevitur (“importatur tad-data”). Barra minn hekk, ir-raġunijiet statutorji għat-trasferimenti (l-hekk imsejħa derogi), għadhom disponibbli għal sitwazzjonijiet speċifiċi li għalihom il-leġiżlatur iddeċieda li l-bilanċ tal-interessi jippermetti trasferiment ta’ data taħt ċerti kundizzjonijiet. Fl-istess ħin, ir-riforma ċċarat u ssimplifikat ir-regoli eżistenti, pereżempju billi stipulat f’dettall il-kundizzjonijiet għal konstatazzjoni tal-adegwatezza jew ir-regoli korporattivi vinkolanti, billi llimitat ir-rekwiżiti ta’ awtorizzazzjoni għal ftit każijiet speċifiċi u billi neħħiet kompletament ir-rekwiżiti ta’ notifika. Barra minn hekk, ġew introdotti għodod ġodda ta’ trasferiment bħal kodiċijiet ta’ kondotta jew skemi ta’ ċertifikazzjoni u ġew estiżi l-possibbiltajiet għall-użu tal-istrumenti eżistenti (eż. klawżoli kuntrattwali standard).

L-ekonomija diġitali tal-lum tippermetti lil operaturi barranin jieħdu sehem (mill-bogħod iżda) direttament fis-suq intern tal-UE u jikkompetu għal klijenti Ewropej u għad-data personali tagħhom. Fejn dawn jimmiraw b’mod speċifiku lejn l-Ewropej billi joffru oġġetti jew servizzi, jew jimmonitorjaw l-imġiba tagħhom, jenħtieġ li jikkonformaw mad-dritt tal-UE bħall-operaturi tal-UE. Dan huwa rifless fl-Artikolu 3 tal-GDPR, li jestendi l-applikabbiltà diretta tar-regoli tal-UE dwar il-protezzjoni tad-data għal ċerti operazzjonijiet ta’ pproċessar tal-kontrolluri u tal-proċessuri barra mill-UE. Dan jiggarantixxi s-salvagwardji neċessarji u, barra minn hekk, kundizzjonijiet ekwi għall-kumpaniji kollha li joperaw fis-suq tal-UE.

L-applikabbiltà mifruxa tiegħu hija waħda mir-raġunijiet għaliex l-effetti tal-GDPR inħassu wkoll fi bnadi oħra tad-dinja. Għalhekk, il-gwida dettaljata maħruġa mill-Bord dwar il-kamp ta’ applikazzjoni territorjali tal-GDPR, wara konsultazzjoni pubblika komprensiva, hija importanti sabiex l-operaturi barranin ikunu megħjuna jiddeterminaw jekk l-attivitajiet ta’ pproċessar humiex soġġetti b’mod dirett għas-salvagwardji tiegħu, u f’dak il-każ liema minnhom, anki billi tipprovdi eżempji konkreti 109 .

Madankollu, l-estensjoni tal-kamp ta’ applikazzjoni tal-liġi tal-UE dwar il-protezzjoni tad-data minnha nnifisha mhijiex biżżejjed sabiex tiggarantixxi r-rispett tagħha fil-prattika. Kif enfasizzat mill-Kunsill 110 , huwa kruċjali li jiġu żgurati l-konformità mill-operaturi barranin, u l-infurzar effettiv kontra dawn. Il-ħatra ta’ rappreżentant fl-UE (l-Artikolu 27(1), (2) tal-GDPR) li jista’ jiġi indirizzat minn individwi u mill-awtoritajiet superviżorji minbarra jew minflok il-kumpanija responsabbli li taġixxi minn barra l-pajjiż 111 jenħtieġ li taqdi rwol importanti f’dan ir-rigward. Dan l-approċċ, li qed jittieħed dejjem aktar f’kuntesti oħra 112 , jenħtieġ li jiġi segwit b’aktar ħeġġa sabiex jintbagħat messaġġ ċar li n-nuqqas ta’ stabbiliment fl-UE ma jeħlisx lill-operaturi barranin mir-responsabbiltà tagħhom skont il-GDPR. Meta dawn l-operaturi jonqsu milli jissodisfaw l-obbligu tagħhom li jaħtru rappreżentant 113 , jenħtieġ li l-awtoritajiet superviżorji jagħmlu użu mis-sett ta’ għodod sħiħ dwar l-infurzar stabbilit fl-Artikolu 58 tal-GDPR (eż. twissijiet pubbliċi, projbizzjonijiet temporanji jew definittivi fuq l-ipproċessar fl-UE, infurzar kontra kontrolluri konġunti stabbiliti fl-UE).

Finalment, huwa importanti ħafna li l-Bord jiffinalizza l-ħidma tiegħu dwar l-iċċarar ulterjuri tar-relazzjoni bejn l-Artikolu 3 dwar l-applikazzjoni diretta tal-GDPR u r-regoli dwar it-trasferimenti internazzjonali fil-Kapitolu V 114 .

Deċiżjonijiet ta’ adegwatezza

Il-kontribut riċevut mill-partijiet ikkonċernati jikkonferma li d-deċiżjonijiet ta’ adegwatezza għadhom għodda essenzjali għall-operaturi tal-UE sabiex jittrasferixxu b’mod sikur id-data personali lil pajjiżi terzi 115 . Dawn id-deċiżjonijiet jipprovdu l-aktar soluzzjoni komprensiva, diretta u kosteffettiva għat-trasferimenti ta’ data peress li dawn huma assimilati għal trażmissjonijiet intra-UE, u b’hekk jiżguraw il-moviment sikur u liberu ta’ data personali mingħajr kundizzjonijiet oħra jew ħtieġa ta’ awtorizzazzjoni. Għalhekk, id-deċiżjonijiet ta’ adegwatezza jiftħu kanali kummerċjali għall-operaturi tal-UE u jiffaċilitaw il-kooperazzjoni bejn l-awtoritajiet pubbliċi, filwaqt li jipprovdu aċċess privileġġjat għas-suq uniku tal-UE. Filwaqt li jibni fuq il-prattika skont id-Direttiva tal-1995, il-GDPR jippermetti b’mod espliċitu li ssir determinazzjoni tal-adegwatezza fir-rigward ta’ territorju partikolari ta’ pajjiż terz jew fir-rigward ta’ settur jew ta’ industrija speċifiku fi ħdan pajjiż terz (l-hekk imsejħa adegwatezza “parzjali”).

Il-GDPR jibni fuq l-esperjenza tas-snin tal-passat u l-kjarifiki previsti mill-Qorti tal-Ġustizzja billi jistabbilixxi katalogu dettaljat ta’ elementi li l-Kummissjoni trid tikkunsidra fil-valutazzjoni tagħha. L-istandard ta’ adegwatezza jeħtieġ livell ta’ protezzjoni li huwa komparabbli (jew “essenzjalment ekwivalenti”) għal dak żgurat fl-UE 116 . Dan jinvolvi valutazzjoni komprensiva tas-sistema ta’ pajjiż terz fis-sħuħija tagħha, li tinkludi s-sustanza tal-protezzjonijiet tal-privatezza, l-implimentazzjoni u l-infurzar effettivi tagħhom, kif ukoll ir-regoli dwar l-aċċess għal data personali mill-awtoritajiet pubbliċi, b’mod partikolari għall-finijiet ta’ infurzar tal-liġi u ta’ sigurtà nazzjonali 117 .

Dan huwa rifless fil-gwida adottata mill-eks Grupp ta’ Ħidma tal-Artikolu 29 (u approvata mill-Bord), b’mod partikolari l-hekk imsejħa “adegwatezza referenzjali”, li tkompli tikklassifika l-elementi li l-Kummissjoni trid tikkunsidra meta twettaq valutazzjoni tal-adegwatezza, inkluż billi tipprovdi ħarsa ġenerali lejn il-“garanziji essenzjali” għall-aċċess għal data personali mill-awtoritajiet pubbliċi 118 . Din tal-aħħar tibni b’mod partikolari fuq il-ġurisprudenza tal-Qorti Ewropea tad-Drittijiet tal-Bniedem. Filwaqt li l-istandard ta’ “ekwivalenza essenzjali” majtinvolvix replika minn punt sa punt (“fotokopja”) tar-regoli tal-UE, peress li l-mezzi ta’ żgurar ta’ livell komparabbli ta’ protezzjoni jistgħu jvarjaw bejn sistemi ta’ privatezza differenti, li spiss jirriflettu tradizzjonijiet legali differenti, xorta waħda jeħtieġ livell b’saħħtu ta’ protezzjoni.

Dan l-istandard huwa ġġustifikat mill-fatt li deċiżjoni tal-adegwatezza essenzjalment testendi għal pajjiż terz il-benefiċċji tas-suq uniku f’termini tal-moviment liberu tad-data. Madankollu, dan ifisser ukoll li kultant se jkun hemm differenzi rilevanti bejn il-livell ta’ protezzjoni żgurat fil-pajjiż terz inkwistjoni meta mqabbel mal-GDPR li jridu jiġu solvuti, pereżempju permezz tan-negozjar ta’ salvagwardji addizzjonali. Jenħtieġ li salvagwardji bħal dawn jitqiesu minn lenti pożittiva peress li jkomplu jsaħħu l-protezzjonijiet disponibbli għall-individwi fl-UE. Fl-istess ħin, il-Kummissjoni taqbel mal-Bord dwar l-importanza tal-monitoraġġ kontinwu tal-applikazzjoni tagħhom fil-prattika, inkluż l-infurzar effettiv mill-awtorità ta’ pajjiż terz għall-protezzjoni tad-data 119 .

Il-GDPR jiċċara li d-deċiżjonijiet ta’ adegwatezza huma “strumenti ħajjin” li jenħtieġ li jiġu monitorjati kontinwament u rieżaminati kull ċertu żmien 120 . F’konformità ma’ dawn ir-rekwiżiti, il-Kummissjoni torganizza skambji regolari mal-awtoritajiet rilevanti sabiex tagħti segwitu proattiv għal dawn l-iżviluppi. Pereżempju, sa mill-adozzjoni tad-deċiżjoni dwar it-Tarka tal-Privatezza UE-U.S. fl-2016 121 , il-Kummissjoni, flimkien mar-rappreżentanti mill-Bord, wettqet tliet rieżamijiet annwali sabiex tevalwa l-aspetti kollha tal-funzjonament tal-qafas. 122 Dawn ir-rieżamijiet ibbażaw fuq l-informazzjoni miksuba permezz tal-iskambji mal-awtoritajiet tal-Istati Uniti kif ukoll fuq il-kontribut ta’ partijiet ikkonċernati oħra, bħall-awtoritajiet tal-UE għall-protezzjoni tad-data, is-soċjetà ċivili u l-assoċjazzjonijiet kummerċjali. Dawn ippermettew li jitjieb il-funzjonament prattiku ta’ diversi elementi tal-qafas. F’perspettiva usa’, ir-rieżamijiet annwali kkontribwew għall-istabbiliment ta’ djalogu aktar mifrux mal-amministrazzjoni tal-Istati Uniti dwar il-privatezza b’mod ġenerali, u l-limitazzjonijiet u s-salvagwardji fir-rigward tas-sigurtà nazzjonali b’mod partikolari.

Bħala parti mill-ewwel evalwazzjoni tagħha tal-GDPR, il-Kummissjoni hija meħtieġa wkoll tirrieżamina d-deċiżjonijiet ta’ adegwatezza adottati skont id-Direttiva tal-1995 123 . Is-servizzi tal-Kummissjoni daħlu fi djalogu intensiv ma’ kull wieħed mill-11-il pajjiż u territorju kkonċernati sabiex tivvaluta kif is-sistemi tagħhom ta’ protezzjoni tad-data personali evolvew mindu ġiet adottata d-deċiżjoni ta’ adegwatezza u jekk jissodisfawx l-istandard stabbilit mill-GDPR. Il-ħtieġa li tiġi żgurata l-kontinwità ta’ deċiżjonijiet bħal dawn, peress li huma għodda importanti għall-kummerċ u għall-kooperazzjoni internazzjonali, hija wieħed mill-fatturi li wasslu sabiex diversi minn dawn il-pajjiżi u t-territorji jimmodernizzaw u jsaħħu l-liġijiet tagħhom dwar il-privatezza. Dawn ċertament li huma żviluppi ta’ min ifaħħarhom. Qed jiġu diskussi salvagwardji addizzjonali ma’ wħud minn dawn il-pajjiżi u t-territorji sabiex jiġu indirizzati d-differenzi rilevanti fil-protezzjoni.

Madankollu, peress li f’sentenza li se tinqata’ fis-16 ta’ Lulju l-Qorti tal-Ġustizzja tista’ tipprovdi kjarifiki li jistgħu jkunu rilevanti għal ċerti elementi tal-istandard ta’ adegwatezza, il-Kummissjoni se tirrapporta b’mod separat dwar l-evalwazzjoni tal-imsemmija 11-il deċiżjoni ta’ adegwatezza wara li l-Qorti tal-Ġustizzja qatgħet is-sentenza tagħha f’dik il-kawża. 124

Il-Kummissjoni taqbel bis-sħiħ mas-sejħa mill-partijiet ikkonċernati sabiex jintensifikaw id-djalogu ma’ ċerti pajjiżi terzi fid-dawl ta’ konstatazzjonijiet possibbli ġodda tal-adegwatezza 127 . Hija qed tesplora din il-possibbiltà b’mod attiv flimkien ma’ sħab importanti oħra fl-Asja, fl-Amerika Latina u fil-Viċinat, filwaqt li tibni fuq it-tendenza kurrenti favur konverġenza globali mtejba fl-istandards għall-protezzjoni tad-data. Pereżempju, leġiżlazzjoni komprensiva dwar il-privatezza ġiet adottata jew tinsab fi stadju avvanzat tal-proċess leġiżlattiv fl-Amerika Latina (il-Brażil, iċ-Ċilì), u qed iseħħu żviluppi promettenti fl-Asja (eż. l-Indja, l-Indoneżja, il-Malasja, is-Sri Lanka, it-Tajwan u t-Tajlandja), fl-Afrika (eż. l-Etjopja, il-Kenja) kif ukoll fil-Viċinat tal-Lvant u tan-Nofsinhar tal-Ewropa (eż. il-Georgia, it-Tuneżija). Fejn possibbli, il-Kummissjoni se taħdem favur il-kisba ta’ deċiżjonijiet komprensivi ta’ adegwatezza li jkopru s-settur kemm privat kif ukoll pubbliku 128 .

Barra minn hekk, il-GDPR introduċa wkoll il-possibbiltà li l-Kummissjoni tadotta konstatazzjonijiet tal-adegwatezza għal organizzazzjonijiet internazzjonali. Fi żmien li fih l-organizzazzjonijiet internazzjonali qed jimmodernizzaw ir-reġimi tagħhom dwar il-protezzjoni tad-data billi jimplimentaw regoli komprensivi, kif ukoll mekkaniżmi li jipprovdu sorveljanza u rimedju indipendenti, dan il-perkors jista’ jiġi esplorat għall-ewwel darba.

Finalment, il-Kummissjoni tilqa’ l-fatt li pajjiżi oħra qed jimplimentaw mekkaniżmi ta’ trasferiment tad-data simili għal konstatazzjoni tal-adegwatezza. B’dan il-mod, spiss dawn jagħrfu lill-UE u lill-pajjiżi li għalihom il-Kummissjoni adottat deċiżjoni ta’ adegwatezza, bħala destinazzjonijiet sikuri għat-trasferimenti 131 . In-numru dejjem akbar ta’ pajjiżi li jibbenefikaw minn deċiżjonijiet ta’ adegwatezza tal-UE, minn naħa, u din il-forma ta’ rikonoxximent minn pajjiżi oħra, min-naħa l-oħra, għandu l-potenzjal li joħloq network ta’ pajjiżi fejn id-data tista’ tiċċaqlaq b’mod liberu u sikur. Il-Kummissjoni tqis li dan huwa żvilupp ta’ min ifaħħru li se jkompli jżid il-benefiċċji ta’ deċiżjoni ta’ adegwatezza għall-pajjiżi terzi u jikkontribwixxi għall-konverġenza globali. Dan it-tip ta’ sinerġiji jista’ jikkontribwixxi b’mod utli wkoll għall-iżvilupp ta’ oqfsa għall-moviment sikur u liberu ta’ data, bħal fil-kuntest tal-inizjattiva “moviment liberu tad-data b’fiduċja” (ara aktar ’il quddiem).

Salvagwardji xierqa

Il-GDPR jipprovdi għal numru ta’ strumenti oħra ta’ trasferiment lil hinn mis-soluzzjoni komprensiva għal konstatazzjoni tal-adegwatezza. Il-flessibbiltà ta’ dan is-“sett ta’ għodod” tintwera bl-Artikolu 46 tal-GDPR, li jirregola t-trasferimenti ta’ data fuq il-bażi ta’ “salvagwardji xierqa”, inklużi d-drittijiet infurzabbli tas-suġġetti tad-data u rimedji legali effettivi. Sabiex jiggarantixxu salvagwardji xierqa, hemm strumenti differenti disponibbli sabiex jaħsbu għall-ħtiġijiet ta’ trasferiment kemm tal-operaturi kummerċjali kif ukoll tal-korpi pubbliċi.

·Klawżoli kuntrattwali standard (SCCs)

L-ewwel grupp ta’ dawn l-istrumenti jikkonċerna għodod kuntrattwali, li jistgħu jkunu jew imfassla apposta, klawżoli ad hoc ta’ protezzjoni tad-data miftiehma bejn esportatur tad-data fl-UE u importatur tad-data barra mill-UE awtorizzat mill-awtorità kompetenti għall-protezzjoni tad-data (l-Artikolu 46(3)(a) tal-GDPR) jew klawżoli mudell approvati minn qabel mill-Kummissjoni (l-Artikolu 46(2)(c), (d) tal-GDPR 132 ). L-aktar importanti minn fost dawn l-istrumenti huma l-hekk imsejħa klawżoli kuntrattwali standard (SCCs), jiġifieri klawżoli mudell ta’ protezzjoni tad-data li l-esportatur tad-data u l-importatur tad-data jistgħu jinkorporaw fl-arranġamenti kuntrattwali tagħhom (eż. kuntratt ta’ servizz li jeħtieġ it-trasferiment ta’ data personali) fuq bażi volontarja u li stabbilew ir-rekwiżiti relatati mas-salvagwardji xierqa.

L-SCCs jirrappreżentaw bil-bosta l-aktar mekkaniżmu użat għat-trasferiment tad-data 133 . Eluf ta’ kumpaniji tal-UE jibbażaw fuq l-SCCs sabiex jipprovdu firxa wiesgħa ta’ servizzi lill-klijenti, lill-fornituri, lis-sħab u lill-impjegati tagħhom, inklużi servizzi essenzjali għall-funzjonament tal-ekonomija. L-użu mifrux tagħhom jindika li huma tassew siewja għan-negozji fl-isforzi ta’ konformità tagħhom u ta’ benefiċċju partikolari għal kumpaniji li ma għandhomx ir-riżorsi sabiex jinnegozjaw kuntratti individwali ma’ kull wieħed mis-sħab kummerċjali tagħhom. Permezz tal-istandardizzazzjoni u tal-approvazzjoni minn qabel tagħhom, l-SCCs jipprovdu lill-kumpaniji b’għodda faċli sabiex tiġi implimentata bl-għan li jissodisfaw ir-rekwiżiti ta’ protezzjoni tad-data f’kuntest ta’ trasferiment.

Is-settijiet eżistenti ta’ SCCs 134 ġew adottati u approvati fuq il-bażi tad-Direttiva tal-1995. Dawn l-SCCs jibqgħu fis-seħħ sakemm jiġu emendati, issostitwiti jew irrevokati, jekk ikun hemm bżonn permezz ta’ deċiżjoni tal-Kummissjoni (l-Artikolu 46(5) tal-GDPR). Il-GDPR jespandi l-possibbiltajiet li jintużaw l-SCCs kemm fi ħdan l-UE u wkoll għat-trasferimenti internazzjonali. Il-Kummissjoni qed taħdem mal-partijiet ikkonċernati sabiex jagħmlu użu minn dawn il-possibbiltajiet u sabiex jaġġornaw il-klawżoli eżistenti 135 . Sabiex tiżgura li t-tfassil futur tal-SCCs ikun idoneu għall-iskop fil-mira, il-Kummissjoni kienet qed tiġbor feedback dwar l-esperjenzi tal-partijiet ikkonċernati bl-SCCs, permezz tal-“Grupp ta’ Diversi Partijiet Ikkonċernati dwar il-GDPR” u workshop iddedikat li sar f’Settembru 2019, iżda anki permezz ta’ diversi kuntatti ma’ kumpanji li jużaw l-SCCs kif ukoll ma’ organizzazzjonijiet tas-soċjetà ċivili. Il-Bord qed jaġġorna wkoll numru ta’ linji gwida li jistgħu jkunu rilevanti għar-rieżami tal-SCCs, pereżempju dwar il-kunċetti ta’ kontrollur u ta’ proċessur.

Fl-indirizzar ta’ dawn il-punti, il-Kummissjoni qed tikkunsidra wkoll modi kif tagħmel l-“arkitettura” kurrenti tal-SCCs aktar faċli għall-utenti, pereżempju billi tissostitwixxi diversi settijiet ta’ SCCs b’dokument komprensiv wieħed. L-isfida hija li jinstab bilanċ tajjeb bejn il-ħtieġa għal ċarezza u ċertu grad ta’ standardizzazzjoni, minn naħa, u l-flessibbiltà meħtieġa li se tippermetti li l-klawżoli jintużaw minn numru ta’ operaturi b’rekwiżiti differenti, f’kuntesti differenti u għal tipi differenti ta’ trasferimenti, min-naħa l-oħra.

Aspett importanti ieħor li jrid jiġi kkunsidrat huwa l-ħtieġa possibbli, fid-dawl tal-litigazzjoni kurrenti quddiem il-Qorti tal-Ġustizzja 137 , sabiex ikomplu jiġu ċċarati s-salvagwardji fir-rigward tal-aċċess mill-awtoritajiet pubbliċi barranin għad-data ttrasferita fuq il-bażi tal-SCCs, b’mod partikolari għal skopijiet ta’ sigurtà nazzjonali. Dan jista’ jinkludi l-ħtieġa li l-importatur tad-data jew l-esportatur tad-data, jew it-tnejn li huma, jieħdu azzjoni, u li jiġi ċċarat ir-rwol tal-awtoritajiet għall-protezzjoni tad-data f’dak il-kuntest. Għad li r-reviżjoni tal-SCCs tinsab fi stadju avvanzat ferm, se jkun hemm bżonn li nistennew is-sentenza tal-Qorti sabiex dawn ikunu jirriflettu kwalunkwe rekwiżit addizzjonali possibbli fil-klawżoli riveduti, qabel ma abbozz ta’ deċiżjoni dwar sett ġdid ta’ SCCs ikun jista’ jiġi sottomess lill-Bord għall-opinjoni tiegħu u, imbagħad, propost għall-adozzjoni permezz tal-“proċedura ta’ kumitat” 138 .

B’mod parallel, il-Kummissjoni daħlet f’kuntatt ma’ sħab internazzjonali li qed jiżviluppaw għodod simili. 139 Dan id-djalogu, li jippermetti li jsir skambju tal-esperjenzi u tal-aħjar prattiki, jista’ jikkontribwixxi b’mod sinifikanti għall-iżvilupp ulterjuri tal-konverġenza “fil-prattika”, u b’dan il-mod jiffaċilita l-konformità mar-regoli dwar it-trasferimenti transfruntiera għal kumpaniji li joperaw f’reġjuni differenti tad-dinja.

·Ir-Regoli korporattivi vinkolanti (BCRs)

Strument importanti ieħor huwa l-hekk imsejħa regoli korporattivi vinkolanti (BCRs). Dawn huma politiki u arranġamenti legalment vinkolanti li japplikaw għall-membri ta’ grupp korporattiv, inklużi l-impjegati tiegħu (l-Artikoli 46(2)(b), 47 tal-GDPR). L-użu tal-BCRs jippermetti li data personali timxi liberament fost id-diversi membri tal-grupp madwar id-dinja – u b’hekk jiffranka l-bżonn li jkun hemm arranġamenti kuntrattwali bejn kull entità korporattiva individwali – filwaqt li jiġi żgurat li l-istess livell għoli ta’ protezzjoni tad-data personali jiġi rrispettat fi ħdan il-grupp kollu. Dawn joffru soluzzjoni partikolarment tajba għal gruppi korporattivi kumplessi u kbar u għall-kooperazzjoni msaħħa bejn intrapriżi li jiskambjaw data bejn diversi ġurisdizzjonijiet. Għall-kuntrarju tad-Direttiva tal-1995, skont il-GDPR il-BCRs jistgħu jintużaw minn grupp ta’ intrapriżi involuti f’attività ekonomika konġunta iżda li ma jagħmlux parti mill-istess grupp korporattiv.

Proċeduralment, il-BCRs iridu jiġu approvati mill-awtoritajiet kompetenti għall-protezzjoni tad-data, fuq il-bażi ta’ opinjoni mhux vinkolanti mill-Bord 140 . Sabiex jiggwida dan il-proċess, il-Bord irrieżamina r-“referenzjali” tal-BCRs (li jistabbilixxu l-istandards sostantivi) għall-kontrolluri 141 u għall-proċessuri 142 fid-dawl tal-GDPR, u qed ikompli jaġġorna dawn id-dokumenti fuq il-bażi tal-esperjenza prattika miksuba mill-awtoritajiet superviżorji. Huwa adotta wkoll diversi dokumenti ta’ gwida sabiex jgħin lill-applikanti, u jissimplifika l-proċess ta’ applikazzjoni u ta’ approvazzjoni għall-BCRs 143 . Skont il-Bord, bħalissa hemm aktar minn 40 BCR fil-proċess li jiġu approvati, u nofshom huma mistennija jiġu approvati sal-aħħar tal-2020 144 . Importanti li l-awtoritajiet għall-protezzjoni tad-data jkomplu jaħdmu fuq is-simplifikazzjoni ulterjuri tal-proċess ta’ approvazzjoni, peress li t-tali ta’ dawn il-proċeduri spiss jissemma mill-partijiet ikkonċernati bħala ostaklu prattiku għall-użu aktar mifrux tal-BCRs.

Finalment, speċifikament fir-rigward tal-BCRs approvati mill-awtorità tar-Renju Unit għall-protezzjoni tad-data – l-Information Commissioner Office – il-kumpaniji se jkunu jistgħu jkomplu jużawhom bħala mekkaniżmu validu ta’ trasferiment skont il-GDPR wara li jintemm il-perjodu ta’ tranżizzjoni skont il-Ftehim tal-UE u tar-Renju Unit dwar il-Ħruġ , iżda biss jekk jiġu emendati b’tali mod li kwalunkwe konnessjoni mal-ordinament ġuridiku tar-Renju Unit tiġi ssostitwita b’referenzi xierqa għal entitajiet korporattivi u għal entitajiet kompetenti fi ħdan l-UE. L-approvazzjoni ta’ kwalunkwe BCR ġdida jenħtieġ li titfittex mingħand waħda mill-awtoritajiet superviżorji fl-UE.

·Il-mekkaniżmi ta’ ċertifikazzjoni u l-kodiċijiet ta’ kondotta

Minbarra l-modernizzazzjoni u t-twessigħ tal-applikazzjoni tal-għodod diġà eżistenti ta’ trasferiment, il-GDPR introduċa strumenti ġodda, u b’hekk espanda l-possibbiltajiet għal trasferimenti internazzjonali. Dan jinkludi l-użu, taħt ċerti kundizzjonijiet, ta’ kodiċijiet ta’ kondotta u ta’ mekkaniżmi ta’ ċertifikazzjoni approvati (bħal siġilli jew marki ta’ privatezza) għall-iżgurar ta’ salvagwardji xierqa. Dawn huma għodod minn isfel għal fuq għal soluzzjonijiet imfassla apposta – bħala mekkaniżmu ta’ responsabbiltà ġenerali (ara l-Artikoli minn 40 sa 42 tal-GDPR) u, speċifikament, għal trasferimenti internazzjonali ta’ data – li jirriflettu, pereżempju, il-karatteristiċi u l-ħtiġijiet speċifiċi ta’ ċerti settur jew industrija, jew ta’ movimenti partikolari tad-data. Billi jikkalibraw l-obbligi mar-riskji, il-Kodiċijiet ta’ Kondotta jistgħu wkoll ikunu mod utli u kosteffettiv ħafna għall-intrapriżi żgħar u medji sabiex jissodisfaw l-obbligi tagħhom relatati mal-GDPR.

Fir-rigward tal-mekkaniżmi ta’ ċertifikazzjoni, għad li l-Bord adotta linji gwida sabiex irawwem l-użu tagħhom fi ħdan l-UE, il-ħidma tiegħu fuq l-iżvilupp ta’ kriterji għall-approvazzjoni ta’ mekkaniżmi ta’ ċertifikazzjoni bħala għodod għat-trasferimenti internazzjonali għadha għaddejja. L-istess japplika għall-kodiċijiet ta’ kondotta, li fir-rigward tagħhom il-Bord bħalissa qed jaħdem fuq linji gwida sabiex jintużaw bħala għodda għat-trasferimenti.

Fid-dawl tal-fatt li huwa importanti li l-operaturi jiġu pprovduti b’firxa wiesgħa ta’ strumenti għat-trasferimenti li jkunu adattati għall-ħtiġijiet tagħhom, u minħabba l-potenzjal li għandhom b’mod partikolari l-mekkaniżmi ta’ ċertifikazzjoni sabiex jiffaċilitaw it-trasferimenti tad-data filwaqt li jiżguraw livell għoli ta’ protezzjoni tad-data, il-Kummissjoni teżiġi li l-Bord jiffinalizza mill-aktar fis possibbli l-gwida tiegħu f’dan ir-rigward. Dan jikkonċerna kemm aspetti sostantivi (kriterji) u kif ukoll proċedurali (approvazzjoni, monitoraġġ, eċċ.). Il-partijiet ikkonċernati esprimew interess kbir f’dawn il-mekkaniżmi ta’ trasferiment u jenħtieġ li jkunu jistgħu jagħmlu użu sħiħ mis-sett ta’ għodod tal-GDPR. Il-linji gwida tal-Bord jikkontribwixxu wkoll għall-promozzjoni tal-mudell tal-UE għall-protezzjoni tad-data f’livell globali u jkattru l-konverġenza peress li sistemi oħra tal-privatezza qed jużaw strumenti simili.

Jistgħu jittieħdu tagħlimiet siewja minn sforzi eżistenti ta’ standardizzazzjoni fil-qasam tal-privatezza, kemm fil-livell Ewropew kif ukoll internazzjonali. Eżempju interessanti minnhom huwa l-istandard internazzjonali maħruġ riċentement ISO 27701 145 , li għandu l-għan li jgħin lin-negozji jissodisfaw ir-rekwiżiti dwar il-privatezza u jimmaniġġjaw ir-riskji relatati mal-ipproċessar tad-data personali permezz tas-“sistemi ta’ ġestjoni tal-informazzjoni tal-privatezza”. Għad li ċ-ċertifikazzjoni skont l-istandard minnha nnifisha ma tissodisfax ir-rekwiżiti tal-Artikoli 42 u 43 tal-GDPR, l-applikazzjoni tas-Sistemi ta’ Ġestjoni tal-Informazzjoni tal-Privatezza tista’ tikkontribwixxi għar-responsabbiltà, anki fil-kuntest ta’ trasferimenti internazzjonali tad-data.

·Ftehimiet internazzjonali u arranġamenti amministrattivi

Il-GDPR jagħmilha wkoll possibbli li jiġu żgurati salvagwardji xierqa għat-trasferimenti ta’ data bejn l-awtoritajiet jew il-korpi pubbliċi fuq il-bażi ta’ ftehimiet internazzjonali (l-Artikolu 46(2)(a)) jew ta’ arranġamenti amministrattivi (l-Artikolu 46(3)(b)). Filwaqt li ż-żewġ strumenti jridu jiggarantixxu l-istess eżitu f’termini ta’ salvagwardji, inklużi drittijiet eżegwibbli tas-suġġetti tad-data u rimedji legali effettivi, dawn ivarjaw fir-rigward tan-natura legali u tal-proċedura ta’ adozzjoni tagħhom.

Għall-kuntrarju tal-ftehimiet internazzjonali, li joħolqu obbligi vinkolanti skont id-dritt internazzjonali, l-arranġamenti amministrattivi (eż. fil-forma ta’ Memorandum ta’ Qbil) tipikament ma jkunux vinkolanti u, għalhekk, jeħtieġu awtorizzazzjoni minn qabel mill-awtorità kompetenti għall-protezzjoni tad-data (ara wkoll il-Premessa 108 tal-GDPR). Eżempju bikri minnhom jikkonċerna l-arranġament amministrattiv għat-trasferiment ta’ data personali bejn superviżuri finanzjarji fiż-ŻEE u mhux fiż-ŻEE li jikkooperaw taħt il-kappa tal-Organizzazzjoni Internazzjonali tal-Kummissjonijiet tat-Titoli (IOSCO), li l-Bord ħareġ Opinjoni 146 dwaru kmieni fl-2019. Minn dak iż-żmien, il-Bord kompla jiżviluppa l-interpretazzjoni tiegħu tas-“salvagwardji minimi” li l-ftehimiet internazzjonali (ta’ kooperazzjoni) u l-arranġamenti amministrattivi bejn l-awtoritajiet jew il-korpi pubbliċi (li jinkludu organizzazzjonijiet internazzjonali) iridu jiżguraw li jikkonformaw mar-rekwiżiti tal-Artikolu 46 tal-GDPR. Fit-18 ta’ Jannar 2020, huwa adotta l-abbozz ta’ linji gwida 147 , u b’hekk indirizza t-talba tal-Istati Membri għal kjarifika u għal gwida ulterjuri dwar x’jista’ jitqies bħala salvagwardji xierqa għat-trasferimenti bejn l-awtoritajiet pubbliċi 148 . Il-Bord jirrakkomanda b’ħeġġa li l-awtoritajiet pubbliċi jużaw dawn il-linji gwida bħala punt ta’ riferiment għan-negozjati tagħhom ma’ partijiet terzi 149 .

Il-linji gwida juru l-flessibbiltà fit-tfassil tat-tali strumenti, inkluż f’aspetti importanti bħas-sorveljanza 150 u r-rimedju 151 . Jenħtieġ li dan jippermetti lill-awtoritajiet pubbliċi jegħlbu d-diffikultajiet, pereżempju, fl-iżgurar tad-drittijiet infurzabbli tas-suġġetti tad-data permezz ta’ arranġamenti mhux vinkolanti. Element importanti ta’ dawn l-arranġamenti huwa l-monitoraġġ kontinwu tagħhom mill-awtorità kompetenti għall-protezzjoni tad-data – sostnuta mir-rekwiżiti ta’ informazzjoni u ta’ żamma ta’ rekords – u s-sospensjoni tal-movimenti tad-data jekk fil-prattika ma jkunux jistgħu jibqgħu jiġu żgurati salvagwardji xierqa.

Derogi

Finalment, il-GDPR jiċċara l-użu tal-hekk imsejħa “derogi”. Dawn huma raġunijiet speċifiċi għat-trasferimenti ta’ data (eż. kunsens espliċitu 152 , eżekuzzjoni ta’ kuntratt jew raġunijiet importanti ta’ interess pubbliku) rikonoxxuti bil-liġi, u li l-entitajiet jistgħu jibbażaw fuqhom fin-nuqqas ta’ għodod oħra għat-trasferiment u taħt ċerti kundizzjonijiet.

Sabiex jiġi ċċarat l-użu ta’ tali raġunijiet statutorji, il-Bord ħareġ gwida speċifika 153 u interpreta l-Artikolu 49 f’numru ta’ każijiet fir-rigward ta’ xenarji speċifiċi ta’ trasferiment 154 . Minħabba l-karattru eċċezzjonali tagħhom, il-Bord iqis li d-derogi jridu jiġu interpretati b’mod restrittiv, skont il-każ. Minkejja l-implimentazzjoni stretta tagħhom, dawn ir-raġunijiet ikopru firxa wiesgħa ta’ xenarji ta’ trasferiment. Dan jinkludi b’mod partikolari t-trasferimenti tad-data minn awtoritajiet kemm pubbliċi kif ukoll privati neċessarji għal “raġunijiet importanti ta’ interess pubbliku”, pereżempju bejn l-awtoritajiet tal-kompetizzjoni, finanzjarji, tat-taxxa jew tad-dwana, is-servizzi kompetenti għal materji relatati mas-sigurtà soċjali jew mas-saħħa pubblika (bħal fil-każ ta’ traċċar tal-kuntatti għal mard li jittieħed jew sabiex jiġi eliminat id-doping fl-isport) 155 . Qasam ieħor huwa dak tal-kooperazzjoni transfruntiera għall-finijiet ta’ infurzar tal-liġi kriminali, b’mod partikolari rigward il-kriminalità serja 156 .

Il-Bord iċċara li, għad li l-interess pubbliku rilevanti jrid ikun rikonoxxut fid-dritt tal-UE jew tal-Istat Membru, dan jista’ jiġi stabbilit ukoll fuq il-bażi ta’ “ftehim jew konvenzjoni internazzjonali li tirrikonoxxi objettiv partikolari u tipprevedi l- kooperazzjoni internazzjonali sabiex jitrawwem dak l-objettiv tista’ tkun indikatur meta tiġi vvalutata l-eżistenza ta’ interess pubbliku skont l-Artikolu 49(1)(d), sakemm l-UE jew l-Istati Membri jkunu parti f’dak il-ftehim jew f’dik il-konvenzjoni” 157 .

Deċiżjonijiet minn qrati jew minn awtoritajiet barranin: mhux raġuni għal trasferimenti

Minbarra li jistabbilixxi b’mod pożittiv il-bażijiet għat-trasferimenti tad-data, il-Kapitolu V tal-GDPR jiċċara wkoll, fl-Artikolu 48 tiegħu, li l-ordnijiet mill-qrati u d-deċiżjonijiet tal-awtoritajiet amministrattivi barra mill-UE nfushom ma jipprovdux bażijiet bħal dawn, sakemm ma jkunux rikonoxxuti jew magħmula eżegwibbli abbażi ta’ ftehim internazzjonali (eż. Trattat dwar l-Assistenza Legali Reċiproka). Kwalunkwe divulgazzjoni mill-entità rikjesta fl-UE lill-qorti jew lill-awtorità barranija bħala tweġiba għal ordni jew għal deċiżjoni bħal din tikkostitwixxi trasferiment internazzjonali tad-data li jeħtieġ li jkun ibbażat fuq wieħed mill-istrumenti msemmija għat-trasferimenti. 158  

Il-GDPR ma jikkostitwixxix “statut ta’ mblukkar” u, f’ċerti kundizzjonijiet, jippermetti trasferiment bħala tweġiba għal talba xierqa għall-infurzar tal-liġi minn pajjiż terz. Il-punt importanti huwa li huwa d-dritt tal-UE li jenħtieġ li jiddetermina jekk dan ikunx il-każ u u fuq il-bażi ta' liema salvagwardji jistgħu jseħħu trasferimenti bħal dawn.

L-iżgurar tal-korteżija huwa importanti, peress li l-infurzar tal-liġi – bħall-kriminalità u b’mod partikolari ċ-ċiberkriminalità – qed isir dejjem aktar transfruntier u, b’hekk, spiss iqajjem domandi ġurisdizzjonali u joħloq kunflitti tal-liġi potenzjali 164 . Mhuwiex sorprendenti li l-aħjar mod kif jiġu indirizzati dawn il-kwistjonijiet huwa permezz ta’ ftehimiet internazzjonali li jipprovdu għal-limitazzjonijiet u għas-salvagwardji neċessarji għall-aċċess transfruntier għad-data personali, inkluż billi jiġi żgurat livell għoli ta’ protezzjoni tad-data min-naħa tal-awtorità rikjedenti.

Il-Kummissjoni, filwaqt li taġixxi f’isem l-UE, bħalissa hija involuta f’negozjati multilaterali għat-Tieni Protokoll Addizzjonali għall-Konvenzjoni (“ta’ Budapest”) tal-Kunsill tal-Ewropa dwar iċ-Ċiberkriminalità, li għandu l-għan li jsaħħaħ ir-regoli eżistenti sabiex jinkiseb aċċess transfruntier għall-evidenza elettronika f’investigazzjonijiet kriminali filwaqt li jiġu żgurati salvagwardji xierqa għall-protezzjoni tad-data bħala parti mill-Protokoll 165 . B’mod simili, bdew negozjati bilaterali fuq ftehim bejn l-UE u l-Istati Uniti dwar l-aċċess transfruntier għall-evidenza elettronika għall-kooperazzjoni ġudizzjarja f’materji kriminali 166 . Il-Kummissjoni tistrieħ fuq l-appoġġ tal-Parlament Ewropew u tal-Kunsill, u fuq il-gwida tal-EDPB, matul dawn in-negozjati.

B’mod aktar ġenerali, huwa importanti li jiġi żgurat li meta l-kumpaniji attivi fis-suq Ewropew jintalbu, fuq il-bażi ta’ talba leġittima, jaqsmu data għall-finijiet ta’ infurzar tal-liġi, huma jkunu jistgħu jagħmlu dan mingħajr ma jaffaċċjaw kunflitti tal-liġi u b’rispett sħiħ tad-drittijiet fundamentali tal-UE. Sabiex ittejjeb trasferimenti bħal dawn, il-Kummissjoni ħadet impenn li tiżviluppa oqfsa legali xierqa mas-sħab internazzjonali tagħha sabiex jiġu evitati kunflitti tal-liġi u jkunu sostnuti forom effettivi ta’ kooperazzjoni, b’mod partikolari billi jiġu pprovduti s-salvagwardji neċessarji għall-protezzjoni tad-data, u b’hekk jingħata kontribut għal ġlieda aktar effettiva kontra l-kriminalità.

7.3Il-kooperazzjoni internazzjonali fil-qasam tal-protezzjoni tad-data

It-trawwim tal-konverġenza bejn sistemi differenti tal-privatezza jfisser ukoll tagħlim minn xulxin, permezz tal-iskambju ta’ għarfien, ta’ esperjenza u tal-aħjar prattiki. Skambji bħal dawn huma neċessarji sabiex jiġu indirizzati sfidi ġodda li qed isiru dejjem aktar globali fin-natura u fl-ambitu tagħhom. Din hija r-raġuni għaliex il-Kummissjoni intensifikat id-djalogu tagħha dwar il-protezzjoni tad-data u l-movimenti tad-data ma’ firxa wiesgħa ta’ atturi u f’fora differenti, f’livell bilaterali, reġjonali u multilaterali.

Id-dimensjoni bilaterali

Wara l-adozzjoni tal-GDPR, kien hemm interess dejjem akbar fl-esperjenza tal-UE fit-tfassil, fin-negozjar u fl-implimentazzjoni tar-regoli moderni dwar il-privatezza. Id-djalogu ma’ pajjiżi li għaddejjin minn proċessi simili seħħ f’diversi forom.

Is-servizzi tal-Kummissjoni għamlu sottomissjonijiet f’numru ta’ konsultazzjonijiet pubbliċi organizzati minn gvernijiet barranin b’kunsiderazzjoni tal-leġiżlazzjoni fil-qasam tal-privatezza, pereżempju mill-Istati Uniti 167 , mill-Indja 168 , mill-Malasja u mill-Etjopja. F’xi pajjiżi terzi, is-servizzi tal-Kummissjoni kellhom il-privileġġ li jixhdu quddiem korpi parlamentari kompetenti, pereżempju fil-Brażil 169 , fiċ-Ċilì 170 , fl-Ekwador u fit-Tuneżija 171 .

Barra minn hekk, fi ħdan il-kuntest tar-riformi kurrenti tal-liġijiet dwar il-protezzjoni tad-data, saru laqgħat iddedikati ma’ rappreżentanti tal-gvern jew ma’ delegazzjonijiet parlamentari minn ħafna reġjuni minn madwar id-dinja (eż. il-Georgia, il-Kenja, it-Tajwan, it-Tajlandja, il-Marokk). Dan inkluda l-organizzazzjoni ta’ seminars u ta’ żjarat ta’ studju, pereżempju ma’ rappreżentanti tal-gvern tal-Indoneżja u ma’ delegazzjoni ta’ membri tal-persunal mill-Kungress tal-Istati Uniti. Dan ipprovda opportunitajiet sabiex jiġu ċċarati kunċetti importanti tal-GDPR, jittejjeb il-fehim reċiproku dwar kwistjonijiet relatati mal-privatezza u jintwerew il-benefiċċji tal-konverġenza għall-iżgurar ta’ livell għoli ta’ protezzjoni tad-drittijiet individwali, tal-kummerċ u tal-kooperazzjoni. F’xi każijiet, dan ippermetta wkoll li jinħarġu twissijiet kontra ċerti ideat żbaljati relatati mal-protezzjoni tad-data li jistgħu jwasslu għall-introduzzjoni ta’ miżuri protezzjonisti bħal rekwiżiti ta’ lokalizzazzjoni obbligatorja.

Mindu ġie adottat il-GDPR, il-Kummissjoni daħlet ukoll f’kuntatt ma’ diversi organizzazzjonijiet internazzjonali, inkluż fid-dawl tal-importanza tal-iskambji tad-data ma’ dawk l-organizzazzjonijiet f’numru ta’ oqsma ta’ politika. B’mod partikolari, ġie stabbilit djalogu partikolari man-Nazzjonijiet Uniti, bl-għan li jiġu ffaċilitati d-diskussjonijiet mal-partijiet ikkonċernati involuti kollha sabiex jiġu żgurati trasferimenti mingħajr intoppi tad-data u tiġi żviluppata konverġenza ulterjuri bejn ir-reġimi rispettivi ta’ protezzjoni tad-data. Bħala parti minn dan id-djalogu, il-Kummissjoni se taħdem mill-qrib mal-EDPB sabiex tkompli tiċċara kif l-operaturi pubbliċi u privati tal-UE jistgħu jikkonformaw mal-obbligi tal-GDPR tagħhom meta jiskambjaw data ma’ organizzazzjoni internazzjonali bħan-NU.

Il-Kummissjoni hija lesta li tkompli taqsam it-tagħlimiet meħuda mill-proċess ta’ riforma tagħha mal-pajjiżi interessati u mal-organizzazzjonijiet internazzjonali, bl-istess mod kif hija tgħallmet minn sistemi oħra meta żviluppat il-proposta tagħha għal regoli ġodda tal-UE dwar il-protezzjoni tad-data. Dan it-tip ta’ djalogu huwa ta’ benefiċċju reċiproku għall-UE u għas-sħab tagħha peress li jippermetti li jinkiseb fehim aħjar tal-pajsaġġ li jevolvi malajr tal-privatezza u li jiġu skambjati fehmiet dwar is-soluzzjonijiet legali u teknoloġiċi emerġenti.

Id-dimensjoni multilaterali

Minbarra skambji bilaterali, il-Kummissjoni qed tieħu sehem b’mod attiv ukoll f’numru ta’ fora multilaterali sabiex tippromwovi valuri kondiviżi u tibni konverġenza f’livell reġjonali u globali.

Is-sħubija dejjem aktar universali tal-“Konvenzjoni 108” tal-Kunsill tal-Ewropa, l-uniku strument multilaterali legalment vinkolanti fil-qasam tal-protezzjoni tad-data personali, hija sinjal ċar ta’ din ix-xejra lejn konverġenza (’il fuq) 172 . Il-Konvenzjoni, li hija miftuħa wkoll għal dawk li mhumiex membri tal-Kunsill tal-Ewropa, diġà ġiet ratifikata minn 55 pajjiż, li jinkludu numru ta’ Stati Afrikani u tal-Amerika Latina 173 . Il-Kummissjoni kkontribwiet b’mod sinifikanti għall-eżitu b’suċċess tan-negozjati dwar il-modernizzazzjoni tal-Konvenzjoni 174 , u żgurat li din tkun tirrifletti l-istess prinċipji bħal dawk imnaqqxa fir-regoli tal-UE dwar il-protezzjoni tad-data. Ħafna mill-Istati Membri tal-UE issa ffirmaw il-Protokoll Emendatorju, għad li l-firem tad-Danimarka, ta’ Malta u tar-Rumanija għadhom pendenti. Erba’ Stati Membri biss (il-Bulgarija, il-Kroazja, il-Litwanja u l-Polonja) s’issa rratifikaw il-Protokoll Emendatorju. Il-Kummissjoni tesiġi li t-tliet Stati Membri li fadal jiffirmaw il-Konvenzjoni mmodernizzata, u li l-Istati Membri kollha minnufih jipproċedu għar-ratifika, sabiex tkun tista’ tidħol fis-seħħ fil-futur qarib 175 . Barra minn hekk, hija se tkompli tħeġġeġ b’mod proattiv l-adeżjoni minn pajjiżi terzi.

Il-movimentiu l-protezzjoni tad-data ġew indirizzati riċentement fil-G20 u l-G7 ukoll. Fl-2019, il-mexxejja globali għall-ewwel darba approvaw l-idea li l-protezzjoni tad-data tikkontribwixxi għall-fiduċja fl-ekonomija diġitali u tiffaċilita l-movimenti tad-data. Bl-appoġġ attiv tal-Kummissjoni 176 , il-mexxejja approvaw il-kunċett ta’ “moviment liberu tad-data b’fiduċja” (DFFT) oriġinarjament propost mill-Ġappun fid-Dikjarazzjoni ta’ Osaka tal-G20 177 kif ukoll fis-summit tal-G7 fi Biarritz 178 . Dan l-approċċ huwa rifless ukoll fil-Komunikazzjoni tal-Kummissjoni tal-2020 dwar “Strateġija Ewropea għad-data” 179 li tenfasizza l-intenzjoni tagħha li tkompli tippromwovi l-kondiviżjoni tad-data mas-sħab fdati filwaqt li tiġġieled kontra abbużi bħall-aċċess sproporzjonat tal-awtoritajiet pubbliċi (barranin) għad-data.

B’dan il-mod, l-UE se tkun tista’ tibbaża wkoll fuq numru ta’ għodod f’oqsma ta’ politika differenti li jqisu dejjem aktar l-impatt fuq il-privatezza: pereżempju l-ewwel qafas fl-istorja tal-UE għall-iskrinjar tal-investiment barrani, li se jsir applikabbli bis-sħiħ f’Ottubru 2020, jagħti lill-UE u lill-Istati Membri tagħha l-possibbiltà li jiskrinjaw it-tranżazzjonijiet ta’ investiment li għandhom effetti fuq “aċċess għal informazzjoni sensittiva, inkluża data personali, jew il-kapaċità ta’ kontroll fuq tali informazzjoni” jekk jaffettwaw is-sigurtà jew l-ordni pubbliku 180 .

Il-Kummissjoni qed taħdem ma’ pajjiżi li jaħsbuha b’mod simili f’diversi fora multilaterali oħra sabiex tippromwovi b’mod attiv il-valuri u l-istandards tagħha. Forum importanti minnhom huwa l-Grupp ta’ Ħidma maħluq riċentement tal-OECD dwar il-Governanza tad-Data u l-Privatezza, li qed ifittex numru ta’ inizjattivi importanti relatati mal-protezzjoni tad-data, mal-kondiviżjoni tad-data, u mat-trasferimenti tad-data. Dan jinkludi l-evalwazzjoni tal-Linji Gwida tal-2013 tal-OECD dwar il-Privatezza. Barra minn hekk, il-Kummissjoni kkontribwiet b’mod attiv għar-Rakkomandazzjoni tal-Kunsill tal-OECD dwar l-Intelliġenza Artifiċjali 181 u żgurat li l-approċċ tal-UE ffokat fuq il-bniedem, li jfisser li l-applikazzjonijiet tal-AI jridu jikkonformaw mad-drittijiet fundamentali u, b’mod partikolari, mal-protezzjoni tad-data, ġie rifless fit-test finali. Ta’ min jgħid li r-Rakkomandazzjoni dwar l-AI – li mbagħad ġiet inkorporata fil-Prinċipji tal-G20 dwar l-AI mehmuża mad-Dikjarazzjoni tal-Mexxejja ta’ Osaka tal-G20 182 – tistipula l-prinċipji ta’ trasparenza u ta’ spjegabilità bl-għan li “tippermetti lil dawk affettwati b’mod avvers minn sistema tal-AI sabiex jikkontestaw l-eżitu tagħha fuq il-bażi ta’ informazzjoni sempliċi u faċli li tinftiehem fuq il-fatturi u l-loġika li servew bħala l-bażi għat-tbassir, għar-rakkomandazzjoni jew għad-deċiżjoni”, u b’hekk tirrifletti mill-qrib il-prinċipji tal-GDPR fir-rigward tat-teħid ta’ deċiżjonijiet awtomatizzati 183 .

Il-Kummissjoni qed issaħħaħ ukoll id-djalogu tagħha ma’ organizzazzjonijiet u ma’ networks reġjonali li qed jaqdu rwol dejjem aktar ċentrali fit-tiswir tal-istandards komuni dwar il-protezzjoni tad-data 184 , jippromwovu l-iskambju tal-aħjar prattiki, u jrawmu l-kooperazzjoni bejn l-infurzaturi. Dan jikkonċerna, b’mod partikolari, l-Assoċjazzjoni tan-Nazzjonijiet tax-Xlokk tal-Asja (ASEAN) – inkluż fil-kuntest tal-ħidma kontinwa tagħha fuq għodod għat-trasferiment ta’ data –, l-Unjoni Afrikana, il-forum tal-Awtoritajiet dwar il-Privatezza tal-Paċifiku tal-Asja (APPA) u n-Network Ibero-Amerikan għall-Protezzjoni tad-Data, li lkoll nedew inizjattivi importanti f’dan il-qasam u jipprovdu fora għal djalogu siewi bejn ir-regolaturi privati u partijiet ikkonċernati oħra.

Anness I – Klawżoli għal speċifikazzjonijiet fakultattivi mil-leġiżlazzjoni nazzjonali

Anness II – Ħarsa ġenerali lejn ir-riżorsi tal-awtoritajiet għall-protezzjoni tad-data

It-tabella ta’ hawn taħt tippreżenta ħarsa ġenerali lejn ir-riżorsi (persunal u baġit) tal-awtoritajiet għall-protezzjoni tad-data għal kull Stat Membru tal-UE/taż-ŻEE 191 .

Meta wieħed iqabbel iċ-ċifri bejn l-Istati Membri, huwa importanti li jiftakar li l-awtoritajiet jista’ jkollhom kompiti assenjati lilhom li jkunu addizzjonali għal dawk skont il-GDPR, u li dawn jistgħu jvarjaw bejn l-Istati Membri. Il-proporzjon ta’ persunal impjegat mill-awtoritajiet għal miljun abitant u l-proporzjon tal-baġit tal-awtoritajiet għal miljun euro tal-PDG huma inklużi biss sabiex jipprovdu elementi addizzjonali ta’ tqabbil fost Stati Membri ta’ daqs simili, u jenħtieġ li ma jiġux analizzati b’mod iżolat. Iċ-ċifri assoluti, il-proporzjonijiet u l-evoluzzjoni tul l-aħħar snin jenħtieġ li jiġu kkunsidrati flimkien meta jiġu vvalutati r-riżorsi ta’ awtorità partikolari. 

Sors taċ-ċifri mhux ipproċessati: kontribut mill-Bord. Kalkoli mill-Kummissjoni. 

(1)

 Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE - ĠU L 119, 4.5.2016, p. 1–88

(2)

Il-Komunikazzjoni tal-Kummissjoni lill-Parlament Ewropew u lill-Kunsill, Regoli dwar il-protezzjoni tad-data bħala faċilitatur tal-fiduċja fl-UE u lil hinn — nieħdu kont – COM(2019) 374 final, 24.7.2019

(3)

 Il-Komunikazzjoni tal-Kummissjoni lill-Parlament Ewropew u lill-Kunsill: Protezzjoni aktar qawwija, opportunitajiet ġodda – gwida tal-Kummissjoni dwar l-applikazzjoni diretta tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data mill-25 ta’ Mejju 2018, COM/2018/043 final

(4)

Il-Pożizzjoni tal-Kunsill u sejbiet dwar l-applikazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data – 14994/2/19 Rev2, 15.01.2020:

https://data.consilium.europa.eu/doc/document/ST-14994-2019-REV-2/mt/pdf

(5)

L-Ittra tal-Kumitat LIBE tal-Parlament Ewropew tal-21 ta’ Frar 2020 għall-Kummissarju Reynders, Ref.: IPOL-COM-LIBE D (2020)6525.

(6)

     Il-kontribut tal-Bord għall-evalwazzjoni tal-GDPR skont l-Artikolu 97, adottat fit-18 ta’ Frar 2020: https://edpb.europa.eu/our-work-tools/our-documents/other/contribution-edpb-evaluation-gdpr-under-article-97_mt

(7)

      https://edpb.europa.eu/individual-replies-data-protection-supervisory-authorities_mt

(8)

     Il-Grupp ta’ esperti ta’ diversi partijiet ikkonċernati dwar il-GDPR imwaqqaf mill-Kummissjoni jinvolvi lis-soċjetà ċivili u lir-rappreżentanti tan-negozju, lill-akkademiċi u lill-prattikanti:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537&Lang=MT

Ir-rapport tal-Grupp ta’ Diversi Partijiet Ikkonċernati huwa disponibbli fuq:

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeeting&meetingId=21356&Lang=MT

(9)

     Dan il-fatt huwa enfasizzat ukoll b’mod partikolari mill-Kunsill fil-pożizzjoni u fis-sejbiet tiegħu dwar l-applikazzjoni tal-GDPR u mill-Bord fil-kontribut tiegħu għall-evalwazzjoni.

(10)

     Iċ-ċifri fil-parenteżi jindikaw in-numru ta’ awtoritajiet tal-UE/taż-ŻEE għall-protezzjoni tad-data li użaw is-setgħa elenkata bejn Mejju 2018 u l-aħħar ta’ Novembru 2019. Ara l-kontribut mill-Bord fil-paġni 32-33.

(11)

     Diversi deċiżjonijiet li jimponu multi għadhom soġġetti għal stħarriġ ġudizzjarju.

(12)

     L-Artikolu 83(7) tal-GDPR.

(13)

     L-Artikolu 8(3) tal-Karta; L-Artikolu 16(2) tat-TFUE; il-premessa 20 tal-GDPR.

(14)

     Ara d-dikjarazzjoni tal-Bord dwar ir-riperkussjonijiet tal-konċentrazzjoni ekonomika fuq il-protezzjoni tad-data, https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_economic_concentration_mt.pdf.

(15)

     Ara l-Każ COMP M. 8124 Microsoft/LinkedIn.

(16)

     Id-Direttiva 2002/58/KE tal-Parlament Ewropew u tal-Kunsill tat-12 ta’ Lulju 2002 dwar l-ipproċessar tad-data personali u l-protezzjoni tal-privatezza fis-settur tal-komunikazzjoni elettronika (Direttiva dwar il-privatezza u l-komunikazzjoni elettronika) - ĠU L 201 , 31/07/2002 P. 0037 - 0047

(17)

     Id-Direttiva (UE) 2016/1148 tal-Parlament Ewropew u tal-Kunsill tas-6 ta’ Lulju 2016 dwar miżuri għal livell għoli komuni ta’ sigurtà tan-netwerks u tas-sistemi tal-informazzjoni madwar l-Unjoni - ĠU L 194, 19.7.2016, p. 1–30

(18)

     Ara d-dettalji dwar l-attivitajiet tas-segretarjat fil-kontribut mill-Bord, paġni 24-26.

(19)

     Minbarra l-10 linji gwida adottati mill-Grupp ta’ Ħidma tal-Artikolu 29 fil-fażi ta’ qabel id-dħul fis-seħħ tal-GDPR u approvati mill-Bord. Barra minn hekk, il-Bord adotta erba' linji gwida oħra bejn Jannar u l-aħħar ta’ Mejju 2020, u aġġorna waħda eżistenti.

(20)

     42 minn dawn l-opinjonijiet ġew adottati skont l-Artikolu 64 tal-GDPR u waħda ġiet adottata skont l-Artikolu 70(1)(s) tal-GDPR u kienet tikkonċerna d-deċiżjoni ta’ adegwatezza fir-rigward tal-Ġappun.

(21)

     Ara l-kontribut mill-Bord, il-paġni 18-23 għal ħarsa ġenerali kompluta lejn l-attivitajiet tal-Bord.

(22)

     https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_2020_

processingpersonaldataandcovid-19_en.pdf

(23)

     https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_en.

(24)

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_

with_annex_mt.pdf

(25)

     Is-Sistema ta’ Informazzjoni tas-Suq Intern (“IMI”).

(26)

     Ara l-kontribut mill-Bord, il-paġna 8.

(27)

     Pereżempju, fit-22 ta’ Mejju 2020, l-awtorità Irlandiża għall-protezzjoni tad-data ppreżentat abbozz ta’ deċiżjoni lil awtoritajiet oħra kkonċernati, f’konformità mal-Artikolu 60 tar-Regolament, rigward investigazzjoni ta' Twitter International Company dwar notifika ta’ ksur ta’ data. Dakinhar stess, l-awtorità Irlandiża għall-protezzjoni tad-data ħabbret ukoll li kien qed jitħejja abbozz ta’ deċiżjoni dwar WhatsApp Ireland Limited għal preżentazzjoni skont l-Artikolu 60, rigward it-trasparenza inkluż fir-rigward tat-trasparenza fir-rigward ta’ liema informazzjoni tiġi kondiviża ma’ Facebook.

(28)

     L-Artikolu 61 tal-GDPR.

(29)

     Ara l-kontribut mill-Bord, il-paġni 12-14.

(30)

     L-Artikolu 62 tal-GDPR.

(31)

     Fuq il-bażi tal-Artikolu 64 tal-GDPR.

(32)

     L-Artikolu 65 tal-GDPR.

(33)

     L-Artikolu 66 tal-GDPR.

(34)

     Skont l-Artikolu 64(1) tal-GDPR.

(35)

     L-Artikolu 28(8) tal-GDPR.

(36)

     Skont l-Artikolu 64(2) tal-GDPR.

(37)

     Ara l-kontribut mill-Bord, il-paġna 15.

(38)

     Kif indikat fil-pożizzjoni tal-Kunsill u fis-sejbiet.

(39)

     Ara aktar ’il quddiem taħt il-punt 7.

(40)

     Sakemm jiġi adottat ir-Regolament dwar il-Privatezza Elettronika, hija meħtieġa l-kooperazzjoni msaħħa mal-awtoritajiet kompetenti responsabbli għall-infurzar tad-Direttiva dwar il-Privatezza Elettronika fl-Istati Membri. F’konformità ma’ dik id-Direttiva, f’xi Stati Membri l-awtoritajiet kompetenti għall-infurzar tal-Artikolu 5(3) tad-Direttiva dwar il-Privatezza Elettronika (li jistabbilixxi l-kundizzjonijiet li skont dawn il-“cookies” jistgħu jiġu ssettjati u aċċessati fuq it-tagħmir terminali ta’ utent) mhumiex l-istess bħall-awtoritajiet superviżorji tal-GDPR.

(41)

     L-Artikolu 33 tal-GDPR.

(42)

     Ara l-kontribut mill-Bord, il-paġna 35.

(43)

     Il-ħidma fuq il-linji gwida diġà kienet inbdiet qabel id-dħul fis-seħħ tal-GDPR fil-25 ta’ Mejju 2018 fil-kuntest tal-Grupp ta’ Ħidma tal-Artikolu 29. Ara l-lista sħiħa ta’ linji gwida fuq https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_mt

(44)

     Dan ġie enfasizzat ukoll mill-Parlament Ewropew u mill-Kunsill.

(45)

     Bħalissa l-Bord qed iħejji linji gwida dwar il-kontrolluri u l-proċessuri.

(46)

     Ara l-Artikolu 52(4) tal-GDPR.

(47)

     Ir-Regolament daħal fis-seħħ f’Mejju 2016 u beda japplika minn Mejju 2018, wara perjodu ta’ tranżizzjoni ta’ sentejn.

(48)

     Ara l-kontribut mill-Bord, paġni 26-30.

(49)

     Hemm 18-il awtorità fil-Ġermanja, li fosthom waħda hija awtorità federali u 17 huma awtoritajiet reġjonali (inklużi tnejn fil-Bavarja).

(50)

     L-Artikolu 60 tal-GDPR.

(51)

     L-Artikolu 52(4) tal-GDPR.

(52)

     L-Artikolu 75 tal-GDPR.

(53)

     Ta’ min jinnota li l-awtorità nazzjonali għall-protezzjoni tad-data fis-Slovenja hija mwaqqfa fuq il-bażi tal-liġi nazzjonali kurrenti dwar il-protezzjoni tad-data u tissupervizza l-applikazzjoni tal-GDPR f’dak l-Istat Membru.

(54)

     Din il-proċedura ta’ ksur tikkonċerna l-liġi tal-Polonja dwar il-ġudikatura tal-20 ta’ Diċembru 2019, li taffettwa l-indipendenza tal-imħallfin u tikkonċerna, fost l-oħrajn, id-divulgazzjoni tal-impenji tal-imħallfin f’attivitajiet mhux professjonali:

https://ec.europa.eu/commission/presscorner/detail/mt/ip_20_772.

(55)

     Ara l-Artikolu 8(3) tal-Karta; L-Artikolu 16 tat-TFUE; il-premessa 20 tal-GDPR.

(56)

     Pereżempju, l-eżenzjoni ta’ kumitat parlamentari mill-applikazzjoni tal-GDPR hija soġġetta għal kawża pendenti quddiem il-qorti għal sentenza preliminari (C-272/19).

(57)

     L-Artikolu 85 tal-GDPR.

(58)

     It-terminu użat ta’ spiss ta’ “klawżoli ta’ ftuħ” sabiex ifissru klawżoli ta’ speċifikazzjoni huwa qarrieqi peress li jista’ jagħti l-impressjoni li l-Istati Membri għandhom marġini ta’ manuvra lil hinn mid-dispożizzjonijiet tar-Regolament.

(59)

     Il-premessa 8 tal-GDPR.

(60)

     13-il sena għall-Belġju, għad-Danimarka, għall-Estonja, għall-Finlandja, għal-Latvja, għal Malta, għall-Portugall u għall-Iżvezja; 14-il sena għall-Awstrija, għall-Bulgarija, għal Ċipru, għal Spanja, għall-Italja u għal-Litwanja; 15-il sena għar-Repubblika Ċeka, għall-Greċja u għal Franza; 16-il sena għall-Ġermanja, għall-Ungerija, għall-Kroazja, għall-Irlanda, għal-Lussemburgu, għan-Netherlands, għall-Polonja, għar-Rumanija u għas-Slovakkja.

(61)

     L-Artikolu 9 tal-GDPR.

(62)

     L-Artikolu 89(2) tal-GDPR.

(63)

     Ara l-Artikolu 9(2)(i) tal-GDPR u l-premessa 46.

(64)

     https://ec.europa.eu/info/sites/info/files/recommendation_on_apps_for_contact_tracing_4.pdf .

(65)

https://eur-lex.europa.eu/legal-content/MT/TXT/PDF/?uri=CELEX:52020XC0417(08)&from=MT.

(66)

https://edpb.europa.eu/news/news/2020/statement-processing-personal-data-context-covid-19-outbreak_mt.

(67)

     https://edpb.europa.eu/our-work-tools/general-guidance/gdpr-guidelines-recommendations-best-practices_mt.

(68)

     Pereżempju għaliex sempliċiment itennu t-test tal-Artikolu 23(1) tal-GDPR.

(69)

     L-Artikolu 37(1) tal-GDPR.

(70)

     Il-Ġermanja.

(71)

     Permezz tal-użu tal-klawżola ta’ speċifikazzjoni fl-Artikolu 37(4) tal-GDPR.

(72)

     Ara l-premessa 4 tal-GDPR.

(73)

     https://ec.europa.eu/commission/presscorner/detail/mt/IP_19_2956

(74)

     L-Aġenzija tal-Unjoni Ewropea għad-Drittijiet Fundamentali (FRA) (2020): Fundamental Rights Survey 2019. Data protection and technology: https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection

(75)

     L-Artikolu 80 tal-GDPR.

(76)

     COM/2018/0184 final - 2018/089 (COD)

(77)

     It-tnejn skont l-Artikoli 77 u 80 tal-GDPR.

(78)

     Ara l-kontribut mill-Bord, il-paġni 31-32.

(79)

     L-Artikolu 12(2) tal-GDPR.

(80)

     L-Artikolu 13(1)(b) u l-Artikolu 14(1)(b) tal-GDPR.

(81)

     https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf

(82)

     Ara r-rapport mingħand il-Grupp ta’ Diversi Partijiet Ikkonċernati.

(83)

     Ara r-riżultati ta’ konsultazzjoni pubblika dwar id-drittijiet ta’ protezzjoni tad-data tat-tfal imwettqa mill-awtorità tal-Irlanda għall-protezzjoni tad-data: https://www.dataprotection.ie/sites/default/files/uploads/2019-09/Whose%20Rights%20Are%20They%20Anyway_Trends%20and%20Hightlights%20from%20Stream%201.pdf . L-awtorità ta’ Franza għall-protezzjoni tad-data wkoll nediet konsultazzjoni pubblika f’April 2020: https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-les-droits-des-mineurs-dans-lenvironnement-numerique

(84)

     L-Artikolu 12(1) tal-GDPR.

(85)

     L-Artikolu 25 tal-GDPR.

(86)

     Ara r-rapport mill-Kunsill tan-Norveġja għall-Konsumatur, Deceived by Design, li aċċenna d-“disinni skuri”, settings prestabbiliti u karatteristiċi u tekniki oħra użati mill-kumpaniji sabiex jimbuttaw lill-utenti lejn għażliet intrużivi:

https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/deceived-by-design/

Ara wkoll ir-riċerka ppubblikata f’Diċembru 2019 mit-Transatlantic Consumer Dialogue u mill-Heinrich-Böll-Stiftung Brussell Unjoni Ewropea li analizzat il-prattiki ta’ tliet pjattaformi globali ewlenin:

https://eu.boell.org/en/2019/12/11/privacy-eu-and-us-consumer-experiences-across-three-global-platforms

(87)

     Ir-Regolament (UE) 2018/1807 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Novembru 2018 dwar qafas għall-moviment liberu ta’ data mhux personali fl-Unjoni Ewropa - ĠU L 303, 28.11.2018, p. 59–68

(88)

     L-Artikolu 24(1) tal-GDPR.

(89)

     Ara l-kontribut mill-Bord, p. 35.

(90)

     Ara l-kontribut mill-Bord, il-paġni 35-45.

(91)

     https://ec.europa.eu/info/funding-tenders/opportunities/portal/screen/opportunities/topic-details/rec-rdat-trai- ag-2017.

(92)

      https://ec.europa.eu/info/law/law-topic/data-protection/eu-data-protection-rules/eu-funding-supporting-implementation-gdpr_mt

(93)

     Ara r-rapport mingħand il-Grupp ta’ Diversi Partijiet Ikkonċernati.

(94)

     Ara l-kontribut mill-Kunsill.

(95)

     Komunikazzjoni tal-Kummissjoni lill-Parlament Ewropew u lill-Kunsill - Gwida dwar ir-Regolament dwar qafas għall-fluss liberu tad-data mhux personali fl-Unjoni Ewropea, COM/2019/250 final.

(96)

  https://edpb.europa.eu/our-work-tools/our-documents/wytyczne/guidelines-12019-codes-conduct-and-monitoring-bodies-under_mt .

(97)

     Ara r-rapport mingħand il-Grupp ta’ Diversi Partijiet Ikkonċernati.

(98)

     Ara l-azzjonijiet imħabbra fl-Istrateġija Ewropea għad-Data, il-paġna 30.

(99)

     Skont l-Artikolu 41(3) tal-GDPR. Ara l-opinjonijiet tal-EDPB fuq: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_mt

(100)

  https://ec.europa.eu/info/study-data-protection-certification-mechanisms_mt

(101)

  https://edpb.europa.eu/our-work-tools/our-documents/smjernice/guidelines-12018-certification-and-identifying-certification_mt .

(102)

  https://edpb.europa.eu/our-work-tools/our-documents/retningslinjer/guidelines-42018-accreditation-certification-bodies_mt . Diversi awtoritajiet superviżorji diġà ssottomettew ir-rekwiżiti ta’ akkreditazzjoni tagħhom lill-EDPB, kemm għall-korpi ta’ monitoraġġ tal-kodiċijiet ta’ kondotta kif ukoll għall-korpi ta’ ċertifikazzjoni. Ara l-ħarsa ġenerali fuq: https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_mt .

(103)

  https://ec.europa.eu/digital-single-market/en/news/towards-more-secure-and-trusted-cloud-europe

(104)

     L-Artikolu 28(7) GDPR.

(105)

     Kif imfakkar mill-Kunsill, mill-Parlament Ewropew u mill-Bord fil-kontributi tagħhom għall-evalwazzjoni.

(106)

     Madankollu, il-partijiet ikkonċernati josservaw li mhux il-proċessi ta’ teħid ta’ deċiżjonijiet awtomatizzati kollha f’kuntest tal-intelliġenza artifiċjali jaqgħu taħt l-Artikolu 22 tal-GDPR.

(107)

      https://ec.europa.eu/commission/presscorner/detail/mt/ip_20_962  

(108)

   Il-Komunikazzjoni tal-Kummissjoni lill-Parlament Ewropew u lill-Kunsill “L-Iskambjar u l-Protezzjoni tad-Data Personali f’Dinja Globalizzata”, 10.1.2017 (COM(2017) 7 final).

(109)

     EDPB, Guidelines 2/2018 on the territorial scope of the GDPR, 12.11.2019. Il-Linji gwida jindirizzaw diversi mill-punti mqajma matul il-konsultazzjoni pubblika, pereżempju l-interpetazzjoni tal-kriterji ta’ mmirar u ta’ monitoraġġ.

(110)

     Ara l-pożizzjoni tal-Kunsill u s-sejbiet, il-paragrafi 34, 35 u 38.

(111)

     Ara l-Artikolu 27(4) u l-Premessa 80 tal-GDPR (“Ir-rappreżentant maħtur għandu jkun soġġett għal proċedimenti ta’ infurzar fil-każ ta’ nuqqas ta’ konformità mill-kontrollur jew mill-proċessur”).

(112)

     Proposta għal Direttiva tal-Parlament Ewropew u tal-Kunsill li tistabbilixxi regoli armonizzati dwar il-ħatra ta’ rappreżentanti legali għall-finijiet tal-ġbir tal-evidenza fi proċeduri kriminali (COM/2018/226 final), l-Artikolu 3; Proposta għal Regolament tal-Parlament Ewropew u tal-Kunsill dwar il-prevenzjoni tad-disseminazzjoni ta’ kontenut terroristiku online (COM(2018) 640 final), l-Artikolu 16(2), (3).

(113)

     Skont sottomissjoni għall-konsultazzjoni pubblika, wieħed mill-punti ewlenin li għandhom jiġu indirizzati “huwa l-infurzar effettiv u l-konsegwenzi reali għal dawk li jagħżlu li jinjoraw dan ir-rekwiżit […]. Ta’ min ifakkar b’mod partikolari li dan jixħet ukoll lin-negozji stabbiliti fl-Unjoni fi żvantaġġ kompetittiv meta mqabbla ma’ dawk in-negozji mhux konformi stabbiliti barra mill-Unjoni li jinnegozjaw fl-Unjoni.” Ara s-sottomissjoni tal-EU Business Partners tad-29 ta’ April 2020.

(114)

     Diversi sottomissjonijiet għall-konsultazzjoni pubblika qajmu dan il-punt, pereżempju rigward it-trażmissjoni ta’ data personali lil riċevituri barra mill-UE iżda koperti mill-GDPR.

(115)

     Il-pożizzjoni tal-Kunsill u s-sejbiet, il-paragrafu 17; Il-kontribut mill-Bord, pp. 5-6. Diversi sottomissjonijiet għall-konsultazzjoni pubblika, inkluż minn numru ta’ assoċjazzjonijiet ta’ negozji (bħall-Assoċjazzjoni Franċiża ta’ Kumpaniji Kbar, Digital Europe, il-Global Data Alliance/BSA, il-Computer & Communication Industry Association (CCIA) jew iċ-Chamber of Commerce tal-Istati Uniti) talbu t-tisħiħ tal-isforzi dwar il-konstatazzjonijiet tal-adegwatezza, speċjalment ma’ sħab kummerċjali importanti.

(116)

     Is-Sentenza tal-Qorti tal-Ġustizzja tal-UE tas-6 ta’ Ottubru 2015 fil-Kawża C-362/14, Maximillian Schrems vs Data Protection Commissioner (“Schrems”), il-punti 73, 74 u 96. Ara wkoll il-Premessa 104 tal-GDPR, li tirreferi għall-istandard ta’ ekwivalenza essenzjali.

(117)

     L-Artikolu 45(2) u l-Premessa 104 tal-GDPR. Ara wkoll Schrems, il-punti 75, 91-91.

(118)

     L-Adegwatezza Referenzjali, WP 254 rev. 01, is-6 ta’ Frar 2018 (disponibbli fuq: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614108 ).

(119)

     Il-kontribut mill-Bord, pp. 5-6.

(120)

     Permezz tal-Artikolu 45(4) u (5) il-GDPR jeħtieġ li l-Kummissjoni timmonitorja l-iżviluppi f’pajjiżi terzi fuq bażi kontinwa u tirrieżamina b’mod regolari – tal-anqas kull erba’ snin – konstatazzjoni tal-adegwatezza. Dawn jagħtu wkoll lill-Kummissjoni s-setgħa ta’ revoka, ta’ emenda jew ta’ sospensjoni ta’ deċiżjoni ta’ adegwatezza jekk issib li l-pajjiż jew l-organizzazzjoni internazzjonali kkonċernati ma jibqgħux jiżguraw livell adegwat ta’ protezzjoni. L-Artikolu 97(2)(a) tal-GDPR jirrikjedi wkoll li sal-2020 il-Kummissjoni tissottometti rapport ta’ evalwazzjoni lill-Parlament Ewropew u lill-Kunsill. Ara wkoll is-sentenza tal-Qorti tal-Ġustizzja tal-UE tas-6 ta’ Ottubru 2015 fil-Kawża C-362/14, Maximillian Schrems vs Data Protection Commissioner, il-punt 76.

(121)

     Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2016/1250 tat-12 ta’ Lulju 2016 skont id-Direttiva Nru 95/46/KE tal-Parlament Ewropew u tal-Kunsill dwar l-adegwatezza tal-protezzjoni pprovduta mill-Ħarsien tal-Privatezza. Din id-deċiżjoni ta’ adegwatezza hija każ speċifiku li, fin-nuqqas ta’ leġiżlazzjoni ġenerali dwar il-protezzjoni tad-data fl-Istati Uniti, tibbaża fuq l-impenji meħuda mill-pajjiżi parteċipanti (li huma infurzabbli skont il-liġi tal-Istati Uniti) sabiex japplikaw l-istandards ta’ protezzjoni tad-data stabbiliti minn dan l-arranġament. Barra minn hekk, it-Tarka tal-Privatezza tibni fuq ir-rappreżentazzjonijiet u l-garanziji speċifiċi li għamel il-gvern tal-Istati Uniti rigward l-aċċess għal skopijiet ta’ sigurtà nazzjonali li huma l-bażi tal-konstatazzjoni tal-adegwatezza

(122)

     Ir-rieżamijiet saru fl-2017 (ir-Rapport tal-Kummissjoni lill-Parlament Ewropew u lill-Kunsill fuq l-ewwel rieżami annwali tal-funzjonament tal-Ħarsien tal-Privatezza UE-US COM(2017) 611 final), 2018 (ir-Rapport tal-Kummissjoni lill-Parlament Ewropew u lill-Kunsill dwar it-tieni rieżami annwali tal-funzjonament tal-Ħarsien tal-privatezza UE-U.S., COM(2018) 860 final) u 2019 (ir-Rapport tal-Kummissjoni lill-Parlament Ewropew u lill-Kunsill dwar it-tielet rieżami annwali tal-funzjonament tal-Ħarsien tal-Privatezza UE-U.S., COM(2019) 495 final).

(123)

Dawn id-deċiżjonijiet ta’ adegwatezza eżistenti jikkonċernaw pajjiżi li huma integrati mill-qrib mal-Unjoni Ewropea u mal-Istati Membri tagħha (l-Iżvizzera, Andorra, il-Gżejjer Faeroe, Guernsey, Jersey, Isle of Man), sħab kummerċjali importanti (l-Arġentina, il-Kanada, Iżrael) u pajjiżi li għandhom rwol pijunier fl-iżvilupp ta’ liġijiet dwar il-protezzjoni tad-data fir-reġjun tagħhom (New Zealand, l-Urugwaj).

(124)

Il-Kawża C-311/18, Data Protection Commissioner vs Facebook Ireland Limited, Maximillian Schrems (“Schrems II”), tikkonċerna referenza għal deċiżjoni preliminari dwar l-hekk imsejħa Klawżoli Kuntrattwali standard. Madankollu, ċerti elementi tal-istandard ta’ adegwatezza jistgħu jiġu ċċarati aktar mill-Qorti. Is-seduta f’din il-kawża saret fid-9 ta’ Lulju 2019 u s-sentenza tħabbret għas-16 ta’ Lulju 2020.

(125)

     Ara supra, in-nota 109 f’qiegħ il-paġna. Il-Kummissjoni spjegat li l-kriterji li ġejjin se jiġu kkunsidrati meta tivvaluta ma’ liema pajjiżi terzi jenħtieġ li jinfetaħ djalogu dwar l-adegwatezza: (i) il-firxa tar-relazzjonijiet kummerċjali (attwali jew potenzjali) tal-UE mal-pajjiż terz, inkluża l-eżistenza ta’ ftehim ta’ kummerċ ħieles jew ta’ negozjati kurrenti; (ii) il-firxa ta’ movimenti tad-data personali mill-UE, li tirrifletti r-rabtiet ġeografiċi u/jew kulturali; (iii) ir-rwol ta’ pijunier li jaqdi l-pajjiż fil-qasam tal-privatezza u tal-protezzjoni tad-data li jista’ jservi ta’ mudell għal pajjiżi oħrajn fir-reġjun tiegħu; u (iv) ir-relazzjoni politika ġenerali mal-pajjiż, b’mod partikolari f’dak li għandu x’jaqsam mal-promozzjoni ta’ valuri komuni u ta’ objettivi kondiviżi fil-livell internazzjonali.

(126)

     Il-Parlament Ewropew, ir-Riżoluzzjoni tat-13 ta’ Diċembru 2018 dwar l-Adegwatezza tal-protezzjoni tad-data personali mogħtija mill-Ġappun (2018/2979(RSP)), il-punt 27; Il-kontribut mill-Bord, pp. 5-6.

(127)

   Ara, eż., ir-Riżoluzzjoni tal-Parlament Ewropew tat-12 ta’ Diċembru 2017 “Lejn strateġija għall-kummerċ diġitali” (2017/2065(INI)), il-punti 8, 9; Il-Pożizzjoni tal-Kunsill u sejbiet dwar l-applikazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR), 19.12.2019 (14994/1/19), il-paragrafu 17; Il-kontribut mill-Bord, p. 5.

(128)

   Kif mitlub ukoll mill-Kunsill, ara l-Pożizzjoni tal-Kunsill u sejbiet dwar l-applikazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR), 19.12.2019 (14994/1/19), il-paragrafi 17 u 40. Madankollu, dan jeħtieġ li jiġu ssodisfati l-kundizzjonijiet għal konstatazzjoni tal-adegwatezza rigward it-trasferimenti ta’ data lil awtoritajiet pubbliċi, inkluż fir-rigward tas-sorveljanza indipendenti.

(129)

     Ara d-direttivi dwar in-negozjar mehmuża mad-Deċiżjoni tal-Kunsill li jawtorizzaw il-ftuħ tan-negozjati mar-Renju Unit tal-Gran Brittanja u tal-Irlanda ta’ Fuq għal ftehim ġdid ta’ sħubija (ST 5870/20 ADD 1 REV 3), il-paragrafi 13 u 118.

(130)

Ara t-test rivedut tad-dikjarazzjoni politika li tistabbilixxi l-qafas għar-relazzjoni futura bejn l-Unjoni Ewropea u r-Renju Unit kif miftiehem fil-livell tan-negozjaturi fis-17 ta’ Ottubru 2019, il-paragrafi 8-10 (disponibbli fuq https://ec.europa.eu/commission/sites/beta-political/files/revised_political_declaration.pdf ).

(131)

     Pereżempju, mill-Arġentina, mill-Kolombja, minn Iżrael, mill-Iżvizzera jew mill-Urugwaj.

(132)

     Il-klawżoli kuntrattwali standard (SCCs) għal trasferimenti internazzjonali dejjem jeħtieġu l-approvazzjoni mill-Kummissjoni, iżda jistgħu jitħejjew jew mill-Kummissjoni nnifisha jew minn DPA nazzjonali. L-SCCs eżistenti kollha jaqgħu fl-ewwel kategorija.

(133)

     Skont l-IAPP-EY Annual Privacy Governance Report 2019, “l-aktar popolari fost dawn l-għodod [ta’ trasferiment] – sena wara sena – huma mingħajr dubju l-klawżoli kuntrattwali standard: 88 % tar-rispondenti fl-istħarriġ ta’ din is-sena rrapportaw l-SCCs bħala l-metodu ewlieni tagħhom għat-trasferimenti ekstraterritorjali ta’ data, segwiti minn konformità mal-arranġament tat-Tarka tal-Privatezza UE-U.S. (60 %). Għar-rispondenti li jittrasferixxu data mill-UE lejn ir-Renju Unit (52 %), 91 % jirrapportaw li biħsiebhom jużaw l-SCCs għall-konformità tat-trasferimenti ta’ data wara Brexit”.

(134)

     Bħalissa hemm tliet settijiet ta’ klawżoli kuntrattwali standard adottati mill-Kummissjoni għat-trasferiment ta’ data personali lejn pajjiżi terzi: tnejn għal trasferimenti minn kontrollur fiż-ŻEE għal kontrollur mhux fiż-ŻEE u wieħed għal trasferimenti minn kontrollur fiż-ŻEE għal proċessur mhux fiż-ŻEE. Ġew emendati fl-2016, wara s-sentenza tal-Qorti tal-Ġustizzja fil-kawża Schrems I (C-362/14), sabiex titneħħa kwalunkwe restrizzjoni fuq l-awtoritajiet superviżorji kompetenti sabiex jeżerċitaw is-setgħat tagħhom għas-sorveljanza tat-trasferimenti ta’ data. Ara https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_mt .

(135)

     Ara wkoll il-Kontribut mill-Bord, pp. 6-7. Bl-istess mod, fir-rigward tal-SCCs, il-Kunsill sejjaħ lill-Kummissjoni sabiex “tirrieżaminahom u tirrivedihom fil-futur qrib biex tieħu kont tal-bżonnijiet tal-kontrolluri u l-proċessuri”. Ara l-Pożizzjoni tal-Kunsill u sejbiet.

(136)

     Diversi sottomissjonijiet għall-konsultazzjoni pubblika kkummentaw fuq dan l-aħħar xenarju, u spiss qajmu tħassib li l-ħtieġa li l-proċessuri fl-UE jiżguraw salvagwardji xierqa fir-relazzjoni tagħhom ma’ kontrolluri mhux fl-UE tkun tixħithom fi żvantaġġ kompetittiv meta mqabbla ma’ proċessuri barranin li joffru servizzi simili.

(137)

Ara l-kawża Schrems II.

(138)

F’konformità mal-Artikolu 46(2)(c) tal-GDPR, il-klawżoli kuntrattwali standard iridu jiġu adottati permezz tal-proċedura ta’ eżami stabbilita fl-Artikolu 5 tar-Regolament (UE) Nru 182/2011 tal-Parlament Ewropew u tal-Kunsill tas-16 ta’ Frar 2011 li jistabbilixxi r-regoli u l-prinċipji ġenerali dwar il-modalitajiet ta’ kontroll mill-Istati Membri tal-eżerċizzju mill-Kummissjoni tas-setgħat ta’ implimentazzjoni - ĠU L 55, 28.2.2011, p. 13–18. Din tinvolvi b’mod partikolari deċiżjoni pożittiva minn kumitat imsawwar minn rappreżentanti tal-Istati Membri.

(139)

     Dan jinkludi, pereżempju, il-ħidma li qed issir bħalissa mill-Istati Membri ASEAN sabiex jiżviluppaw “klawżoli kuntrattwali mudell tal-ASEAN”. Ara ASEAN, Key Approaches for ASEAN Cross Border Data Flows Mechanism (disponibbli fuq: https://asean.org/storage/2012/05/Key-Approaches-for-ASEAN-Cross-Border-Data-Flows-Mechanism.pdf ).

(140)

Għal ħarsa ġenerali lejn l-opinjonijiet tal-EDPB maħruġa sa issa, ara https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_mt .

(141)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614109 .

(142)

      https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=614110 .

(143)

     Dawn id-dokumenti ġew adottati (mill-eks Grupp ta’ Ħidma tal-Artikolu 29) wara d-dħul fis-seħħ tal-GDPR, iżda qabel tmiem il-perjodu ta’ tranżizzjoni. Ara id-WP263 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623056 ); id-WP264 ( https://edpb.europa.eu/sites/edpb/files/files/file2/wp264_art29_wp_bcr-c_application_form.pdf ); id-WP265 ( https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623848 ).

(144)

     Il-kontribut mill-Bord, p. 7.

(145)

Il-lista ta’ rekwiżiti speċifiċi li jsawru dan l-istandard tal-ISO hija disponibbli fuq: https://www.iso.org/standard/71670.html .

(146)

     EDPB, Opinion 4/2019 on the draft Administrative Arrangement for the transfer of personal data between European Economic Area (EEA) Financial Supervisory Authorities and non-EEA Financial Supervisory Authorities, 12.2.2019.

(147)

     EDPB, Guidelines 2/2020 on articles 46(2)(a) and 46(3)(b) of Regulation 2016/679 for transfers of personal data between EEA and non-EEA public authorities and bodies (l-abbozz disponibbli fuq: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-22020-articles-46-2-and-46-3-b_mt ). Skont l-EDPB, “l-[awtorità superviżorja] kompetenti se tibbaża l-eżami tagħha fuq ir-rakkomandazzjonijiet ġenerali stabbiliti f’dawn il-linji gwida, iżda tista’ titlob aktar garanziji skont il-każ speċifiku.” L-EDPB issottometta dawn l-abbozzi ta’ linji gwida għal konsultazzjoni pubblika li ntemmet fit-18 ta’ Mejju 2020.

(148)

     Il-pożizzjoni tal-Kunsill u sejbiet, il-paragrafu 20.

(149)

     Fl-istess ħin, l-EDPB jiċċara li l-awtoritajiet pubbliċi għadhom “liberi li jibbażaw fuq għodod rilevanti oħra li jipprovdu għal salvagwardji xierqa f’konformità mal-Artikolu 46 tal-GDPR.” Rigward l-għażla tal-istrument, l-EDPB jenfasizza li “jenħtieġ li jiġi vvalutat bil-galbu jekk isirx użu minn arranġamenti amministrattivi mhux legalment vinkolanti sabiex jiġu pprovduti salvagwardji fis-settur pubbliku, fid-dawl tal-iskop tal-ipproċessar u tan-natura tad-data inkwistjoni. Jekk id-drittijiet ta’ protezzjoni tad-data u r-rimedju għall-individwi taż-ŻEE ma jkunux previsti fil-liġi domestika tal-pajjiż terz, jenħtieġ li tingħata preferenza għall-konklużjoni ta’ ftehim legalment vinkolanti. Irrispettivament mit-tip ta’ strument adottat, il-miżuri fis-seħħ iridu jkunu effettivi sabiex jiżguraw l-implimentazzjoni, l-infurzar u s-superviżjoni xierqa” (il-paragrafu 67).

(150)

     Dan jista’ jinkludi, pereżempju, il-kombinament tal-verifiki interni (ma’ impenn sabiex il-parti l-oħra tiġi informata dwar kwalunkwe każ ta’ nuqqas ta’ konformità ma’ sorveljanza indipendenti permezz ta’ mekkaniżmi esterni jew tal-anqas funzjonalment awtonomi, kif ukoll il-possibbiltà għall-korp pubbliku tat-trasferiment li jissospendi jew itemm it-trasferiment.

(151)

     Dan jista’ jinkludi, pereżempju, mekkaniżmi semiġudizzjarji vinkolanti (eż. arbitraġġ) jew mekkaniżmi ta’ soluzzjoni alternattiva għat-tilwim, flimkien mal-possibbiltà għall-awtorità pubblika tat-trasferiment li tissospendi jew ittemm it-trasferiment tad-data personali jekk il-partijiet ma jirnexxilhomx isolvu tilwima b’mod amikevoli, flimkien ma’ impenn mal-korp pubbliku riċevitur li jirritorna jew iħassar id-data personali. Meta jintużaw il-mekkaniżmi ta’ rimedju alternattiv fi strumenti vinkolanti u infurzabbli għaliex ma jkunx hemm possibbiltà li jiġi żgurat rimedju ġudizzjarju effettiv, l-EDPB jirrakkomanda li jintalab il-parir tal-awtorità superviżorja kompetenti qabel ma jiġu konklużi dawn l-istrumenti.

(152)

     Dan huwa tibdil mid-Direttiva 95/46 li sempliċiment teħtieġ kunsens “mingħajr ambigwità”. Barra minn hekk, japplikaw ir-rekwiżiti ġenerali għall-kunsens skont l-Artikolu 4(11) GDPR.

(153)

   EDPB, il-Linji Gwida 2/2018 dwar id-derogi tal-Artikolu 49 skont ir-Regolament 2016/679, 25.5.2018 (disponibbli fuq: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_mt.pdf ).

(154)

   Dan jinkludi, pereżempju, trasferimenti internazzjonali ta’ data dwar is-saħħa għal finijiet ta’ riċerka fil-kuntest tat-tifqigħa tal-COVID-19. Ara EDPB, il-Linji Gwida 03/2020 dwar l-ipproċessar ta’ data dwar is-saħħa għall-finijiet ta’ riċerka xjentifika fil-kuntest tat-tifqigħa tal-COVID-19, 21.4.2020 (disponibbli fuq: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202003_healthdatascientificresearchcovid19_mt.pdf ).

(155)

     Ara l-Premessa 112.

(156)

     Ara Brief of the European Commission on behalf of the European Union as Amicus Curiae in Support of Neither Party in the Case US v. Microsoft, p. 15: “B’mod ġenerali, id-dritt tal-Unjoni u tal-Istati Membri jirrikonoxxi l-importanza tal-ġlieda kontra l-kriminalità serja—u b’hekk, l-infurzar tal-liġi kriminali u tal-kooperazzjoni internazzjonali f’dak ir-rigward—bħala objettiv ta’ interess ġenerali. […] L-Artikolu 83 tat-TFUE jidentifika diversi oqsma tal-kriminalità li huma partikolarment serji u għandhom dimensjonijiet transfruntiera, bħat-traffikar illeċitu tad-droga.” (disponibbli fuq: https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf ).

(157)

     EDPB, il-Linji Gwida dwar id-Derogi (supra n-nota 153 f’qiegħ il-paġna), p. 10. L-EDPB kompla jiċċara li, filwaqt li t-trasferimenti tad-data fuq il-bażi tad-deroga ta’ interess pubbliku ma jistgħux ikunu “fuq skala kbira” jew “b’mod sistematiku”, iżda “jeħtieġ li jiġu ristretti għal sitwazzjonijiet speċifiċi u […] [jissodisfaw] [it-]test iebes tan-neċessità”, ma hemm l-ebda rekwiżit sabiex ikunu “okkażjonali”.

(158)

     Dan huwa magħmul ċar mill-formulazzjoni tal-Artikolu 48 tal-GDPR (“mingħajr preġudizzju għal raġunijiet oħra tat-trasferiment skont dan il-Kapitolu”) u mill-Premessa 115 li takkumpanjah (“[it-]trasferimenti għandhom ikunu permessi biss fejn ikunu ġew sodisfatti l-kundizzjonijiet ta’ dan ir-Regolament għal trasferiment lejn pajjiż terz. Dan jista’ jkun il-każ, fost l-oħrajn, fejn l-iżvelar huwa meħtieġ għal raġuni importanti ta’ interess pubbliku rikonoxxuta fid-dritt tal-Unjoni jew ta’ Stat Membru li għaliha jkun soġġett il-kontrollur”). Dan huwa rikonoxxut ukoll mill-EDPB, ara l-Linji Gwida dwar id-Derogi (supra n-nota 153 f’qiegħ il-paġna), p. 5. Bħal fil-każ tal-operazzjonijiet kollha ta’ pproċessar, is-salvagwardji l-oħra skont ir-Regolament ukoll iridu jkunu rrispettati (eż. li d-data tiġi ttrasferita għal skop speċifiku, tkun rilevanti, u limitata għal dik li hija neċessarja għall-fini tat-talba, eċċ.).

(159)

     Is-sottomissjoni f’Microsoft (supra n-nota 156 f’qiegħ il-paġna). Għalhekk, hekk kif spjegat il-Kummissjoni, il-GDPR jagħmel l-MLATs l-“għażla ppreferuta” għat-trasferimenti peress li trattati bħal dawn “jipprovdu għall-kumpilazzjoni tal-evidenza b’kunsens, u jinkorporaw bilanċ innegozjat bir-reqqa bejn l-interessi ta’ stati differenti li jkun imfassal sabiex jimmitiga l-kunflitti ġurisdizzjonali li jistgħu jinqalgħu f’każijiet oħra.” Ara wkoll il-Linji Gwida tal-EDPB dwar id-Derogi (supra n-nota 153 f’qiegħ il-paġna), p. 5 (“F’sitwazzjonijiet fejn hemm ftehim internazzjonali, bħat-Trattat ta’ Għajnuna Legali Reċiproka (Mutual Legal Assistance Treaty, MLAT), jeħtieġ li l-kumpaniji tal-UE jirrifjutaw talbiet diretti u jirreferu lill-awtorità tal-pajjiż terz rikjedenti għall-MLAT jew il-ftehim eżistenti”).

(160)

     Is-sottomissjoni f’Microsoft (supra n-nota 156 f’qiegħ il-paġna), p. 4.

(161)

     Is-sottomissjoni f’Microsoft (supra n-nota 156 f’qiegħ il-paġna), p. 6.

(162)

     Il-Kummissjoni Ewropea, Proposta għal Regolament tal-Parlament Ewropew u tal-Kunsill dwar l-Ordnijiet ta’ Produzzjoni u ta’ preżervazzjoni Ewropej għall-evidenza elettronika f’materji kriminali, 17.4.2018 (COM(2018) 225 final). Il-Kunsill adotta l-approċċ ġenerali tiegħu dwar ir-Regolament propost fis-7.12.2018 (disponibbli fuq: https://www.consilium.europa.eu/mt/press/press-releases/2018/12/07/regulation-on-cross-border-access-to-eevidence-council-agrees-its-position/# ). Ara wkoll EDPS, Opinion 7/19 on proposals regarding European Production and preżervation Orders for electronic evidence in criminal matters (disponibbli fuq: https://edps.europa.eu/data-protection/ourwork/publications/opinions/electronic-evidence-criminal-matters_en ).

(163)

     Il-Memorandum ta’ Spjegazzjoni, p. 21, jagħmilha ċara li, minbarra li tiżgura korteżija fir-rigward tal-interessi sovrani ta’ pajjiżi terzi, tipproteġi lill-individwu kkonċernat u tevita kunflitti tal-liġi għall-fornituri ta’ servizzi, motivazzjoni importanti minnhom għall-klawżola ta’ korteżija hija r-reċiproċità, jiġifieri li tiżgura r-rispett għar-regoli tal-UE, inkluż dwar il-protezzjoni ta’ data personali (l-Artikolu 48 tal-GDPR). Ara wkoll id-Dikjarazzjoni tal-Grupp ta’ Ħidma tal-Artikolu 29 tad-29 ta’ Novembru 2017, Data protection and privacy aspects of cross-border access to electronic evidence (id-Dikjarazzjoni tad-WP29) (disponibbli fuq: file:///C:/Users/ralfs/AppData/Local/Packages/Microsoft.MicrosoftEdge_8wekyb3d8bbwe/TempState/Downloads/20171207_e-Evidence_Statement_FINALpdf%20(1).pdf ), p. 9.

(164)

     Ara d-Dikjarazzjoni tad-WP29 (supra n-nota 163 f’qiegħ il-paġna), p. 6.

(165)

     Ara r-Rakkomandazzjoni għal Deċiżjoni tal-Kunsill li tawtorizza l-parteċipazzjoni f’negozjati dwar it-tieni Protokoll Addizzjonali għall-Konvenzjoni tal-Kunsill tal-Ewropa dwar iċ-Ċiberkriminalità (CETS Nru 185), 5.2.2019 (COM(2019) 71 final). Ara wkoll EDPS, Opinion 3/2019 regarding the participation in the negotiations in view of a Second Additional Protocol to the Budapest Cybercrime Convention, 2.4.2019 (disponibbli fuq: https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_budapest_convention_en.pdf ); EDPB, Contribution to the consultation on a draft second additional protocol to the Council of Europe Convention on Cybercrime (Budapest Convention), 13.11.2019 (disponibbli fuq: https://edpb.europa.eu/sites/edpb/files/files/file1/edpbcontributionbudapestconvention_en.pdf ).

(166)

     Ara r-Rakkomandazzjoni għal Deċiżjoni tal-Kunsill li tawtorizza l-ftuħ tan-negozjati bil-ħsieb ta’ ftehim bejn l-Unjoni Ewropea u l-Istati Uniti tal-Amerka dwar l-aċċess transfruntier għall-evidenza elettronika għall-kooperazzjoni ġudizzjarja f’materji kriminali, 5.2.2019 (COM(2019) 70 final). Ara wkoll EDPS, Opinion 2/2019 on the negotiating mandate of an EU-US agreement on cross-border access to electronic evidence (disponibbli fuq: https://edps.europa.eu/sites/edp/files/publication/19-04-02_edps_opinion_on_eu_us_agreement_on_e-evidence_en.pdf ).

(167)

Ara s-sottomissjoni tad-DĠ Ġustizzja u Konsumaturi tad-9 ta’ Novembru 2018 bħala tweġiba għal talba għal kummenti pubbliċi dwar approċċ propost għall-privatezza tal-konsumaturi [Docket Nru 180821780-8780-01] min-National Telecommunications and Information Administration tal-Istati Uniti (disponibbli fuq: https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf )

(168)

Ara s-sottomissjoni tad-19 ta’ Novembru 2018 tad-DĠ Ġustizzja u Konsumaturi dwar l-abbozz tal-Att dwar il-Protezzjoni tad-Data Personali tal-Indja tal-2018 lill-Ministru tal-Elettronika u tat-Teknoloġija tal-Informatika (disponibbli fuq: https://eeas.europa.eu/delegations/india/53963/submission-draft-personal-data-protection-bill-india-2018-directorate-general-justice_mt).

(169)

Ara l-laqgħa plenarja tas-17 ta’ April 2018 tas-Senat tal-Brażil (https://www25.senado.leg.br/web/atividade/sessao-plenaria/-/pauta/23384 ), il-laqgħa tal-10 ta’ April 2019 tal-Kumitat Konġunt dwar MP 869/2018 tal-Kungress tal-Brażil ( https://www12.senado.leg.br/ecidadania/visualizacaoaudiencia?id=15392 ), u l-laqgħa tas-26 ta’ Novembru 2019 tal-Kumitat Speċjali tal-Kamra tad-Deputati tal-Brażil (https://www.camara.leg.br/noticias/616579-comissao-discutira-protecao-de-dados-no-ambito-das-constituicoes-de-outros-paises/).

(170)

Ara l-laqgħat tad-29 ta’ Mejju 2018 ( https://senado.cl/appsenado/index.php?mo=comisiones&ac=asistencia_sesion&idcomision=186&idsesion=12513&idpunto=15909&sesion=29/05/2018&listado=1 ), tal-24 ta’ April 2019 (https://www.senado.cl/appsenado/index.php?mo=comisiones&ac=sesiones_celebradas&idcomision=186&tipo=3&legi=485&ano=2019&desde=0&hasta=0&idsesion=13603&idpunto=17283&listado=2) u tal-Kumitat għall-Affarijiet Kostituzzjonali, Leġiżlattivi u Ġudizzjarji tas-Senat taċ-Ċilì.

(171)

Ara l-laqgħa tat-2 ta’ Novembru 2018 tal-Kumitat dwar id-Drittijiet, il-Libertajiet u r-Relazzjonijiet Esterni tal-Assemblea tat-Tuneżija tar-Rappreżentanti tal-Poplu ( https://www.facebook.com/1515094915436499/posts/2264094487203201/ ).

(172)

     Ta’ min jgħid li l-Konvenzjoni mmodernizzata mhijiex sempliċi trattat li jistabbilixxi salvagwardji b’saħħithom għall-protezzjoni tad-data, iżda toħloq ukoll network ta’ awtoritajiet superviżorji b’għodod għall-kooperazzjoni fl-infurzar u, mal-Kumitat tal-Konvenzjoni, forum għal diskussjonijiet, għall-iskambju tal-aħjar prattiki u għall-iżvilupp ta’ standards internazzjonali.

(173)

Ara l-lista sħiħa tal-membri: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures . Il-pajjiżi mill-Afrika jinkludu Cabo Verde, Mauritius, il-Marokk, is-Senegal u t-Tuneżija, mill-Amerika Latina l-Arġentina, il-Messiku u l-Urugwaj. Il-Burkina Faso ġiet mistiedna tissieħeb fil-Konvenzjoni.

(174)

Ara t-test tal-Konvenzjoni mmodernizzata: https://search.coe.int/cm/Pages/result_details.aspx?ObjectId=09000016807c65bf .

(175)

     Skont id-Deċiżjoni tiegħu dwar il-Protokoll Emendatorju tat-18 ta’ Mejju 2018, il-Kumitat tal-Ministri “saħaq sabiex l-Istati membri u l-Partijiet l-oħra għall-Konvenzjoni jieħdu mingħajr dewmien il-miżuri neċessarji sabiex jippermettu d-dħul fis-seħħ tal-Protokoll fi żmien tliet snin mindu jinfetaħ għall-firma u sabiex iniedu minnufih, iżda fi kwalunkwe każ mhux aktar tard minn sena wara d-data li fiha jkun infetaħ il-Protokoll għall-iffirmar, il-proċess skont il-liġi nazzjonali tagħhom li jwassal għal ratifika...” Barra minn hekk, “ordna lid-Deputati tiegħu jeżaminaw b’mod biannwali, u għall-ewwel darba sena wara d-data tal-ftuħ għall-iffirmar tal-Protokoll, il-progress ġenerali li sar lejn ir-ratifika fuq il-bażi tal-informazzjoni li għandha tiġi pprovduta lis-Segretarju Ġenerali minn kull wieħed mill-Istati membri u mill-Partijiet l-oħra għall-Konvenzjoni sa mhux aktar tard minn xahar qabel eżaminazzjoni bħal din.” Ara https://search.coe.int/cm/pages/result_details.aspx?objectid=09000016808a3c9f .

(176)

     Fil-marġni tas-Summit UE-Ġappun ta’ April 2019, il-President Juncker esprima l-appoġġ għall-inizjattiva tal-Ġappun ta’ “moviment liberu tad-data b’fiduċja” u għat-tnedija tal-“Osaka Track” u ħa impenn li l-Kummissjoni “taqdi rwol attiv fiż-żewġ inizjattivi”.

(177)

     Ara t-test tad-Dikjarazzjoni ta’ Osaka tal-Mexxejja tal-G20: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf  

(178)

     Ara t-test tal-Istrateġija ta’ Biarritz tal-G7 għal trasformazzjoni diġitali miftuħa, libera u sigura: https://www.elysee.fr/admin/upload/default/0001/05/62a9221e66987d4e0d6ffcb058f3d2c649fc6d9d.pdf  

(179)

     Il-Komunikazzjoni tal-Kummissjoni lill-Parlament Ewropew, lill-Kunsill, lill-Kumitat Ekonomiku u Soċjali Ewropew u lill-Kumitat tar-Reġjuni, Strateġija Ewropea għad-data, 19.2.2020 (COM(2020) 66 final) ( https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf ), pp. 23-24.

(180)

L-Art. 4(1)(d) tar-Regolament (UE) 2019/452 tal-Parlament Ewropew u tal-Kunsill tad-19 ta’ Marzu 2019 li jistabbilixxi qafas għall-iskrinjar tal-investimenti diretti barranin fl-Unjoni (ĠU L 79I, 21.03.2019).

(181)

      https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449

(182)

Id-Dikjarazzjoni Ministerjali dwar il-Kummerċ u l-Ekonomija Diġitali tal-G20: https://g20trade-digital.go.jp/dl/Ministerial_Statement_on_Trade_and_Digital_Economy.pdf  

(183)

     Ara l-Artikoli 13(2)(f), 14(2)(g), 22 tal-GDPR.

(184)

     Ara, pereżempju, il-Convention on Cyber Security and Personal Data Protection (“il-Konvenzjoni ta’ Malabo”) tal-Unjoni Afrikana u Standards for Data Protection for the Ibero-American States żviluppati min-Network Ibero-Amerikan għall-Protezzjoni tad-Data.

(185)

 Il-Konvenzjoni tal-Kunsill tal-Ewropa għall-Protezzjoni ta’ Individwi fir-rigward tal-Ipproċessar Awtomatiku ta’ Data Personali  https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/108/signatures?p_auth=DW5jevqD  

(186)

 African Union Convention on Cyber Security and Personal Data Protection  https://au.int/en/treaties/african-union-convention-cyber-security-and-personal-data-protection . Barra minn hekk, diversi mill-Komunitajiet Ekonomiċi Reġjonali (RECs) żviluppaw regoli dwar il-protezzjoni tad-data, pereżempju l-Komunità Ekonomika tal-Istati tal-Afrika tal-Punent (ECOWAS) u l-Komunità għall-Iżvilupp tan-Nofsinhar tal-Afrika (SADC). Ara, rispettivament, http://www.tit.comm.ecowas.int/wp-content/uploads/2015/11/SIGNED-Data-Protection-Act.pdf u http://www.itu.int/ITU-D/projects/ITU_EC_ACP/hipssa/docs/SA4docs/data%20protection.pdf .

(187)

 

(188)

Fost l-oħrajn, permezz tal-Inizjattiva dwar il-Politika u r-Regolamentazzjoni għall-Afrika Diġitali (PRIDA), ara: https://www.africa-eu-partnership.org/en/projects/policy-and-regulation-initiative-digital-africa-prida .

(189)

Ara l-Komunikazzjoni Konġunta tal-Kummissjoni Ewropea u tar-Rappreżentant Għoli għall-Affarijiet Barranin u l-Politika ta’ Sigurtà “Lejn strateġija komprensiva għall-Afrika” (“Towards a comprehensive strategy for Africa”) (disponibbli fuq: https://ec.europa.eu/international-partnerships/system/files/communication-eu-africa-strategy-join-2020-4-final_en.pdf ); Digital Economy Task Force, New Africa-Europe Digital Economy Partnership: Accelerating the Achievement of the Sustainable Development Goals (disponibbli fuq: https://www.africa-eu-partnership.org/sites/default/files/documents/finaldetfreportpdf.pdf ).

(190)

  https://ec.europa.eu/info/sites/info/files/communication-european-strategy-data-19feb2020_en.pdf , p. 23.

(191)

Ħlief għal-Liechtenstein.