IL-KUMMISSJONI EWROPEA

Brussell, 25.7.2024

COM(2024) 357 final

KOMUNIKAZZJONI TAL-KUMMISSJONI LILL-PARLAMENT EWROPEW U LILL-KUNSILL

It-Tieni Rapport dwar l-applikazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data

1Introduzzjoni

Dan huwa t-tieni rapport tal-Kummissjoni dwar l-applikazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data (GDPR), adottat f’konformità mal-Artikolu 97 tal-GDPR. L-ewwel rapport ġie adottat fl-24 ta’ Ġunju 2020 (ir-“rapport tal-2020”)( 1 )).

Il-GDPR huwa wieħed mill-pedamenti tal-approċċ tal-UE għat-trasformazzjoni diġitali. Il-prinċipji bażiċi tiegħu - l-ipproċessar ġust, sikur u trasparenti tad-data personali, li jiżgura li l-individwi jibqgħu fil-kontroll - jirfdu l-politiki kollha tal-UE li jinvolvu l-ipproċessar tad-data personali.

Mir-rapport tal-2020, l-UE adottat firxa ta’ inizjattivi li għandhom l-għan li jqiegħdu lill-individwi fiċ-ċentru tat-tranżizzjoni diġitali. Kull inizjattiva ssegwi għan partikolari, bħall-ħolqien ta’ ambjent aktar sikur online, li jagħmel l-ekonomija diġitali aktar ġusta u aktar kompetittiva, jiffaċilita r-riċerka rivoluzzjonarja, jiżgura l-iżvilupp ta’ intelliġenza artifiċjali (IA) sikura u affidabbli u joħloq suq uniku ġenwin għad-data. F’dak kollu li jirrigwarda d-data personali, dawn l-inizjattivi jibnu fuq il-GDPR. Il-GDPR jipprovdi wkoll bażi għal inizjattivi settorjali li jħallu impatt fuq l-ipproċessar ta’ data personali, eż. fl-oqsma tas-servizzi finanzjarji, is-saħħa, l-impjiegi, il-mobbiltà u l-infurzar tal-liġi.

Hemm kunsens wiesa’ fost il-partijiet ikkonċernati, l-awtoritajiet tal-protezzjoni tad-data u l-Istati Membri li, minkejja xi sfidi, il-GDPR qed ikompli jagħti riżultati importanti lill-individwi u lin-negozji. L-approċċ ibbażat fuq ir-riskju u newtrali għat-teknoloġija jipprovdi protezzjoni b’saħħitha għas-suġġetti tad-data u obbligi proporzjonati għall-kontrolluri u l-proċessuri tad-data. Fl-istess ħin, jenħtieġ li jsir aktar progress f’għadd ta’ oqsma. B’mod partikolari, fis-snin li ġejjin, l-enfasi jenħtieġ li tkun fuq l-appoġġ għall-isforzi ta’ konformità tal-partijiet ikkonċernati - speċjalment l-intrapriżi żgħar u ta’ daqs medju (SMEs), l-operaturi żgħar u r-riċerkaturi u l-organizzazzjonijiet tar-riċerka, l-għoti ta’ gwida aktar ċara u azzjonabbli mill-awtoritajiet tal-protezzjoni tad-data, u l-kisba ta’ interpretazzjoni u infurzar aktar konsistenti tal-GDPR madwar l-UE.

Skont l-Artikolu 97 tal-GDPR, il-Kummissjoni jenħtieġ li teżamina b’mod partikolari l-applikazzjoni u l-funzjonament tat-trasferiment internazzjonali ta’ data personali lil pajjiżi terzi (jiġifieri pajjiżi barra mill-UE/ŻEE) (Kapitolu V, GDPR) u l-mekkaniżmi ta’ kooperazzjoni u ta’ konsistenza bejn l-awtoritajiet nazzjonali tal-protezzjoni tad-data (Kapitolu VII, GDPR). Madankollu, bħal fil-każ tar-rapport tal-2020, dan ir-rapport jipprovdi valutazzjoni ġenerali tal-applikazzjoni tal-GDPR li tmur lil hinn minn dawn iż-żewġ elementi: jidentifika wkoll għadd ta’ azzjonijiet meħtieġa biex tiġi appoġġata l-applikazzjoni effettiva tal-GDPR f’oqsma prijoritarji ewlenin.

Dan ir-rapport iqis is-sorsi li ġejjin: (i) il-pożizzjoni u s-sejbiet tal-Kunsill, adottati f’Diċembru 2023 ( 2 ); (ii) l-input miġbur mill-partijiet ikkonċernati, b’mod partikolari permezz tal-grupp ta’ diversi partijiet ikkonċernati tal-GDPR ( 3 ) u sejħa pubblika għall-evidenza ( 4 ); u (iii) l-input mill-awtoritajiet tal-protezzjoni tad-data (permezz tal-kontribut tal-Bord Ewropew għall-Protezzjoni tad-Data ( 5 ) (il-Bord) u rapport imħejji mill-Aġenzija għad-Drittijiet Fundamentali (FRA) abbażi ta’ intervisti mwettqa ma’ awtoritajiet individwali tal-protezzjoni tad-data ( 6 ) (ir-“rapport tal-FRA”). Ir-rapport jibni wkoll fuq il-monitoraġġ kontinwu mill-Kummissjoni tal-applikazzjoni tal-GDPR, inklużi djalogi bilaterali mal-Istati Membri dwar il-konformità tal-leġiżlazzjoni nazzjonali, il-kontribut attiv għall-ħidma tal-Bord, u l-kuntatti mill-qrib ma’ firxa wiesgħa ta’ partijiet ikkonċernati dwar l-applikazzjoni prattika tar-Regolament.

2L-infurzar tal-GDPR u l-funzjonament tal-mekkaniżmi ta’ kooperazzjoni u konsistenza 

Is-sistema ta’ infurzar tal-punt uniku ta’ servizz tal-GDPR għandha l-għan li tiżgura interpretazzjoni u infurzar armonizzati minn awtoritajiet indipendenti tal-protezzjoni tad-data. Din teħtieġ kooperazzjoni bejn l-awtoritajiet tal-protezzjoni tad-data f’każijiet ta’ pproċessar transfruntier, fejn is-suġġetti tad-data f’diversi Stati Membri jkunu affettwati b’mod sostanzjali. It-tilwimiet bejn l-awtoritajiet jissolvew mill-Bord skont il-mekkaniżmu ta’ konsistenza tal-GDPR.

2.1Nagħmlu l-immaniġġjar ta’ każijiet transfruntieri aktar effiċjenti: il-proposta dwar ir-regoli proċedurali

Ir-rapport tal-2020 innota l-ħtieġa għal immaniġġjar aktar effiċjenti u armonizzat ta’ każijiet transfruntieri madwar l-UE, b’mod partikolari fid-dawl ta’ differenzi kbar fil-proċeduri amministrattivi nazzjonali u fl-interpretazzjonijiet tal-kunċetti fil-mekkaniżmu ta’ kooperazzjoni tal-GDPR. Għalhekk, f’Lulju 2023, il-Kummissjoni adottat proposta għal Regolament dwar ir-regoli proċedurali ( 7 ), billi bbażat ruħha wkoll fuq lista ta’ kwistjonijiet ippreżentati mill-Bord lill-Kummissjoni f’Ottubru 2022 ( 8 ), u fuq l-input mill-partijiet ikkonċernati ( 9 ) u mill-Istati Membri ( 10 ). Il-proposta tikkomplementa l-GDPR billi tistabbilixxi regoli dettaljati dwar l-ilmenti transfruntieri, l-involviment tal-ilmentatur, id-drittijiet tal-partijiet li qed jiġu investigati (kontrolluri u proċessuri) għal proċess ġust, u l-kooperazzjoni bejn l-awtoritajiet tal-protezzjoni tad-data. L-armonizzazzjoni ta’ dawn l-aspetti proċedurali tappoġġa t-tlestija f’waqtha tal-investigazzjonijiet u l-għoti ta’ rimedju b’ħeffa għall-individwi. Il-proposta bħalissa qed tiġi nnegozjata mill-Parlament Ewropew u mill-Kunsill.

2.2Kooperazzjoni akbar bejn l-awtoritajiet tal-protezzjoni tad-data u l-użu tal-mekkaniżmu ta’ konsistenza

L-għadd ta’ każijiet transfruntieri żdied b’mod sinifikanti f’dawn l-aħħar snin. L-awtoritajiet tal-protezzjoni tad-data wrew rieda akbar li jagħmlu użu mill-għodod għall-kooperazzjoni pprovduti mill-GDPR. L-awtoritajiet kollha tal-protezzjoni tad-data għamlu użu mill-għodda ta’ assistenza reċiproka ( 11 ) kif ukoll minn talbiet “informali” biex jassistu lil xulxin fuq bażi volontarja. L-awtoritajiet tal-protezzjoni tad-data jiffavorixxu talbiet informali, li ma jimponux skadenza jew dmir strett li jwieġbu. Għalkemm il-Bord adotta linji gwida dwar l-operazzjonijiet konġunti fl-2021 ( 12 ), l-awtoritajiet għadhom ma għamlux użu sinifikanti minn din l-għodda ( 13 ) u jsemmu d-differenzi fil-proċeduri nazzjonali u n-nuqqas ta’ ċarezza dwar il-proċedura bħala r-raġunijiet ewlenin għall-użu limitat tagħha.

Il-GDPR jipprovdi lill-awtoritajiet tal-protezzjoni tad-data kkonċernati bil-possibbiltà li jqajmu oġġezzjoni rilevanti u motivata meta ma jaqblux ma’ abbozz ta’ deċiżjoni tal-awtorità ewlenija tal-protezzjoni tad-data f’każ transfruntier. Meta l-awtoritajiet tal-protezzjoni tad-data ma jkunux jistgħu jilħqu kunsens dwar oġġezzjoni rilevanti u motivata, il-GDPR jipprevedi soluzzjoni tat-tilwim mill-Bord ( 14 ). L-aktar suġġetti li tqajmu ta’ spiss f’oġġezzjonijiet rilevanti u motivati kienu: (i) il-bażi ġuridika għall-ipproċessar; (ii) l-obbligi ta’ informazzjoni u trasparenza; (iii) in-notifika ta’ ksur tad-data; (iv) id-drittijiet tas-suġġetti tad-data; (v) derogi għal trasferimenti internazzjonali; (vi) l-użu ta’ miżuri korrettivi; u (vii) l-ammont ta’ multa amministrattiva.

Is-sistema ta’ infurzar tal-GDPR hija bbażata fuq il-premessa ta’ kooperazzjoni sinċiera u effettiva bejn l-awtoritajiet tal-protezzjoni tad-data. Filwaqt li l-proċedura għas-soluzzjoni tat-tilwim għandha rwol importanti f’din l-arkitettura ta’ infurzar, din jenħtieġ li tintuża fl-ispirtu li fih tfasslet, jiġifieri b’kunsiderazzjoni xierqa għad-diviżjoni tal-kompetenza bejn l-awtoritajiet tal-protezzjoni tad-data, il-ħtieġa li jiġu rrispettati d-drittijiet għal proċess ġust, u l-interess li tinkiseb riżoluzzjoni f’waqtha tal-każ għas-suġġetti tad-data. Kull proċedura għas-soluzzjoni tat-tilwim teħtieġ riżorsi sinifikanti mill-awtorità ewlenija, mill-awtoritajiet ikkonċernati u mis-segretarjat tal-Bord, u ddewwem l-għoti ta’ rimedju għas-suġġetti tad-data.

Il-mekkaniżmu ta’ konsistenza tal-GDPR qed jintuża dejjem aktar mill-awtoritajiet tal-protezzjoni tad-data. Dan għandu tliet komponenti: (i) l-opinjonijiet tal-Bord; (ii) is-soluzzjoni tat-tilwim mill-Bord; u (iii) il-proċedura ta’ urġenza ( 21 ).

Il-Bord jindirizza dejjem aktar kwistjonijiet importanti ta’ applikazzjoni ġenerali fl-opinjonijiet tiegħu ( 22 ). Il-Bord għandu jiżgura konsultazzjoni f’waqtha u sinifikanti qabel l-adozzjoni ta’ dawk l-opinjonijiet. Il-każijiet sottomessi għal soluzzjoni tat-tilwim indirizzaw mistoqsijiet bħall-bażi ġuridika għall-ipproċessar tad-data għar-reklamar tal-imġiba fuq il-media soċjali u l-ipproċessar tad-data tat-tfal online. Il-biċċa l-kbira tad-deċiżjonijiet vinkolanti sussegwenti ġew ikkontestati quddiem il-Qorti Ġenerali.

It-trasparenza fil-proċess tat-teħid tad-deċiżjonijiet tal-Bord hija kruċjali biex jiġi żgurat ir-rispett għad-dritt għal amministrazzjoni tajba skont il-Karta tad-Drittijiet Fundamentali tal-UE. Il-proċedura ta’ urġenza tal-GDPR tippermetti lill-awtoritajiet tal-protezzjoni tad-data jidderogaw mill-mekkaniżmu ta’ kooperazzjoni u konsistenza biex jieħdu miżuri urġenti, fejn meħtieġ, biex jipproteġu d-drittijiet u l-libertajiet tas-suġġetti tad-data. Bħala deroga mill-proċedura normali ta’ kooperazzjoni skont il-GDPR, għodod bħall-proċedura ta’ urġenza huma mfassla biex jintużaw biss f’ċirkostanzi eċċezzjonali u fejn il-proċedura normali ta’ kooperazzjoni ma tkunx tista’ tipproteġi d-drittijiet u l-libertajiet tas-suġġetti tad-data.

2.3Infurzar aktar b’saħħtu

F’dawn l-aħħar snin kien hemm żieda sinifikanti fl-attività ta’ infurzar mill-awtoritajiet tal-protezzjoni tad-data, inkluża l-impożizzjoni ta’ multi sostanzjali f’każijiet importanti kontra kumpaniji multinazzjonali tat-“teknoloġija kbira”. Il-multi ġew imposti, pereżempju, għal: (i) il-ksur tal-legalità u s-sigurtà tal-ipproċessar; (ii) il-ksur tal-ipproċessar ta’ kategoriji speċjali ta’ data personali; u (iii) in-nuqqas ta’ konformità mad-drittijiet tal-individwi ( 25 ). Dan wassal biex il-kumpaniji privati “jieħdu l-protezzjoni tad-data bis-serjetà” ( 26 ) u għen biex titrawwem kultura ta’ konformità fl-organizzazzjonijiet. L-awtoritajiet tal-protezzjoni tad-data jadottaw deċiżjonijiet li jsibu ksur tal-GDPR f’każijiet fuq inizjattiva proprja u bbażati fuq ilmenti. Għalkemm ma humiex disponibbli fl-Istati Membri kollha, ħafna awtoritajiet tal-protezzjoni tad-data għamlu użu effettiv mill-proċeduri ta’ “ftehim bonarju” biex isolvu malajr każijiet ibbażati fuq ilmenti għas-sodisfazzjon tal-ilmentatur. Il-proposta dwar ir-regoli proċedurali tirrikonoxxi l-possibbiltà li l-ilmenti jissolvew permezz ta’ ftehim bonarju ( 27 ).

L-awtoritajiet tal-protezzjoni tad-data għamlu użu kbir mis-setgħat korrettivi tagħhom, għalkemm l-għadd ta’ miżuri korrettivi imposti jvarja ħafna fost l-awtoritajiet. Minbarra l-multi, l-aktar miżuri korrettivi użati b’mod komuni kienu t-twissijiet, iċ-ċanfiriet u l-ordnijiet biex ikun hemm konformità mal-GDPR. Il-kontrolluri u l-proċessuri ta’ spiss jikkontestaw deċiżjonijiet li jsibu ksur tal-GDPR fil-qrati nazzjonali, l-aktar komuni għal raġunijiet proċedurali ( 28 ).

Filwaqt li l-biċċa l-kbira tal-awtoritajiet tal-protezzjoni tad-data jqisu li l-għodod investigattivi tagħhom huma adegwati, xi wħud jeħtieġu għodod addizzjonali fil-livell nazzjonali, bħal sanzjonijiet adegwati fejn il-kontrolluri jonqsu milli jikkooperaw jew jipprovdu l-informazzjoni meħtieġa ( 32 ). L-awtoritajiet tal-protezzjoni tad-data jqisu r-riżorsi u l-lakuni insuffiċjenti fl-għarfien espert tekniku u legali bħala l-fattur ewlieni li jaffettwa l-kapaċità ta’ infurzar tagħhom ( 33 ).

2.4Il-Bord

Il-Bord huwa magħmul mill-kap ta’ awtorità waħda għall-protezzjoni tad-data ta’ kull Stat Membru u l-Kontrollur Ewropew għall-Protezzjoni tad-Data, bil-Kummissjoni tipparteċipa mingħajr drittijiet tal-vot. Il-Bord, appoġġat fil-ħidma tiegħu mis-segretarjat tiegħu, għandu l-kompitu li jiżgura l-applikazzjoni konsistenti tal-GDPR ( 34 ). Il-biċċa l-kbira tal-awtoritajiet tal-protezzjoni tad-data jqisu li l-Bord kellu rwol pożittiv fit-tisħiħ tal-kooperazzjoni bejniethom ( 35 ). Ħafna awtoritajiet tal-protezzjoni tad-data jiddedikaw riżorsi sinifikanti għall-attivitajiet tal-Bord, għalkemm awtoritajiet iżgħar jindikaw li d-daqs tagħhom ma jħallihomx jinvolvu ruħhom bis-sħiħ ( 36 ). Xi awtoritajiet iqisu li l-effiċjenza tal-proċessi tal-Bord jenħtieġ li tittejjeb, b’mod partikolari billi jitnaqqas l-għadd ta’ laqgħat u billi tingħata inqas attenzjoni lil kwistjonijiet minuri ( 37 ). Skont l-eżitu tan-negozjati dwar il-proposta dwar ir-regoli proċedurali tal-GDPR, li għandha l-għan li tnaqqas l-għadd ta’ każijiet sottomessi lill-Bord għas-soluzzjoni tat-tilwim, jista’ jkun hemm il-ħtieġa li ssir riflessjoni dwar jekk il-Bord jeħtieġx riżorsi addizzjonali.

Minn Novembru 2023, il-Bord kien adotta 35 linja gwida. Filwaqt li l-partijiet ikkonċernati u l-awtoritajiet tal-protezzjoni tad-data sabuhom utli, it-tnejn iqisu li l-linji gwida jenħtieġ li jingħataw aktar malajr u li l-kwalità jenħtieġ li tittejjeb ( 38 ). Il-partijiet ikkonċernati jinnotaw li dawn spiss ikunu teoretiċi żżejjed, twal wisq u ma jirriflettux l-approċċ ibbażat fuq ir-riskju tal-GDPR ( 39 ). L-awtoritajiet tal-protezzjoni tad-data u l-Bord jenħtieġ li jipprovdu linji gwida konċiżi u prattiċi li jagħtu tweġibiet għal problemi konkreti u jirriflettu bilanċ bejn il-protezzjoni tad-data u drittijiet fundamentali oħrajn. Il-linji gwida jenħtieġ li jkunu faċli biex jinftiehmu wkoll għal individwi mingħajr taħriġ legali, pereżempju fl-SMEs u fl-organizzazzjonijiet volontarji ( 40 ). Mod kif jinkiseb dan huwa li t-tħejjija tal-linji gwida ssir aktar trasparenti, u li ssir konsultazzjoni fi stadju bikri biex tippermetti li jinftiehmu aħjar id-dinamika tas-suq, il-prattiki tan-negozju u kif għandhom jiġu applikati l-linji gwida fil-prattika ( 41 ). Huwa apprezzat illi, bħala parti mill-Istrateġija tiegħu għall-2024-2027, il-Bord enfasizza l-għan tiegħu li jipprovdi gwida prattika li tkun aċċessibbli għall-udjenza rilevanti ( 42 ).

Il-partijiet ikkonċernati jissottolinjaw il-ħtieġa għal linji gwida addizzjonali, b’mod partikolari dwar l-anonimizzazzjoni u l-psewdonimizzazzjoni ( 43 ), l-interess leġittimu u r-riċerka xjentifika ( 44 ). Fir-rapport tal-2020, il-Kummissjoni talbet lill-Bord jadotta linji gwida dwar ir-riċerka xjentifika, iżda l-linji gwida għadhom ma ġewx adottati. Filwaqt li jirrikonoxxu l-importanza tar-riċerka xjentifika fis-soċjetà, b’mod partikolari biex jimmonitorjaw il-mard u jiżviluppaw it-trattamenti, kif ukoll biex irawmu l-innovazzjoni, huwa essenzjali li l-awtoritajiet tal-protezzjoni tad-data jaġixxu biex jiċċaraw dawn il-mistoqsijiet mingħajr aktar dewmien ( 45 ). L-awtoritajiet pubbliċi jibbenefikaw ukoll minn gwida li tindirizza l-isfidi partikolari li jiffaċċjaw ( 46 ).

2.5Awtoritajiet għall-protezzjoni tad-data

2.5.1Indipendenza u riżorsi

L-indipendenza tal-awtoritajiet tal-protezzjoni tad-data hija minquxa fil-Karta tad-Drittijiet Fundamentali tal-UE u fit-Trattat dwar il-Funzjonament tal-UE. Il-GDPR jistabbilixxi rekwiżiti biex tiġi żgurata l-“indipendenza sħiħa” tal-awtoritajiet tal-protezzjoni tad-data ( 47 ). Ir-rapport ta’ FRA sab li l-biċċa l-kbira tal-awtoritajiet tal-protezzjoni tad-data joperaw b’mod indipendenti mill-Gvern, mill-Parlament, jew minn kwalunkwe korp pubbliku ieħor( 48 ).

L-awtoritajiet tal-protezzjoni tad-data jeħtieġu riżorsi umani, tekniċi u finanzjarji adegwati biex ikunu jistgħu jwettqu l-kompiti tagħhom b’mod effettiv u indipendenti skont il-GDPR. Fir-rapport tal-2020, il-Kummissjoni nnotat li r-riżorsi tal-awtoritajiet tal-protezzjoni tad-data kienu għadhom mhumiex sodisfaċenti u qajmet din il-kwistjoni b’mod konsistenti mal-Istati Membri. Minn dakinhar, is-sitwazzjoni tjiebet.

Filwaqt li din l-istatistika turi xejra ġenerali ’l fuq fl-għoti tar-riżorsi lill-awtoritajiet tal-protezzjoni tad-data, l-awtoritajiet infushom iqisu li għad ma għandhomx biżżejjed riżorsi umani ( 50 ). Huma jenfasizzaw il-ħtieġa għal għarfien tekniku speċjalizzat ħafna, b’mod partikolari dwar teknoloġiji ġodda u emerġenti ( 51 ), li n-nuqqas tagħhom jaffettwa l-kwantità u l-kwalità tal-ħidma tagħhom, u d-diffikultajiet biex jikkompetu għar-riżorsi umani mas-settur privat. L-awtoritajiet tal-protezzjoni tad-data jsemmu l-għarfien legali insuffiċjenti u n-nuqqas ta’ ħiliet lingwistiċi bħala fatturi li jaffettwaw il-prestazzjoni tagħhom. Ir-remunerazzjoni baxxa, l-inkapaċità li jintgħażel il-persunal b’mod awtonomu, u l-ammont kbir ta’ xogħol huma enfasizzati bħala l-fatturi ewlenin li jaffettwaw il-kapaċità tal-awtoritajiet li jirreklutaw u jżommu l-persunal ( 52 ). L-awtoritajiet tal-protezzjoni tad-data jenfasizzaw ukoll il-ħtieġa tagħhom għal riżorsi finanzjarji jekk iridu jimmodernizzaw u jiddiġitalizzaw il-proċessi tagħhom, u jakkwistaw tagħmir tekniku ( 53 ). L-awtoritajiet kollha tal-protezzjoni tad-data jwettqu kompiti lil hinn minn dawk fdati lilhom mill-GDPR ( 54 ), eż. bħala awtoritajiet superviżorji għad-Direttiva dwar l-Infurzar tal-Liġi tal-Protezzjoni tad-Data u d-Direttiva dwar il-Privatezza elettronika, filwaqt li ħafna jesprimu tħassib dwar l-iffaċċjar ta’ responsabbiltajiet addizzjonali skont leġiżlazzjoni diġitali ġdida ( 55 ).

2.5.2Diffikultajiet biex jiġu mmaniġġjati għadd kbir ta’ lmenti

Diversi awtoritajiet tal-protezzjoni tad-data jindikaw li wisq mir-riżorsi tagħhom jintużaw għall-immaniġġjar ta’ għadd kbir ta’ lmenti, li l-biċċa l-kbira tagħhom iqisu li huma trivjali u bla bażi, minħabba li l-immaniġġjar ta’ kull ilment huwa obbligu skont il-GDPR li huwa soġġett għal stħarriġ ġudizzjarju ( 56 ). Dan ifisser li l-awtoritajiet tal-protezzjoni tad-data ma jistgħux jallokaw biżżejjed riżorsi għal attivitajiet oħra, bħal investigazzjonijiet ta’ fuq inizjattiva proprja, kampanji ta’ sensibilizzazzjoni pubblika u involviment mal-kontrolluri ( 57 ). Bħala awtoritajiet pubbliċi, l-awtoritajiet tal-protezzjoni tad-data għandhom id-diskrezzjoni li jallokaw ir-riżorsi tagħhom kif jidhrilhom li huwa xieraq sabiex iwettqu kull wieħed mill-kompiti tagħhom (elenkati fl-Artikolu 57(1) tal-GDPR) fl-interess pubbliku. Ħafna awtoritajiet tal-protezzjoni tad-data adottaw strateġiji biex iżidu l-effiċjenza tal-immaniġġjar tal-ilmenti, bħall-awtomatizzazzjoni ( 58 ), l-użu ta’ proċeduri ta’ ftehim bonarju ( 59 ) u r-“raggruppament” tal-ilmenti li jirrigwardjaw kwistjonijiet simili ( 60 ).

2.5.3Interpretazzjoni tal-GDPR mill-awtoritajiet nazzjonali tal-protezzjoni tad-data

Għan ċentrali tal-GDPR kien li jitneħħa l-approċċ frammentat għall-protezzjoni tad-data li kien jeżisti skont id-Direttiva dwar il-Protezzjoni tad-Data preċedenti (id-Direttiva 95/46/KE) ( 61 ). Madankollu, l-awtoritajiet tal-protezzjoni tad-data jkomplu jadottaw interpretazzjonijiet diverġenti dwar kunċetti ewlenin tal-protezzjoni tad-data ( 62 ). Il-partijiet ikkonċernati jidentifikaw dan bħala l-ostaklu prinċipali għall-applikazzjoni konsistenti tal-GDPR fl-UE. Il-persistenza ta’ interpretazzjonijiet diverġenti toħloq inċertezza legali u żżid il-kostijiet għan-negozji (eż. billi teħtieġ dokumentazzjoni differenti għal diversi Stati Membri), tfixkel il-moviment liberu tad-data personali fl-UE, tfixkel in-negozju transfruntier u xxekkel ir-riċerka u l-innovazzjoni dwar sfidi urġenti għas-soċjetà.

Il-kwistjonijiet speċifiċi mqajma mill-partijiet ikkonċernati jinkludu: (i) il-fatt li kull waħda mill-awtoritajiet tal-protezzjoni tad-data fi tliet Stati Membri għandha fehma differenti dwar il-bażi ġuridika xierqa għall-ipproċessar tad-data personali meta ssir prova klinika; (ii) ta’ spiss ikun hemm fehmiet diverġenti dwar jekk entità hijiex kontrollur jew proċessur; u (iii) f’xi każijiet l-awtoritajiet tal-protezzjoni tad-data ma jsegwux il-linji gwida tal-Bord jew jippubblikaw linji gwida fil-livell nazzjonali li jmorru kontra dawk tal-Bord ( 63 ). Dawn il-kwistjonijiet jiġu aggravati meta diversi awtoritajiet tal-protezzjoni tad-data fi Stat Membru wieħed jadottaw interpretazzjonijiet konfliġġenti.

Xi partijiet ikkonċernati jqisu wkoll li ċerti awtoritajiet tal-protezzjoni tad-data u l-Bord jadottaw interpretazzjonijiet li jiddevjaw mill-approċċ ibbażat fuq ir-riskju tal-GDPR, li jippreżenta sfida għall-iżvilupp tal-ekonomija diġitali ( 64 ) u l-libertà u l-pluralità tal-media. Huma jsemmu bħala oqsma ta’ tħassib: (i) l-interpretazzjoni tal-anonimizzazzjoni; (ii) il-bażi ġuridika ta’ interess u kunsens leġittimu ( 65 ); u (iii) l-eċċezzjonijiet għall-projbizzjoni tat-teħid ta’ deċiżjonijiet individwali awtomatizzat ( 66 ). Għandu jiġi mfakkar li l-awtoritajiet tal-protezzjoni tad-data u l-Bord għandhom il-kompitu li jiżguraw kemm il-protezzjoni tal-persuni fiżiċi b’rabta mal-ipproċessar tad-data personali tagħhom, kif ukoll il-fluss liberu tad-data personali fl-UE. Kif rikonoxxut fil-GDPR ( 67 ), id-dritt għall-protezzjoni tad-data personali jrid jitqies b’rabta mal-funzjoni ta’ dak id-dritt fis-soċjetà u jkun ibbilanċjat ma’ drittijiet fundamentali oħrajn, f’konformità mal-prinċipju tal-proporzjonalità.

2.5.4Involviment mal-kontrolluri u mal-proċessuri

Il-partijiet ikkonċernati jissottolinjaw il-benefiċċju li jkollhom l-opportunità li jinvolvu ruħhom fi djalogu kostruttiv mal-awtoritajiet tal-protezzjoni tad-data biex jiżguraw li jikkonformaw mal-GDPR mill-bidu, b’mod partikolari fir-rigward tat-teknoloġiji emerġenti. Il-partijiet ikkonċernati jinnotaw li xi awtoritajiet tal-protezzjoni tad-data jinvolvu ruħhom b’mod attiv mal-kontrolluri, filwaqt li oħrajn jirrispondu bil-mod, jagħtu tweġibiet vagi, jew ma jirrispondu xejn ( 68 ).

3L-implimentazzjoni tal-GDPR mill-Istati Membri

3.1Frammentazzjoni fl-applikazzjoni nazzjonali

Filwaqt li l-GDPR, bħala regolament, huwa direttament applikabbli, dan jirrikjedi li l-Istati Membri jilleġiżlaw f’ċerti oqsma u jagħtihom il-possibbiltà li jispeċifikaw aktar l-applikazzjoni tiegħu f’għadd limitat ta’ oqsma ( 69 ). Meta jilleġiżlaw fil-livell nazzjonali, l-Istati Membri jridu jagħmlu dan taħt il-kundizzjonijiet u fil-limiti stabbiliti mill-GDPR. Bħal fl-2020, il-partijiet ikkonċernati qed jirrapportaw li qed jiltaqgħu ma’ diffikultajiet li jirriżultaw mill-frammentazzjoni fir-regoli nazzjonali fejn l-Istati Membri għandhom il-possibbiltà li jispeċifikaw il-GDPR, b’mod partikolari fir-rigward ta’:

·l-età minima għall-kunsens ta’ minorenni b’rabta mal-offerta ta’ servizzi tas-soċjetà tal-informazzjoni lil tali minorenni ( 70 );

·l-introduzzjoni mill-Istati Membri ta’ kundizzjonijiet ulterjuri dwar l-ipproċessar ta’ data ġenetika, data bijometrika jew data dwar is-saħħa ( 71 );

·l-ipproċessar ta’ data personali relatata ma’ kundanni u reati kriminali ( 72 ), li joħloq diffikultajiet f’ċerti setturi regolati.

Fl-istess ħin, u b’mod importanti, ħafna partijiet ikkonċernati jirrapportaw li l-kwistjonijiet ta’ frammentazzjoni jirriżultaw prinċipalment minn interpretazzjonijiet diverġenti tal-GDPR mill-awtoritajiet tal-protezzjoni tad-data, aktar milli mill-użu ta’ klawżoli ta’ speċifikazzjoni fakultattiva mill-Istati Membri.

L-Istati Membri jqisu li grad limitat ta’ frammentazzjoni jista’ jkun aċċettabbli u l-klawżoli ta’ speċifikazzjoni pprovduti mill-GDPR jibqgħu ta’ benefiċċju, b’mod partikolari għall-ipproċessar mill-awtoritajiet pubbliċi ( 73 ). Il-GDPR jirrikjedi li l-Istati Membri jikkonsultaw mal-awtorità nazzjonali tal-protezzjoni tad-data tagħhom meta jħejju leġiżlazzjoni li għandha x’taqsam mal-ipproċessar ta’ data personali ( 74 ). Ir-rapport tal-FRA sab li xi gvernijiet iffissaw skadenzi stretti ħafna għal dawk l-awtoritajiet, u f’xi każijiet ma lanqas biss jikkonsultawhom ( 75 ).

3.2Monitoraġġ mill-Kummissjoni

Il-Kummissjoni tissorvelja l-implimentazzjoni tal-GDPR fuq bażi kontinwa. Il-Kummissjoni nediet proċeduri ta’ ksur kontra l-Istati Membri dwar kwistjonijiet bħall-indipendenza tal-awtoritajiet tal-protezzjoni tad-data (inkluż li jibqgħu ħielsa minn influwenza esterna u d-disponibbiltà ta’ rimedju ġudizzjarju f’każ ta’ tkeċċija) ( 76 ) u d-dritt għal rimedju ġudizzjarju effettiv għas-suġġetti tad-data fejn l-awtorità tal-protezzjoni tad-data ma tindirizzax ilment ( 77 ). Bħala parti mill-monitoraġġ tagħha, il-Kummissjoni titlob ukoll li l-awtoritajiet tal-protezzjoni tad-data jipprovdu, fuq bażi strettament kunfidenzjali, informazzjoni regolari ( 78 ) dwar każijiet transfruntieri fuq skala kbira li għaddejjin, b’mod partikolari dawk li jikkonċernaw kumpaniji multinazzjonali tat-teknoloġija kbira.

Il-Kummissjoni tikkomunika regolarment mal-Istati Membri dwar l-implimentazzjoni tal-GDPR. Kif stabbilit fir-rapport tal-2020, il-Kummissjoni kompliet tuża l-grupp ta’ esperti tal-Istati Membri tal-GDPR ( 79 ) biex tiffaċilita d-diskussjonijiet u l-kondiviżjoni tal-esperjenza dwar l-implimentazzjoni effettiva tal-GDPR. Il-grupp ta’ esperti kellu diskussjonijiet speċifiċi dwar: (i) is-superviżjoni tal-qrati li jaġixxu fil-kapaċità ġudizzjarja tagħhom (l-Artikolu 55 tal-GDPR; L-Artikolu 8 tal-Karta); (ii) ir-rikonċiljazzjoni tad-dritt għall-protezzjoni tad-data mad-dritt għal-libertà tal-espressjoni (l-Artikolu 85 tal-GDPR); u (iii) id-dritt għal rimedju ġudizzjarju effettiv kontra awtorità superviżorja (l-Artikolu 78 tal-GDPR). Wara dawn id-diskussjonijiet, il-Kummissjoni ġabret ħarsiet ġenerali tal-approċċi meħuda għall-implimentazzjoni ta’ dawk id-dispożizzjonijiet fl-Istati Membri( 80 ). Il-Kummissjoni użat ukoll dan il-grupp biex tiskambja fehmiet mal-Istati Membri meta kienet qed tħejji l-proposta dwar ir-regoli proċedurali.

Il-konformità tal-leġiżlazzjoni u l-prattika nazzjonali mar-regoli dwar il-protezzjoni tad-data stabbiliti fil-korp tad-dritt tal-UE dwar iż-żona Schengen tiġi vvalutata wkoll bħala parti mill-evalwazzjonijiet ta’ Schengen, imwettqa b’mod konġunt mill-Istati Membri u mill-Kummissjoni. Kull sena jsiru mill-inqas ħames evalwazzjonijiet tal-protezzjoni tad-data fuq il-post, li bħalissa qed jiffokaw fuq sistemi tal-IT fuq skala kbira u s-Sistema ta’ Informazzjoni ta’ Schengen, is-Sistema ta’ Informazzjoni dwar il-Viża, kif ukoll fuq ir-rwol superviżorju tal-awtoritajiet nazzjonali tal-protezzjoni tad-data fuq dawk is-sistemi.

Il-Kummissjoni qed tikkontribwixxi b’mod attiv għall-għadd kbir ta’ kawżi quddiem il-Qorti tal-Ġustizzja (b’madwar 30 deċiżjoni preliminari fis-sena f’dawn l-aħħar snin), li għandhom rwol ċentrali fl-interpretazzjoni konsistenti tal-kunċetti ewlenin tal-GDPR. Korp dejjem jikber ta’ ġurisprudenza tal-Qorti pprovda diversi kjarifiki, bħal dwar id-definizzjoni ta’ data personali ( 81 ), kategoriji speċjali ta’ data personali ( 82 ), kontrollur ( 83 ), kunsens ( 84 ), interess leġittimu ( 85 ), id-dritt tal-aċċess ( 86 ), id-dritt għat-tħassir ( 87 ), id-dritt għal kumpens ( 88 ), it-teħid ta’ deċiżjonijiet individwali awtomatizzat ( 89 ), multi amministrattivi ( 90 ), uffiċjali tal-protezzjoni tad-data ( 91 ), il-pubblikazzjoni ta’ data personali fir-reġistri ( 92 ) u l-applikazzjoni tal-GDPR għall-attivitajiet tal-parlamenti ( 93 ).

4Drittijiet tas-suġġetti tad-data

L-individwi huma dejjem aktar familjari mal-GDPR u jeżerċitaw b’mod attiv id-drittijiet tagħhom skont il-GDPR ( 94 ). L-awtoritajiet tal-protezzjoni tad-data jallokaw riżorsi sostanzjali għall-promozzjoni tal-għarfien dwar id-drittijiet u l-obbligi tal-protezzjoni tad-data fost il-pubbliku ġenerali, bħal permezz tal-media soċjali u ta’ kampanji televiżivi, helplines, bullettini u preżentazzjonijiet f’istituzzjonijiet edukattivi ( 95 ). Ħafna minn dawn l-inizjattivi bbenefikaw mill-finanzjament tal-UE ( 96 ). L-Aġenzija għad-Drittijiet Fundamentali tinnota li filwaqt li l-għarfien dwar il-protezzjoni tad-data fost il-pubbliku ġenerali żdied, il-protezzjoni tad-data għadha ma tinftiehemx biżżejjed, kif jidher minn għadd kbir ta’ lmenti trivjali jew bla bażi ( 97 ). Ġew żviluppati diversi għodod diġitali faċli għall-utenti biex jagħmluha aktar faċli għas-suġġett tad-data biex jeżerċita d-drittijiet tiegħu ( 98 ). L-atti leġiżlattivi, b’mod partikolari l-Att dwar il-Governanza tad-Data ( 99 ) jenħtieġ li jwasslu għall-ħolqien ta’ modi addizzjonali għas-suġġett tad-data biex jeżerċita d-drittijiet tiegħu fil-futur. In-negozji jinnotaw li d-dritt għal tħassir qed jintuża dejjem aktar, filwaqt li rari jkun il-każ għad-dritt għal rettifika u għad-dritt għal oġġezzjoni.

4.1Id-dritt ta’ aċċess

Il-kontrolluri jirrapportaw li d-dritt ta’ aċċess (l-Artikolu 15 tal-GDPR) huwa l-aktar dritt invokat ta’ spiss mis-suġġetti tad-data. Filwaqt li l-Bord adotta linji gwida dwar dan id-dritt fl-2022, il-kontrolluri jkomplu jirrapportaw kontestazzjonijiet, pereżempju meta jinterpretaw il-kunċett ta’ “talbiet bla bażi jew eċċessivi” ( 100 ), meta jwieġbu għal għadd kbir ta’ talbiet, u meta jittrattaw talbiet li jsiru għal finijiet mhux relatati mal-protezzjoni tad-data, pereżempju biex jiġbru evidenza għal proċedimenti legali ( 101 ). L-organizzazzjonijiet tas-soċjetà ċivili jinnotaw li t-tweġibiet għat-talbiet għall-aċċess ta’ spiss jiddewmu jew ma jkunux kompluti, filwaqt li d-data riċevuta mhux dejjem tkun f’format li jinqara ( 102 ). L-awtoritajiet pubbliċi jsemmu diffikultajiet fl-interazzjoni bejn id-dritt ta’ aċċess u r-regoli dwar l-aċċess pubbliku għad-dokumenti ( 103 ). Għalhekk, intlaqa’ tajjeb il-fatt li l-Bord nieda azzjoni konġunta ta’ Qafas ta’ Infurzar Ikkoordinat dwar id-dritt ta’ aċċess fi Frar 2024 ( 104 ).

4.2Id-dritt għall-portabbiltà

Fir-rapport tal-2020, il-Kummissjoni impenjat ruħha li tesplora mezzi prattiċi biex tiffaċilita użu akbar tad-dritt għall-portabbiltà (l-Artikolu 20 tal-GDPR) mill-individwi, f’konformità mal-istrateġija dwar id-data. Minn dak iż-żmien ’l hawn, il-Kummissjoni adottat għadd ta’ inizjattivi li jikkomplementaw dan id-dritt. Dawn l-inizjattivi jiffaċilitaw il-bidla faċli bejn is-servizzi, u b’hekk joħolqu għażla akbar għall-individwi, jappoġġaw il-kompetizzjoni u l-innovazzjoni, u jippermettu lill-individwi jgawdu l-benefiċċji tal-użu tad-data tagħhom. L-Att dwar id-Data jipprovdi lill-utenti ta’ apparati intelliġenti bi dritt imsaħħaħ għall-portabbiltà tad-data ġġenerata permezz ta’ tali apparati — u jagħti mandat li d-disinn tal-prodott jew server backend tal-manifattur jew tad-detentur tad-data jagħmel tali portabbiltà teknikament possibbli. L-Att dwar is-Swieq Diġitali jirrikjedi li l-fornituri ta’ servizzi ewlenin ta’ pjattaforma identifikati bħala “gwardjani” jipprovdu portabbiltà effettiva tad-data tal-utenti, inkluż aċċess kontinwu u f’ħin reali għal tali data. Diversi inizjattivi oħrajn tal-Kummissjoni li bħalissa qed jiġu nnegozjati jew li fuqhom intlaħaq ftehim politiku jipprevedu drittijiet imtejba ta’ portabbiltà f’oqsma speċifiċi, bħad-Direttiva dwar ix-Xogħol fuq il-Pjattaformi ( 105 ), l-Ispazju Ewropew tad-Data dwar is-Saħħa ( 106 ) u l-Qafas għall-Aċċess għad-Data Finanzjarja ( 107 ).

4.3Id-dritt li jitressaq ilment

Kif jidher mill-għadd kbir ta’ lmenti, hemm għarfien wiesa’ tad-dritt li jitressaq ilment ma’ awtorità tal-protezzjoni tad-data. L-organizzazzjonijiet tas-soċjetà ċivili jenfasizzaw differenzi mhux ġustifikati fil-prattiki nazzjonali għall-immaniġġjar tal-ilmenti, kwistjoni li hija indirizzata mill-proposta tal-Kummissjoni dwar ir-regoli proċedurali. Ftit Stati Membri eżerċitaw l-għażla skont il-GDPR li jipprovdu lil korp mingħajr skop ta’ qligħ bid-dritt li jieħu azzjonijiet indipendentement mill-mandat ta’ suġġett tad-data (l-Artikolu 80(2)). Madankollu, id-Direttiva dwar l-Azzjonijiet Rappreżentattivi ( 108 ), adottata fl-2020, se twassal għal aktar armonizzazzjoni f’dan ir-rigward billi tiffaċilita azzjonijiet kollettivi minn individwi għal ksur tal-GDPR. Il-miżuri nazzjonali li jimplimentaw id-Direttiva saru applikabbli f’Ġunju 2023.

4.4Il-protezzjoni tad-data personali tat-tfal

It-tfal jeħtieġu protezzjoni speċifika meta tiġi pproċessata d-data personali tagħhom ( 109 ). Il-GDPR huwa parti minn qafas legali komprensiv li jiżgura li t-tfal ikunu protetti kemm offline kif ukoll online ( 110 ). Minħabba ż-żieda fil-preżenza tat-tfal online, f’dawn l-aħħar snin ittieħdu għadd ta’ azzjonijiet fil-livell tal-UE u f’dak nazzjonali biex jingħata appoġġ għall-protezzjoni tat-tfal online. L-awtoritajiet tal-protezzjoni tad-data imponew multi sinifikanti kontra l-kumpaniji tal-media soċjali għall-ksur tal-GDPR meta jipproċessaw id-data tat-tfal. Huma jikkooperaw ukoll ma’ awtoritajiet oħrajn biex jitolbu aktar protezzjoni tat-tfal fil-qasam tar-reklamar. Fir-rapport tal-2020, il-Kummissjoni stiednet lill-Bord biex jadotta linji gwida dwar l-ipproċessar tad-data tat-tfal u dan ix-xogħol bħalissa jinsab għaddej ( 111 ). L-Att dwar is-Servizzi Diġitali jinkludi dispożizzjonijiet speċifiċi biex jiġi żgurat livell għoli ta’ privatezza, sikurezza u sigurtà tat-tfal li jużaw pjattaformi online.

Xi partijiet ikkonċernati jirrapportaw sfidi bl-eżerċitar tad-drittijiet tas-suġġett tad-data, meta s-suġġetti tad-data jkunu tfal. B’mod partikolari, huma jirrapportaw li t-tfal ma jifhmux bis-sħiħ id-drittijiet tagħhom, ma għandhomx ħiliet ta’ litteriżmu diġitali u jistgħu jkunu soġġetti għal influwenza mhux xierqa ( 112 ). Il-Kummissjoni ffinanzjat diversi inizjattivi fil-livell nazzjonali dwar il-protezzjoni tad-data tat-tfal u dwar il-promozzjoni tal-għarfien dwar il-protezzjoni tad-data fost it-tfal ( 113 ). Taħt l-istrateġija għal Internet Aħjar għat-Tfal (Better Internet for Kids - BIK+), il-Kummissjoni qed tipprovdi riżorsi u taħriġ ta’ sensibilizzazzjoni għat-tfal dwar id-drittijiet diġitali tagħhom, inkluża l-protezzjoni tad-data (eż. il-kunsens diġitali) ( 114 ). Qed issir enfasi dejjem akbar fuq il-ħtieġa għal għodod ta’ verifika tal-età effettivi u favorevoli għall-privatezza. Fil-bidu tal-2024, il-Kummissjoni waqqfet taskforce dwar il-verifika tal-età mal-Istati Membri, il-Bord u l-Grupp ta’ Regolaturi Ewropej għas-Servizzi tal-Media Awdjoviżiva, bl-għan li tiddiskuti u tappoġġa l-iżvilupp ta’ approċċ madwar l-UE kollha għall-verifika tal-età. Din il-ħidma issa se tkompli taħt il-Bord tal-Att dwar is-Servizzi Diġitali, fil-Grupp ta’ Ħidma dwar il-Protezzjoni tal-Minorenni. Fil-kuntest tar-Regolament tal-UE dwar l-Identità Diġitali ( 115 ), li daħal fis-seħħ f’Mejju 2024, il-Kummissjoni qed taħdem biex tiżgura li l-Kartiera Ewropea tal-Identità Diġitali tiġi offruta liċ-ċittadini u lir-residenti kollha tal-UE fl-2026, inkluż għall-verifika tal-età. Sadanittant, qabel ma l-ekosistema tal-Kartiera tkun kompletament operattiva, se tiġi żviluppata soluzzjoni fuq terminu qasir għall-verifika tal-età u ssir disponibbli madwar l-UE kollha.

5Opportunitajiet u sfidi għall-organizzazzjonijiet, b’mod partikolari l-SMEs

Il-GDPR ħoloq kundizzjonijiet ekwi għan-negozji li joperaw fis-suq intern, u l-approċċ tiegħu newtrali għat-teknoloġija u favur l-innovazzjoni jippermetti lin-negozji jnaqqsu l-burokrazija u jibbenefikaw minn fiduċja akbar mill-konsumatur ( 116 ). Ħafna negozji żviluppaw kultura interna ta’ protezzjoni tad-data u jaraw il-privatezza u l-protezzjoni tad-data bħala parametri ewlenin tal-kompetizzjoni. In-negozji jivvalutaw l-approċċ ibbażat fuq ir-riskju tal-GDPR bħala prinċipju gwida li jippermetti l-flessibbiltà u l-iskalabbiltà tal-obbligi tagħhom ( 117 ).

5.1Sett ta’ għodod għan-negozji

Il-GDPR jipprovdi sett ta’ strumenti li jippermettu lill-organizzazzjonijiet jimmaniġġjaw u juru l-konformità tagħhom b’mod flessibbli, inklużi kodiċijiet ta’ kondotta, mekkaniżmi ta’ ċertifikazzjoni u klawżoli kuntrattwali standard. Kif imħabbar fir-rapport tal-2020, il-Kummissjoni adottat klawżoli kuntrattwali standard dwar ir-relazzjoni bejn il-kontrollur u l-proċessur fl-2021 ( 118 ). Dawn il-klawżoli kuntrattwali standard jipprovdu għodda ta’ konformità volontarja lesta u faċli biex tiġi implimentata, li hija partikolarment utli għall-SMEs jew għall-organizzazzjonijiet li jista’ ma jkollhomx ir-riżorsi biex jinnegozjaw kuntratti individwali mas-sħab kummerċjali tagħhom. In-negozji jirrapportaw rispons imħallat dwar l-użu tal-klawżoli kuntrattwali standard, fis-sens li xi kumpaniji (l-aktar l-SMEs) jużawhom kompletament jew parzjalment, filwaqt li oħrajn (l-aktar kumpaniji akbar) għandhom it-tendenza li ma jużawhomx minħabba li jippreferu jużaw il-klawżoli tagħhom stess.

In-negozji jenfasizzaw li l-kodiċijiet ta’ kondotta għandhom potenzjal kbir bħala għodda ta’ konformità speċifika għas-settur u li hija kosteffettiva ( 119 ). Madankollu, l-iżvilupp tal-kodiċijiet ta’ kondotta kien limitat ( 120 ). Skont l-informazzjoni disponibbli sal-lum, ġew approvati biss żewġ kodiċijiet mal-UE kollha (it-tnejn fis-settur tal-cloud), filwaqt li ġew approvati sitt kodiċijiet fil-livell nazzjonali ( 121 ). Il-partijiet ikkonċernati jirrapportaw rekwiżiti onerużi (inkluża l-ħtieġa li jiġi stabbilit korp ta’ monitoraġġ akkreditat), nuqqas ta’ involviment mill-awtoritajiet tal-protezzjoni tad-data, u proċess twil ta’ approvazzjoni bħala l-fatturi ewlenin li jillimitaw l-użu tal-kodiċijiet ta’ kondotta ( 122 ).

Hemm ħtieġa għal aktar trasparenza fil-proċess u għal skedi ta’ żmien ċari għall-approvazzjoni. L-awtoritajiet tal-protezzjoni tad-data u, fil-każ tal-kodiċijiet madwar l-UE kollha, il-Bord, jenħtieġ li jinkoraġġixxu b’mod aktar attiv it-tfassil tal-kodiċijiet ta’ kondotta billi jikkollaboraw mal-assoċjazzjonijiet li jiżviluppaw il-kodiċijiet. Dan se jgħin biex jissolvew id-differenzi fl-interpretazzjoni u biex jitħaffef il-proċess tal-approvazzjoni. Il-partijiet ikkonċernati jesprimu dispjaċir fir-rigward tad-dewmien twil fl-adozzjoni tal-kodiċijiet ta’ kondotta, li rriżulta minn kwistjonijiet li qed jiġu diskussi b’mod parallel bħala parti mix-xogħol fuq il-linji gwida. Bl-istess mod, in-negozji jirrapportaw li ċ-ċertifikazzjoni mhux qed tintuża ħafna minħabba li l-proċess għall-iżvilupp huwa bil-mod u kumpless. Bħal fil-każ tal-kodiċijiet ta’ kondotta, l-awtoritajiet tal-protezzjoni tad-data jenħtieġ li jipprovdu skedi ta’ żmien aktar ċari għar-rieżami u l-approvazzjoni taċ-ċertifikazzjonijiet.

Fl-istrateġija tiegħu tal-2024-2027, il-Bord impenja ruħu li jkompli jappoġġa miżuri ta’ konformità bħaċ-ċertifikazzjoni u l-kodiċijiet ta’ kondotta, inkluż billi jinvolvi ruħu ma’ gruppi ewlenin ta’ partijiet ikkonċernati biex jispjega kif jistgħu jintużaw l-għodod ( 123 ).

5.2Sfidi speċifiċi għall-SMEs u għall-operaturi żgħar

Fir-rapport tal-2020, il-Kummissjoni talbet biex jiġu intensifikati l-isforzi biex tiġi appoġġata l-konformità tal-SMEs mal-GDPR. F’dawn l-aħħar snin, l-awtoritajiet tal-protezzjoni tad-data u l-Bord komplew jiżviluppaw għodod ta’ konformità għall-SMEs, appoġġati parzjalment minn finanzjament mill-Kummissjoni ( 124 ). F’April 2023, il-Bord nieda gwida dwar il-protezzjoni tad-data għan-negozji żgħar ( 125 ), li tipprovdi informazzjoni prattika għall-SMEs f’format aċċessibbli u li jinftiehem faċilment.

L-SMEs f’ħafna Stati Membri jissottolinjaw il-benefiċċji ta’ appoġġ imfassal apposta mill-awtoritajiet lokali tal-protezzjoni tad-data tagħhom. Madankollu, approċċi differenti għas-sensibilizzazzjoni u l-gwida mill-awtoritajiet tal-protezzjoni tad-data jfissru li l-SMEs f’ċerti Stati Membri jqisu l-konformità bħala kumplessa u jibżgħu mill-infurzar ( 126 ). L-awtoritajiet tal-protezzjoni tad-data jenħtieġ li jirduppjaw l-isforzi tagħhom biex jindirizzaw dawn l-isfidi, inkluż billi jinvolvu ruħhom b’mod proattiv mal-SMEs biex itaffu kwalunkwe tħassib ta’ konformità bla bażi. L-awtoritajiet tal-protezzjoni tad-data jenħtieġ li jiffukaw fuq l-għoti ta’ appoġġ imfassal apposta u għodod prattiċi, bħal mudelli (eż. għat-twettiq ta’ valutazzjonijiet tal-impatt fuq il-protezzjoni tad-data), linji telefoniċi għall-għajnuna, eżempji illustrattivi, listi ta’ kontroll, u gwida dwar operazzjonijiet ta’ pproċessar speċifiċi (eż. kontijiet jew bullettini) u miżuri tekniċi u organizzattivi. Peress li l-biċċa l-kbira tal-SMEs ma għandhomx għarfien espert intern dwar il-protezzjoni tad-data, kwalunkwe gwida diretta lejn l-SMEs jenħtieġ li tinftiehem faċilment minn dawk mingħajr taħriġ legali ( 127 ).

F’konformità mal-approċċ ibbażat fuq ir-riskju tal-GDPR, l-SMEs li jwettqu attivitajiet ta’ pproċessar b’riskju baxx ma jġorrux piż sostanzjali ta’ konformità. Filwaqt li d-deroga għaż-żamma tar-rekords tal-attivitajiet ta’ pproċessar ( 128 ) tapplika f’ċirkostanzi limitati ( 129 ), l-SMEs li jwettqu pproċessar b’riskju baxx jistgħu jikkonformaw billi jżommu rekords simplifikati bbażati fuq mudelli pprovduti mill-awtoritajiet tal-protezzjoni tad-data. Barra minn hekk, tali rekords jenħtieġ li jitqiesu bħala għodda utli għall-SMEs biex iqisu l-attivitajiet ta’ pproċessar tagħhom.

5.3L-uffiċjali tal-protezzjoni tad-data

L-uffiċjali tal-protezzjoni tad-data għandhom rwol importanti biex jiżguraw il-konformità tal-GPDR fl-organizzazzjonijiet li jaħdmu fihom. B’mod ġenerali, l-uffiċjali tal-protezzjoni tad-data li joperaw fl-UE għandhom l-għarfien u l-ħiliet meħtieġa biex iwettqu l-kompiti tagħhom skont il-GDPR, u l-indipendenza tagħhom hija rrispettata ( 130 ). Madankollu, għad hemm diversi sfidi, inklużi: (i) diffikultajiet biex jinħatru l-uffiċjali tal-protezzjoni tad-data bl-għarfien espert meħtieġ; (ii) in-nuqqas ta’ standards mal-UE kollha għall-edukazzjoni u t-taħriġ; (iii) in-nuqqas ta’ integrazzjoni adegwata tal-uffiċjali tal-protezzjoni tad-data fil-proċessi organizzattivi; (iv) nuqqas ta’ riżorsi; (v) kompiti addizzjonali barra mill-protezzjoni tad-data; u (vi) anzjanità insuffiċjenti ( 131 ). Il-Bord innota li hemm bżonn li l-awtoritajiet tal-protezzjoni tad-data jżidu l-attivitajiet ta’ sensibilizzazzjoni, kif ukoll l-azzjonijiet ta’ informazzjoni u infurzar tagħhom biex jiżguraw li l-uffiċjali tal-protezzjoni tad-data jkunu jistgħu jissodisfaw ir-rwol tagħhom skont il-GDPR ( 132 ).

6Il-GDPR bħala pedament għall-politika tal-UE fl-isfera diġitali

6.1Politika diġitali li tibni fuq il-GDPR

Fir-rapport tal-2020, il-Kummissjoni impenjat ruħha li tappoġġa l-applikazzjoni konsistenti tal-qafas tal-protezzjoni tad-data b’rabta ma’ teknoloġiji ġodda, sabiex tappoġġa l-innovazzjoni u l-iżviluppi teknoloġiċi. Minn dak iż-żmien ’l hawn, l-UE adottat firxa ta’ inizjattivi, li wħud minnhom jikkomplementaw il-GDPR jew jispeċifikaw kif għandu jiġi applikat f’oqsma speċifiċi, sabiex jintlaħqu għanijiet partikolari, kif ippreżentati hawn taħt.

·L-Att dwar is-Servizzi Diġitali ( 133 ), li għandu l-għan li jipprovdi ambjent online sikur għall-individwi u n-negozji, jipprojbixxi lill-pjattaformi online milli juru reklami bbażati fuq it-tfassil tal-profil bl-użu ta’ “kategoriji speċjali ta’ data personali”, kif definit fil-GDPR.

·Sabiex is-swieq diġitali jsiru aktar ġusti u aktar kontestabbli, l-Att dwar is-Swieq Diġitali ( 134 ) jipprojbixxi lill-operaturi maħtura bħala “gwardjani” milli “jikkombinaw” u “jużaw b’mod inkroċjat” data personali bejn is-servizzi ewlenin tal-pjattaforma tagħhom u servizzi oħrajn, sakemm l-utent ma jkunx ta l-kunsens tiegħu, kif definit fil-GDPR.

·L-Att dwar l-IA ( 135 ) jispeċifika r-regoli tal-UE dwar il-protezzjoni tad-data f’oqsma speċifiċi fejn tintuża l-IA, pereżempju f’sistemi ta’ identifikazzjoni bijometrika mill-bogħod, l-ipproċessar ta’ kategoriji speċjali ta’ data biex jiġu identifikati l-preġudizzji u l-ipproċessar ulterjuri ta’ data personali f’ambjenti ta’ esperimentazzjoni regolatorja.

·Id-Direttiva dwar ix-Xogħol fuq il-Pjattaformi ( 136 ) tikkomplementa l-GDPR fil-qasam tal-impjiegi billi tistabbilixxi regoli dwar is-sistemi awtomatizzati ta’ monitoraġġ u teħid ta’ deċiżjonijiet użati mill-pjattaformi tax-xogħol diġitali, u b’mod partikolari l-limitazzjonijiet fuq l-ipproċessar ta’ data personali, it-trasparenza, is-sorveljanza mill-bniedem u r-rieżami u l-portabbiltà.

·Ir-Regolament dwar ir-Reklamar Politiku ( 137 ) jipprojbixxi l-użu ta’ kategoriji speċjali ta’ data personali fir-reklamar politiku u jeħtieġ trasparenza akbar dwar it-tekniki ta’ mmirar u ta’ amplifikazzjoni użati.

·Ir-Regolament Ewropew dwar l-Identità Diġitali jippermetti l-ħolqien ta’ kartiera tal-identità diġitali Ewropea universali, affidabbli u sigura. Dan se jippermetti lill-individwi jagħtu prova ta’ attributi personali bħal l-età, il-liċenzji tas-sewqan, id-diplomi u l-kontijiet bankarji, b’kontroll sħiħ fuq id-data personali tagħhom u mingħajr kondiviżjoni tad-data bla bżonn.

Il-proposta għal Regolament dwar il-Privatezza elettronika ( 138 ) li jissostitwixxi d-Direttiva attwali dwar il-Privatezza elettronika ( 139 ) u li jikkomplementa l-qafas leġiżlattiv dwar il-privatezza u l-protezzjoni tad-data ilha tiġi nnegozjata għal bosta snin. Hija meħtieġa riflessjoni dwar il-passi li jmiss għal din l-inizjattiva, inkluża r-relazzjoni tagħha mal-GDPR.

L-Att dwar l-Ewropa Interoperabbli ( 140 ) għandu l-għan li jagħmel is-servizzi pubbliċi diġitali interoperabbli madwar l-UE. Dan jappoġġa l-kooperazzjoni bejn l-awtoritajiet tal-protezzjoni tad-data, b’mod partikolari permezz ta’ ambjenti ta’ esperimentazzjoni regolatorja tal-interoperabbiltà.

Diversi inizjattivi tal-UE jipprovdu bażi ġuridika għall-ipproċessar ta’ data personali minn entitajiet privati għall-prevenzjoni, l-investigazzjoni, il-kxif jew il-prosekuzzjoni ta’ reati kriminali. Kwalunkwe leġiżlazzjoni bħal din trid tkun immirata bir-reqqa biex timminimizza l-interferenza mad-dritt għall-protezzjoni tad-data personali u trid tkun proporzjonata għall-għan imfittex ( 141 ). Il-Karta, il-GDPR u l-ġurisprudenza tal-Qorti tal-Ġustizzja jipprovdu qafas li miegħu jenħtieġ li jitkejlu dawn l-inizjattivi. Il-pakkett propost kontra l-ħasil tal-flus ( 142 ) fih salvagwardji sostanzjali għall-protezzjoni tad-data personali, mingħajr ma jiġi kompromess l-għan li jittaffew ir-riskji tal-ħasil tal-flus u tal-finanzjament tat-terroriżmu u jiġu skoperti b’mod effettiv tentattivi kriminali għall-użu ħażin tas-sistema finanzjarja tal-UE.

F’dan il-kuntest, il-Kunsill enfasizza li kwalunkwe leġiżlazzjoni ġdida tal-UE li fiha dispożizzjonijiet dwar l-ipproċessar ta’ data personali jenħtieġ li tkun konsistenti mal-GDPR u mal-ġurisprudenza tal-Qorti tal-Ġustizzja.

6.2Qafas legali biex tittejjeb il-kondiviżjoni tad-data 

L-istrateġija tad-data għandha l-għan li toħloq suq uniku għad-data, fejn id-data tiċċirkola liberament fl-UE u fis-setturi kollha għall-benefiċċju tan-negozji, tar-riċerkaturi u tal-amministrazzjonijiet pubbliċi. Għan ewlieni tal-istrateġija tad-data huwa l-ħolqien ta’ spazji Ewropej komuni tad-data li jiffaċilitaw il-ġbir, l-aċċess u l-kondiviżjoni tad-data. Fir-rigward tad-data personali, il-GDPR jipprovdi l-qafas għall-inizjattivi kollha li jfittxu li jtejbu l-fluss liberu tad-data fl-UE – li minnu nnifsu huwa għan tal-GDPR. F’dak li jirrigwarda d-data personali, il-protezzjonijiet tal-GDPR ma jintmessux.

L-Att dwar il-Governanza tad-Data ( 143 ) u l-Att dwar id-Data ( 144 ) huma pilastri tal-istrateġija tad-data. L-Att dwar il-Governanza tad-Data jistipula regoli konkreti fil-kuntest tal-użu mill-ġdid ta’ data tas-settur pubbliku li jkun fiha data personali, jistabbilixxi qafas leġiżlattiv għas-servizzi ta’ intermedjazzjoni tad-data - inklużi s-servizzi ta’ ġestjoni tal-informazzjoni personali (PIMS) jew clouds tad-data personali offruti sabiex is-suġġetti tad-data jingħataw is-setgħa meta jeżerċitaw id-drittijiet tagħhom skont il-GDPR. Dan jinkludi wkoll il-kundizzjonijiet għall-użu tad-data għal skopijiet altruistiċi. L-Att dwar id-Data jsaħħaħ il-kontroll tas-suġġetti tad-data fuq id-data li jiġġeneraw bl-użu ta’ oġġetti intelliġenti li jkunu proprjetà tagħhom, jew li jkunu għandhom b’kiri jew lokazzjoni, billi jagħmel obbligatorji rekwiżiti tekniċi għall-aċċess u l-portabbiltà tad-data.

L-Ispazju Ewropew tad-Data dwar is-Saħħa (EHDS) ( 145 ) jirrifletti l-ħtiġijiet speċifiċi identifikati fis-settur tad-data dwar is-saħħa, filwaqt li jibni wkoll fuq il-GDPR. Dan jippermetti lill-individwi jaċċessaw faċilment id-data dwar is-saħħa tagħhom f’format elettroniku u jaqsmuhom mal-professjonisti tas-saħħa, inkluż fi Stati Membri oħrajn, u b’hekk itejbu l-għoti tal-kura tas-saħħa u jżidu l-kontroll tal-pazjenti fuq id-data tagħhom. Dan jistabbilixxi wkoll qafas legali komuni għall-użu mill-ġdid ta’ data dwar is-saħħa għal skopijiet bħar-riċerka, l-innovazzjoni u s-saħħa pubblika, abbażi ta’ permess maħruġ minn korp ta’ aċċess għad-data dwar is-saħħa. Sabiex tiġi żgurata l-protezzjoni tad-data personali, l-EHDS se jipprovdi ambjent affidabbli għall-aċċess sigur għad-data dwar is-saħħa u l-ipproċessar tagħha. Il-Kummissjoni tkompli tappoġġa x-xogħol fuq l-iżvilupp ta’ spazji Ewropej komuni tad-data f’14-il settur billi timplimenta l-qafas leġiżlattiv il-ġdid u tiffinanzja inizjattivi speċifiċi għas-settur.

6.3Governanza ta’ regoli diġitali ġodda

L-iżvilupp ta’ regolamenti diġitali jqajjem il-ħtieġa għal kooperazzjoni mill-qrib fl-oqsma regolatorji kollha ( 146 ). Tali kooperazzjoni hija aktar u aktar meħtieġa peress li l-kwistjonijiet dwar il-protezzjoni tad-data jikkoinċidu dejjem aktar ma’ kwistjonijiet, pereżempju, tal-liġi tal-kompetizzjoni, il-liġi tal-konsumatur, ir-regoli tas-swieq diġitali, ir-regolamentazzjoni tal-komunikazzjonijiet elettroniċi u ċ-ċibersigurtà. Dan huwa pereżempju l-każ meta tiġi vvalutata l-kompatibbiltà ta’ mudelli “pay or OK” mad-dritt tal-Unjoni.

F’xi każijiet, l-awtoritajiet tal-protezzjoni tad-data għandhom il-kompitu li jinfurzaw dispożizzjonijiet speċifiċi ta’ leġiżlazzjoni diġitali ġdida tal-UE ( 147 ). Regolamenti diġitali ġodda joħolqu wkoll strutturi mfassla apposta li jlaqqgħu flimkien regolaturi kompetenti biex jiżguraw infurzar koerenti, bħall-grupp ta’ livell għoli tal-Att dwar is-Swieq Diġitali, il-Bord Ewropew għall-Innovazzjoni fil-Qasam tad-Data (stabbilit skont l-Att dwar il-Governanza tad-Data) u l-Bord Ewropew għas-Servizzi Diġitali (stabbilit skont l-Att dwar is-Servizzi Diġitali). Id-Direttiva NIS2 ( 148 ) tistabbilixxi regoli aktar dettaljati dwar il-kooperazzjoni bejn l-awtoritajiet regolatorji u l-awtoritajiet tal-protezzjoni tad-data fuq l-immaniġġjar ta’ inċidenti ta’ sigurtà li jikkostitwixxu ksur tad-data personali.

Barra minn dawn l-istrutturi formali, l-awtoritajiet tal-protezzjoni tad-data qed jieħdu passi biex jiżguraw li l-azzjonijiet tagħhom ikunu komplementari u koerenti ma’ oqsma regolatorji oħrajn. F’Lulju 2020, l-awtoritajiet tal-konsumatur u tal-protezzjoni tad-data waqqfu “grupp ta’ voluntiera” biex jiddeterminaw l-aħjar prattiki u jaqsmu l-esperjenzi tal-infurzar. L-awtoritajiet tal-protezzjoni tad-data jkomplu jipparteċipaw f’workshops konġunti man-Network ta’ Kooperazzjoni għall-Protezzjoni tal-Konsumatur. Fl-2023, il-Bord waqqaf taskforce dwar l-interazzjoni bejn il-protezzjoni tad-data, il-kompetizzjoni u l-protezzjoni tal-konsumatur.

Filwaqt li dawn l-iżviluppi huma pożittivi, hemm bżonn ta’ mezzi ta’ kooperazzjoni aktar strutturati u effiċjenti, b’mod partikolari biex jiġu indirizzati sitwazzjonijiet li jaffettwaw għadd kbir ta’ individwi fl-UE u jinvolvu diversi regolaturi ( 149 ). Kwalunkwe struttura bħal din jenħtieġ li tiżgura li l-awtoritajiet jibqgħu f’kull ħin responsabbli għall-kwistjonijiet kollha dwar il-konformità mar-regoli fl-oqsma ta’ kompetenza tagħhom. L-Istati Membri jenħtieġ li jaħdmu wkoll biex jiżguraw li sseħħ kooperazzjoni xierqa fil-livell nazzjonali ( 150 ).

7Trasferimenti internazzjonali u kooperazzjoni globali

7.1Is-sett ta’ għodod tal-GDPR għat-trasferimenti

Il-flussi tad-data saru integrali għat-trasformazzjoni diġitali tas-soċjetà u għall-globalizzazzjoni tal-ekonomija. Aktar minn qatt qabel, ir-rispett tal-privatezza huwa kundizzjoni għal flussi kummerċjali stabbli, siguri u kompetittivi, kif ukoll faċilitatur għal ħafna forom ta’ kooperazzjoni internazzjonali. Is-sett ta’ għodod tal-GDPR għat-trasferimenti pprovdut mill-Kapitolu V tiegħu joffri varjetà ta’ strumenti biex jiġu indirizzati xenarji ta’ trasferiment differenti, filwaqt li jiġi żgurat li d-data tkompli tibbenefika minn livell għoli ta’ protezzjoni meta titlaq mill-UE. 

Mir-rapport tal-2020, ir-rekwiżiti għat-trasferimenti tad-data stabbiliti fil-leġiżlazzjoni tal-UE dwar il-protezzjoni tad-data ġew iċċarati aktar u s-sett ta’ għodod għat-trasferimenti kompla jevolvi. Kjarifika importanti tikkonċerna l-kunċett ta’ “trasferiment internazzjonali”, li ġie definit mill-Bord ( 151 ) bħala li jinkludi kwalunkwe divulgazzjoni ta’ data personali minn kontrollur jew proċessur li l-ipproċessar tiegħu huwa soġġett għall-GDPR lil kontrollur jew proċessur ieħor f’pajjiż terz, irrispettivament minn jekk l-ipproċessar minn dan tal-aħħar huwiex soġġett għall-GDPR ( 152 ). Din il-gwida tal-Bord kienet partikolarment importanti biex tipprovdi ċertezza legali lill-kontrolluri u l-proċessuri Ewropej dwar ix-xenarji li fihom hija meħtieġa għodda ta’ trasferiment skont il-Kapitolu V tal-GDPR.

Ġew ipprovduti wkoll kjarifiki ulterjuri mill-Qorti tal-Ġustizzja fis-sentenza tagħha Schrems II ( 153 ) dwar il-protezzjoni li għandha tiġi pprovduta minn strumenti ta’ trasferiment differenti biex jiġi żgurat li l-livell ta’ protezzjoni garantit mill-GDPR ma jiġix imminat ( 154 ). B’mod partikolari, dawn l-istrumenti jridu jiżguraw li individwi li d-data tagħhom tiġi ttrasferita barra mill-UE jingħataw livell ta’ protezzjoni essenzjalment ekwivalenti għal dak garantit fl-UE ( 155 ). Hija r-responsabbiltà tal-esportatur tad-data tal-UE li jivvaluta jekk dan huwiex il-każ, filwaqt li jqis iċ-ċirkostanzi speċifiċi tat-trasferimenti tiegħu ( 156 ).

Biex jivvalutaw il-livell ta’ protezzjoni, l-esportaturi tad-data jridu jikkunsidraw kemm is-salvagwardji tal-protezzjoni tad-data stabbiliti fl-istrument ta’ trasferiment konkluż ma’ importatur tad-data mhux tal-UE (eż. kuntratt), kif ukoll aspetti rilevanti tas-sistema legali tal-pajjiż fejn jinsab l-importatur tad-data, b’mod partikolari fir-rigward tal-aċċess possibbli għad-data mill-awtoritajiet pubbliċi f’dak il-pajjiż ( 157 ). Dan tal-aħħar irid jiġi vvalutat fid-dawl tal-kriterji għall-valutazzjonijiet tal-adegwatezza stabbiliti fl-Artikolu 45 tal-GDPR. Il-Qorti kompliet telabora wkoll fuq dawn il-kriterji, b’mod partikolari fir-rigward tar-regoli dwar l-aċċess għad-data personali mill-awtoritajiet pubbliċi għall-finijiet tal-infurzar tal-liġi u tas-sigurtà nazzjonali.

Din l-interpretazzjoni ġiet riflessa wkoll fil-gwida tal-Bord, li aġġorna r-“referenzjali tal-adegwatezza” tiegħu ( 158 ) (li pprovda gwida dwar l-elementi li l-Kummissjoni trid tqis meta twettaq valutazzjoni tal-adegwatezza). Il-Bord adotta wkoll gwida ġdida li tipprovdi aktar kjarifiki dwar: (i) l-elementi li għandhom jitqiesu minn esportaturi tad-data individwali meta jivvalutaw il-livell ta’ protezzjoni; (ii) ħarsa ġenerali lejn is-sorsi potenzjali li jistgħu jintużaw; u (iii) eżempji ta’ miżuri supplimentari possibbli (eż. salvagwardji kuntrattwali u tekniċi) ( 159 ). Il-gwida tenfasizza speċifikament li kull valutazzjoni mwettqa mill-esportaturi tad-data hija unika, u li għalhekk jeħtieġ li jqisu l-karatteristiċi speċifiċi ta’ kull trasferiment li jistgħu jvarjaw skont l-iskop tat-trasferiment tad-data, it-tipi ta’ entitajiet involuti, is-settur li fih iseħħ it-trasferiment, il-kategoriji ta’ data personali ttrasferita, eċċ. ( 160 ).

Filwaqt li tqiesu dawn il-kjarifiki differenti dwar ir-rekwiżiti għat-trasferimenti internazzjonali tad-data, f’dawn l-aħħar snin ittieħdu passi sinifikanti biex jiġi żviluppat u operazzjonalizzat aktar is-sett ta’ għodod għat-trasferiment tal-GDPR.

7.1.1Deċiżjonijiet ta’ adegwatezza

Kif rifless ukoll fir-rispons riċevut mill-partijiet ikkonċernati, id-deċiżjonijiet ta’ adegwatezza għad għandhom rwol ewlieni fis-sett ta’ għodod għat-trasferiment tal-GDPR ( 161 ), billi jipprovdu soluzzjoni sempliċi u komprensiva għat-trasferimenti tad-data mingħajr il-ħtieġa li l-esportatur tad-data jipprovdi aktar salvagwardji jew jikseb xi awtorizzazzjoni. Billi ppermettew il-fluss liberu tad-data personali, dawn id-deċiżjonijiet fetħu mezzi kummerċjali għall-operaturi tal-UE, inkluż billi kkomplementaw u amplifikaw il-benefiċċji tal-ftehimiet kummerċjali, kif ukoll billi ffaċilitaw il-kollaborazzjoni ma’ sħab barranin f’firxa wiesgħa ta’ oqsma, minn kooperazzjoni regolatorja sa riċerka.

Mir-rapport tal-2020, in-numru ta’ pajjiżi li daħħlu fis-seħħ liġijiet moderni dwar il-protezzjoni tad-data - li fost l-oħrajn jipprevedu prinċipji ewlenin tal-protezzjoni tad-data, drittijiet individwali, u infurzar effettiv minn regolaturi indipendenti - kompla jikber. Din ix-xejra ( 162 ) ippermettiet ukoll lill-Kummissjoni tintensifika l-ħidma tagħha fuq l-adegwatezza. Din tinkludi l-adozzjoni ta’ deċiżjoni ta’ adegwatezza għar-Renju Unit ( 163 ), li hija ċentrali biex jiġi żgurat il-funzjonament xieraq tad-diversi ftehimiet konklużi mar-Renju Unit wara l-Brexit. Sabiex jiġi żgurat li tibqa’ valida fil-futur, id-deċiżjoni ta’ adegwatezza tinkludi “klawżola sunset” li għandha tiskadi fl-2025, u wara din tista’ tiġġedded jekk il-livell ta’ protezzjoni jkompli jkun adegwat. Il-Kummissjoni adottat ukoll deċiżjoni ta’ adegwatezza għar-Repubblika tal-Korea ( 164 ), li tikkomplementa l-Ftehim ta’ Kummerċ Ħieles bejn l-UE u l-Korea dwar il-flussi ta’ data personali u tiffaċilita l-kooperazzjoni regolatorja. L-ewwel rieżami tad-deċiżjoni ta’ adegwatezza huwa ppjanat lejn l-aħħar tal-2024.

Barra minn hekk, wara l-invalidazzjoni tad-deċiżjoni ta’ adegwatezza għat-Tarka tal-Privatezza UE-US, il-Kummissjoni daħlet f’taħditiet mal-Gvern tal-Istati Uniti (US) biex tiżviluppa arranġament suċċessur f’konformità mar-rekwiżiti kif iċċarat mill-Qorti ( 165 ). Il-President tal-Istati Uniti adotta Ordni Eżekuttiva ġdida dwar “Enhancing Safeguards for United States Signals Intelligence Activities”, li introduċiet salvagwardji vinkolanti u infurzabbli ġodda biex tiżgura li d-data tkun tista’ tiġi aċċessata għal finijiet ta’ sigurtà nazzjonali biss sa fejn ikun meħtieġ u proporzjonat, u li jkun disponibbli rimedju effettiv għall-Ewropej. Abbażi ta’ dan, il-Kummissjoni adottat id-deċiżjoni ta’ adegwatezza tagħha dwar il-Qafas tal-Privatezza tad-Data (DPF) bejn l-UE u l-Istati Uniti ( 166 ), li tippermetti li d-data personali tiċċirkola liberament mill-UE lil kumpaniji tal-Istati Uniti li jissieħbu fid-DPF. Billi s-salvagwardji stabbiliti mill-Gvern tal-Istati Uniti fil-qasam tas-sigurtà nazzjonali japplikaw għat-trasferimenti kollha tad-data lil kumpaniji fl-Istati Uniti, irrispettivament mill-mekkaniżmu ta’ trasferiment tal-GDPR użat, l-użu ta’ għodod oħrajn, bħal klawżoli kuntrattwali standard u regoli korporattivi vinkolanti, ġie ffaċilitat b’mod sinifikanti. L-ewwel rieżami tal-funzjonament tad-DPF se jsir fis-sajf tal-2024 sabiex jiġi vverifikat li l-elementi rilevanti kollha jkunu ġew implimentati bis-sħiħ fil-qafas legali tal-Istati Uniti u qed jiffunzjonaw b’mod effettiv fil-prattika.

Bħalissa għaddejjin negozjati dwar l-adegwatezza mal-Brażil u mal-Kenja, kif ukoll, għall-ewwel darba, ma’ diversi organizzazzjonijiet internazzjonali (it-taħditiet dwar l-adegwatezza, pereżempju, jinsabu fi stadju avvanzat mal-Organizzazzjoni Ewropea tal-Privattivi) ( 167 ). F’konformità wkoll mas-sejħiet ta’ diversi partijiet ikkonċernati ( 168 ), il-Kummissjoni impenjat ruħha b’mod attiv f’taħditiet ta’ esplorazzjoni ma’ pajjiżi f’reġjuni differenti tad-dinja.

Il-Kummissjoni timmonitorja wkoll kontinwament l-iżviluppi fil-pajjiżi li diġà jibbenefikaw minn sejbiet tal-adegwatezza u perjodikament tirrieżamina d-deċiżjonijiet eżistenti, f’konformità mal-obbligi korrispondenti tagħha skont il-GDPR ( 169 ). F’April 2023, il-Kummissjoni adottat ir-rapport tagħha dwar l-ewwel rieżami perjodiku tad-deċiżjoni ta’ adegwatezza għall-Ġappun ( 170 ), li kkonkluda li l-Ġappun qed ikompli jiżgura livell adegwat ta’ protezzjoni ( 171 ). Ir-rieżami wera li l-oqfsa tal-UE u tal-Ġappun għall-protezzjoni tad-data kkonverġew aktar mill-adozzjoni tad-deċiżjonijiet ta’ adegwatezza reċiproka.

Barra minn hekk, f’konformità mal-Artikolu 97 tal-GDPR, l-ewwel rieżami tal-11-il deċiżjoni ta’ adegwatezza ( 172 ) adottati taħt il-qafas preċedenti tal-UE għall-protezzjoni tad-data (id-Direttiva dwar il-Protezzjoni tad-Data) inbeda bħala parti mill-evalwazzjoni tal-2020 tal-applikazzjoni u l-funzjonament tal-GDPR. Il-konklużjoni ta’ dan l-aspett tar-rieżami ġiet posposta, b’mod partikolari biex titqies is-sentenza tal-Qorti tal-Ġustizzja fil-kawża Schrems II u l-interpretazzjoni sussegwenti mill-Bord. Il-kjarifiki msemmija hawn fuq tal-Qorti dwar elementi ewlenin tal-istandard ta’ adegwatezza wasslu għal skambji dettaljati mal-pajjiżi u t-territorji kkonċernati dwar aspetti rilevanti tal-qafas legali tagħhom, kif ukoll mekkaniżmi ta’ sorveljanza u infurzar.

Fil-15 ta’ Jannar 2024, il-Kummissjoni ppubblikat ir-rapport tagħha dwar dawn il-11-il deċiżjoni, flimkien ma’ rapporti dettaljati tal-pajjiżi li jiddeskrivu l-iżviluppi f’kull wieħed mill-pajjiżi u t-territorji mill-adozzjoni tad-deċiżjonijiet ta’ adegwatezza, kif ukoll ir-regoli li japplikaw għall-aċċess għad-data mill-awtoritajiet pubbliċi, b’mod partikolari għall-finijiet ta’ infurzar tal-liġi u sigurtà nazzjonali ( 173 ). Ir-rapport jikkonkludi li l-11-il pajjiż u territorju kollha qed ikomplu jipprovdu livell adegwat ta’ protezzjoni għad-data personali ttrasferita mill-UE. Dan jirrifletti li l-pajjiżi u t-territorji kollha kkonċernati mmodernizzaw u saħħew b’modi differenti l-qafas legali tal-privatezza tagħhom. Barra minn hekk, sabiex jiġu indirizzati d-differenzi rilevanti fil-livell tal-protezzjoni, ġew innegozjati u miftiehma ma’ xi wħud minnhom salvagwardji addizzjonali għad-data personali ttrasferita mill-Ewropa, meta meħtieġa biex tiġi żgurata l-kontinwità tad-deċiżjoni ta’ adegwatezza.

Dawn ir-rieżamijiet juru wkoll li d-deċiżjonijiet ta’ adegwatezza, minflok ma huma “punt tat-tmiem”, wittew is-sisien għal kooperazzjoni aktar mill-qrib u aktar konverġenza regolatorja bejn l-UE u dawn is-sħab li jaħsbuha l-istess. Pereżempju, ir-rapport dwar l-ewwel rieżami tad-deċiżjoni ta’ adegwatezza għall-Ġappun jirrikonoxxi li t-tisħiħ ulterjuri tal-qafas Ġappuniż għall-protezzjoni tad-data jista’ jwitti t-triq biex id-deċiżjoni ta’ adegwatezza tiġi estiża lil hinn mill-iskambji kummerċjali, biex jiġu koperti t-trasferimenti li bħalissa huma esklużi mill-kamp ta’ applikazzjoni tagħha, bħal fil-qasam tal-kooperazzjoni regolatorja u r-riċerka. It-taħditiet biex tiġi esplorata tali estensjoni possibbli għadhom għaddejjin. B’mod ġenerali, id-deċiżjonijiet ta’ adegwatezza saru komponent strateġiku tar-relazzjoni ġenerali tal-UE ma’ dawn is-sħab barranin u huma rikonoxxuti bħala faċilitatur ewlieni għall-approfondiment tal-kooperazzjoni f’firxa wiesgħa ta’ oqsma.

Lil hinn mill-għoti ta’ bażi b’saħħitha għal kooperazzjoni bilaterali akbar, in-network dejjem jikber ta’ pajjiżi u territorji li għalihom l-UE adottat deċiżjoni ta’ adegwatezza jippreżenta opportunitajiet ġodda biex jiġu massimizzati l-benefiċċji ta’ flussi ta’ data sikuri u liberi u biex ikun hemm kooperazzjoni aktar mill-qrib fost is-sħab li jaħsbuha l-istess fuq l-infurzar tar-regoli tal-protezzjoni tad-data. F’Marzu 2024, il-Kummissjoni għalhekk ospitat l-ewwel laqgħa ta’ livell għoli li qatt saret dwar il-flussi sikuri tad-data, filwaqt li laqqgħet il-Ministri responsabbli u l-kapijiet tal-awtoritajiet tal-protezzjoni tad-data ta’ 15-il pajjiż u territorju li għalihom l-UE adottat deċiżjoni ta’ adegwatezza, kif ukoll il-President tal-Bord Ewropew għall-Protezzjoni tad-Data ( 174 ). Fil-laqgħa ġew identifikati diversi punti ta’ azzjoni konkreta li fuqhom għaddejja ħidma ta’ segwitu fi ħdan dan il-grupp.

B’mod ġenerali, permezz tal-“effett tan-network” tagħhom, id-deċiżjonijiet ta’ adegwatezza adottati mill-Kummissjoni Ewropea huma dejjem aktar rilevanti wkoll lil hinn mill-UE, minħabba li mhux biss jippermettu l-fluss liberu tad-data mat-30 ekonomija taż-ŻEE, iżda wkoll ma’ ħafna aktar ġuriżdizzjonijiet madwar id-dinja li jirrikonoxxu pajjiżi li għalihom hemm deċiżjoni ta’ adegwatezza tal-UE bħala “destinazzjonijiet sikuri” skont ir-regoli tagħhom stess dwar il-protezzjoni tad-data ( 175 ).

7.1.2Strumenti li jipprevedu salvagwardji xierqa

Mir-rapport tal-2020, ġew żviluppati għodod addizzjonali li jipprevedu salvagwardji xierqa u nħarġet gwida prattika biex jiġi ffaċilitat l-użu tagħhom.

Kif imħabbar fir-rapport tal-2020, il-Kummissjoni adottat klawżoli kuntrattwali standard modernizzati (SCCs) ( 176 ), li żviluppathom wara li bbażat ruħha b’mod estensiv fuq ir-rispons minn diversi partijiet ikkonċernati ( 177 ). L-SCCs il-ġodda ħadu post it-tliet settijiet ta’ SCCs li ġew adottati skont id-Direttiva dwar il-Protezzjoni tad-Data. L-innovazzjonijiet ewlenin jinkludu: (i) salvagwardji aġġornati f’konformità mal-GDPR; (ii) approċċ modulari li joffri punt ta’ dħul uniku li jkopri firxa wiesgħa ta’ xenarji ta’ trasferiment; (iii) żieda fil-flessibbiltà għall-użu tal-SCCs minn diversi partijiet; u (iv) sett ta’ għodod prattiċi għall-konformità mas-sentenza Schrems II.

L-SCCs modernizzati ntlaqgħu tajjeb mill-partijiet ikkonċernati, u l-feedback riċevut jikkonferma li l-SCCs jibqgħu bil-bosta l-aktar għodda użata għat-trasferimenti mill-esportaturi tad-data tal-UE( 178 ). Biex tgħin lill-esportaturi tad-data fl-isforzi ta’ konformità tagħhom, il-Kummissjoni żviluppat Q &A li tipprovdi gwida ulterjuri dwar l-użu tal-klawżoli( 179 ), li se jiġu aġġornati aktar jekk iqumu mistoqsijiet ġodda, inkluż fid-dawl tal-feedback ulterjuri riċevut bħala parti minn din l-evalwazzjoni.

Ħafna esportaturi tad-data jirrapportaw li jesperjenzaw diffikultajiet fit-twettiq tal-“valutazzjonijiet tal-impatt tat-trasferiment” meħtieġa mis-sentenza Schrems II, b’referenza partikolari għall-kumplessità tagħhom, kif ukoll għall-kostijiet u ż-żmien meħtieġa biex iwettquhom ( 180 ). Filwaqt li jilqgħu l-gwida tal-Bord u tal-SCCs, huma jitolbu gwida addizzjonali (eż. dwar ir-responsabbiltajiet tal-partijiet involuti u l-livell ta’ dettall meħtieġ fil-valutazzjonijiet tal-impatt tat-trasferiment) u għodod addizzjonali biex jassistu fit-twettiq ta’ tali valutazzjonijiet (eż. mudelli, valutazzjonijiet ġenerali tal-pajjiżi, katalogi tar-riskju). Għalkemm il-partijiet ikkonċernati prinċipalment ipprovdew tali rispons dwar l-SCCs, l-istess valutazzjonijiet huma meħtieġa wkoll għal strumenti ta’ trasferiment oħrajn (bħal regoli korporattivi vinkolanti). Għalhekk, huwa importanti li l-Bord - filwaqt li jibni fuq l-esperjenza bl-applikazzjoni tar-rekwiżiti ta’ Schrems II fis-snin li għaddew, inkluż bħala parti mill-attivitajiet ta’ infurzar tal-awtoritajiet nazzjonali tal-protezzjoni tad-data - jikkunsidra li jesplora modi/għodod biex jassisti aktar lill-esportaturi tad-data fl-isforzi ta ’ konformità tagħhom f’dan il-kuntest.

Sabiex tikkomplementa l-SCCs eżistenti, il-Kummissjoni qed tiżviluppa settijiet addizzjonali ta’ klawżoli biex tipprovdi lill-esportaturi tad-data tal-UE b’pakkett komprensiv u koerenti. Dan se jinkludi l-SCCs skont ir-Regolament (UE) 2018/1725 għat-trasferimenti tad-data mill-istituzzjonijiet u l-korpi tal-UE lil operaturi kummerċjali f’pajjiżi terzi ( 181 ) u l-SCCs għat-trasferimenti tad-data lil importaturi tad-data minn pajjiżi terzi li l-operazzjonijiet ta’ pproċessar tagħhom huma soġġetti direttament għall-GDPR. Dawn tal-aħħar jirrispondu għas-sejħa mill-partijiet ikkonċernati biex ikopru speċifikament xenarji fejn l-importatur tad-data jaqa’ fil-kamp ta’ applikazzjoni territorjali tal-GDPR (pereżempju, minħabba li l-ipproċessar inkwistjoni jimmira lejn is-suq tal-UE skont l-Artikolu 3(2) tal-GDPR) ( 182 ). Kif iċċarat mill-Bord, f’dan il-każ hija meħtieġa wkoll għodda ta’ trasferiment skont il-Kapitolu V tal-GDPR, minħabba r-riskji akbar għad-data personali pproċessata barra mill-UE, pereżempju, minħabba liġijiet nazzjonali possibbilment konfliġġenti jew aċċess sproporzjonat tal-gvern fil-pajjiż terz ( 183 ). L-SCCs ġodda li qed jiġu żviluppati mill-Kummissjoni se jindirizzaw speċifikament dan ix-xenarju u se jqisu bis-sħiħ ir-rekwiżiti li diġà japplikaw direttament għal dawk il-kontrolluri u l-proċessuri skont il-GDPR ( 184 ).

Kif rikonoxxut ukoll minn tipi differenti ta’ partijiet ikkonċernati ( 185 ), il-klawżoli mudell għandhom rwol dejjem aktar ċentrali biex jiffaċilitaw il-flussi tad-data madwar id-dinja. Diversi ġuriżdizzjonijiet approvaw l-SCCs tal-UE bħala mekkaniżmu ta’ trasferiment skont il-liġijiet tal-protezzjoni tad-data tagħhom stess, b’adattamenti formali limitati għall-ordinament ġuridiku tagħhom ( 186 ). Għadd ta’ pajjiżi oħrajn adottaw il-klawżoli mudell tagħhom stess li jikkondividu karatteristiċi komuni importanti mal-SCCs tal-UE ( 187 ). Eżempju partikolarment rilevanti huwa l-ħolqien ta’ klawżoli mudell minn organizzazzjonijiet jew networks internazzjonali/reġjonali oħrajn, bħall-Kumitat Konsultattiv tal-Konvenzjoni 108 tal-Kunsill tal-Ewropa, in-Network Ibero-Amerikan għall-Protezzjoni tad-Data u l-Assoċjazzjoni tan-Nazzjonijiet tax-Xlokk tal-Asja (ASEAN) ( 188 ). Dan jiftaħ opportunitajiet ġodda biex jiġu ffaċilitati l-flussi tad-data bejn reġjuni differenti tad-dinja abbażi ta’ klawżoli mudell. Eżempju konkret huwa l-Gwida UE-ASEAN dwar il-klawżoli mudell tal-SCCs tal-UE u tal-ASEAN li, filwaqt li tibni fuq il-kontribut mill-kumpaniji, tassistihom fl-isforzi ta’ konformità tagħhom taħt iż-żewġ settijiet ta’ klawżoli ( 189 ).

Minbarra l-SCCs, ir-regoli korporattivi vinkolanti (BCRs) għadhom jintużaw b’mod wiesa’ għall-flussi tad-data bejn membri ta’ gruppi korporattivi jew fost intrapriżi involuti f’attività ekonomika konġunta. Minn meta beda japplika l-GDPR, il-Bord adotta 80 opinjoni pożittiva dwar id-deċiżjonijiet nazzjonali li japprovaw il-BCRs ( 190 ). Il-Bord ħareġ ukoll gwida dwar l-elementi li għandhom jiġu inklużi fil-BCRs għall-kontrolluri (u l-informazzjoni li għandha tiġi pprovduta bħala parti minn applikazzjoni tal-BCR), li ġiet aġġornata biex tirrifletti r-rekwiżiti tal-GDPR u s-sentenza Schrems II ( 191 ). Qed tiġi żviluppata wkoll gwida aġġornata dwar il-BCRs għall-proċessuri ( 192 ). Minħabba li l-BCRs għandhom l-għan li jistabbilixxu politiki/programmi vinkolanti dwar il-protezzjoni tad-data fil-kumpaniji, ħafna partijiet ikkonċernati jqisuhom bħala għodda ta’ konformità partikolarment utli u strument ta’ trasferiment affidabbli ( 193 ). Fl-istess ħin, il-partijiet ikkonċernati jkomplu jirrapportaw li t-tul u l-kumplessità tal-proċess ta’ approvazzjoni mill-awtoritajiet nazzjonali tal-protezzjoni tad-data qed jipprevjenu użu usa’ tal-BCRs. Għalhekk, huwa importanti li l-awtoritajiet ikomplu jaħdmu fuq is-simplifikazzjoni u t-tqassir tal-proċess tal-approvazzjoni.

Mir-rapport tal-2020, ittieħdu wkoll passi biex jiġi ffaċilitat l-użu taċ-ċertifikazzjoni u l-kodiċijiet ta’ kondotta bħala għodod għat-trasferimenti, eż. permezz tal-adozzjoni ta’ linji gwida ddedikati dwar iż-żewġ għodod mill-Bord ( 194 ). Fl-istess ħin, il-partijiet ikkonċernati jirrapportaw l-istess kwistjonijiet li jikkonċernaw l-iskeda ta’ żmien u l-kumplessità tal-proċess ta’ approvazzjoni bħal dawk imsemmija hawn fuq fir-rigward taċ-ċertifikazzjoni u l-kodiċijiet ta’ kondotta bħala għodod ta’ responsabbiltà.

Fl-aħħar nett, il-GDPR jipprevedi wkoll strumenti speċifiċi — ftehimiet internazzjonali u arranġamenti amministrattivi approvati mill-awtoritajiet tal-protezzjoni tad-data — li għandhom jintużaw mill-awtoritajiet pubbliċi biex jittrasferixxu data personali lill-kontropartijiet tagħhom f’pajjiżi terzi, jew lil organizzazzjonijiet internazzjonali. Il-Bord adotta linji gwida dwar is-salvagwardji li jenħtieġ li jiġu inklużi f’tali strumenti ( 195 ), li jistgħu jappoġġaw in-negozjar ta’ tali ftehimiet u arranġamenti.

7.1.3L-iżgurar tal-komplementarjetà ma’ politiki oħrajn

Minħabba li l-flussi tad-data saru essenzjali għal tant attivitajiet, huwa kruċjali li jiġi żgurat li l-politiki dwar il-protezzjoni tad-data u politiki oħrajn jikkomplementaw lil xulxin. L-inklużjoni ta’ salvagwardji għall-protezzjoni tad-data fi strumenti internazzjonali mhux biss ta’ spiss tkun prekundizzjoni għall-flussi tad-data, iżda wkoll faċilitatur importanti għal kooperazzjoni stabbli u affidabbli.

Pereżempju, il-ftehimiet internazzjonali li jipprevedu s-salvagwardji meħtieġa tal-protezzjoni tad-data, inkluż billi jiżguraw il-kontinwità tal-protezzjoni min-naħa ta’ awtorità rikjedenti, huma essenzjali biex tiġi żgurata l-korteżija u jiġi ffaċilitat l-aċċess transfruntier mill-awtoritajiet tal-infurzar tal-liġi għal evidenza elettronika miżmuma mill-kumpaniji u, b’dan il-mod, ġlieda aktar effettiva kontra l-kriminalità. Dan l-approċċ huwa rifless fit-Tieni Protokoll Addizzjonali għall-Konvenzjoni dwar iċ-Ċiberkriminalità ( 196 ), li jsaħħaħ ir-regoli eżistenti biex jinkiseb aċċess transfruntier għall-evidenza elettronika fl-investigazzjonijiet kriminali, filwaqt li jiżgura salvagwardji xierqa għall-protezzjoni tad-data. Sadanittant, il-Protokoll ġie ffirmat minn diversi Stati Membri tal-UE. Bl-istess mod, qed isir progress fin-negozjati bilaterali bejn l-UE u l-Istati Uniti fuq ftehim dwar l-aċċess transfruntier għal evidenza elettronika għall-kooperazzjoni fi kwistjonijiet kriminali ( 197 ).

L-iskambju tad-data tar-Reġistru tal-Ismijiet tal-Passiġġieri (PNR) huwa qasam ieħor tal-politika tas-sigurtà tal-UE li bbenefika mill-iżvilupp ta’ salvagwardji b’saħħithom tal-protezzjoni tad-data. Fl-2023, l-UE u l-Kanada kkonkludew in-negozjati tagħhom dwar Ftehim ġdid dwar il-PNR f’konformità mar-rekwiżiti stabbiliti mill-Qorti tal-Ġustizzja fl-Opinjoni tagħha 1/15 ( 198 ). Ġew introdotti salvagwardji simili fil-kapitolu dwar il-PNR tal-Ftehim tal-Kummerċ u l-Kooperazzjoni bejn l-UE u r-Renju Unit. L-inklużjoni ta’ protezzjonijiet tal-privatezza mtejba f’dawn il-ftehimiet, li jistgħu jservu bħala mudell għal ftehimiet futuri ma’ sħab oħrajn, iġġib ċertezza legali lit-trasportaturi tal-ajru, filwaqt li tiżgura l-istabbiltà ta’ skambji importanti ta’ informazzjoni għall-ġlieda kontra t-terroriżmu u reati tranżnazzjonali serji oħrajn.

Il-Kummissjoni hija wkoll proponent ta’ dispożizzjonijiet b’saħħithom li jipproteġu l-privatezza u jagħtu spinta lill-kummerċ diġitali fl-Organizzazzjoni Dinjija tal-Kummerċ fin-negozjati li għaddejjin dwar l-Inizjattiva ta’ Dikjarazzjoni Konġunta dwar il-kummerċ elettroniku. Dispożizzjonijiet simili dwar il-ġlieda kontra ostakli mhux ġustifikati għall-kummerċ diġitali, filwaqt li jiġi protett l-ispazju ta’ politika meħtieġ tal-Partijiet fil-qasam tal-protezzjoni tad-data, ġew inklużi b’mod konsistenti fil-ftehimiet ta’ kummerċ ħieles konklużi mill-UE wara d-dħul fis-seħħ tal-GDPR, b’mod partikolari fit-TCA bejn l-UE u r-Renju Unit u fil-ftehimiet maċ-Ċilì, mal-Ġappun u ma’ New Zealand. Id-dispożizzjonijiet għall-privatezza u l-flussi tad-data qed jiġu diskussi wkoll fin-negozjati tal-kummerċ diġitali li għaddejjin ma’ Singapore u mal-Korea t’Isfel.

7.2Kooperazzjoni internazzjonali dwar il-protezzjoni tad-data

7.2.1Id-dimensjoni bilaterali

Il-Kummissjoni kompliet tinvolvi ruħha fi djalogu mal-pajjiżi u mal-organizzazzjonijiet internazzjonali dwar l-iżvilupp, ir-riforma u l-implimentazzjoni tar-regoli dwar il-privatezza, inkluż billi tagħmel sottomissjonijiet għal konsultazzjonijiet pubbliċi dwar abbozzi ta’ leġiżlazzjoni jew miżuri regolatorji fil-qasam tal-privatezza ( 199 ), tixhed quddiem korpi parlamentari kompetenti ( 200 ) u tipparteċipa f’laqgħat iddedikati ma’ rappreżentanti tal-gvern, delegazzjonijiet parlamentari u regolaturi minn ħafna reġjuni tad-dinja ( 201 ). Għadd minn dawn l-attivitajiet twettqu permezz tal-proġett iffinanzjat mill-UE “Protezzjoni tad-Data u Flussi tad-Data Mtejba”, li jappoġġa lill-pajjiżi li għandhom l-intenzjoni li jiżviluppaw oqfsa moderni għall-protezzjoni tad-data jew li jsaħħu l-kapaċità tal-awtoritajiet regolatorji tagħhom, permezz tat-taħriġ, il-kondiviżjoni tal-għarfien, il-bini tal-kapaċità u l-iskambju tal-aħjar prattiki. Il-Kummissjoni kkontribwiet ukoll għal inizjattivi oħrajn, bħall-Alleanza Diġitali UE-CELAC.

Il-protezzjoni tad-data se tkompli jkollha wkoll rwol ewlieni fil-ħidma tal-Kummissjoni relatata mat-tkabbir. Il-leġiżlazzjoni tal-UE dwar il-protezzjoni tad-data hija komponent importanti tal-isforz ġenerali tal-pajjiżi tat-tkabbir biex jallinjaw l-oqfsa legali tagħhom ma’ dawk tal-UE (speċjalment minħabba li l-ipproċessar u l-iskambju ta’ data personali huma fil-qalba ta’ tant politiki). Barra minn hekk, l-indipendenza u l-funzjonament xieraq ta’ awtorità tal-protezzjoni tad-data huma element ewlieni tal-kontrolli u l-bilanċi ġenerali u tal-istat tad-dritt, u se jsiru dejjem aktar importanti hekk kif l-UE tintegra gradwalment il-pajjiżi tat-tkabbir fis-suq uniku (kif previst minn inizjattivi bħall-Pjan ta’ Tkabbir tal-Balkani tal-Punent).

Aspett dejjem aktar importanti tad-djalogu tal-UE ma’ pajjiżi terzi jiffoka fuq l-iskambji bejn ir-regolaturi. Kif imħabbar fir-rapport tal-2020, il-Kummissjoni ħolqot “Akkademja tal-Protezzjoni tad-Data”, biex trawwem skambji bejn l-awtoritajiet tal-protezzjoni tad-data tal-UE u ta’ pajjiżi terzi u, b’dan il-mod, tikkontribwixxi għall-bini tal-kapaċità u ttejjeb il-kooperazzjoni “fil-prattika”. L-Akkademja toffri taħriġ imfassal apposta fuq talba tal-awtoritajiet ta’ pajjiżi terzi u tlaqqa’ flimkien l-għarfien espert tar-rappreżentanti tal-komunità tal-infurzar, l-akkademja, is-settur privat u l-istituzzjonijiet Ewropej. Il-valur miżjud tat-taħriġ jinsab fit-tfassil tal-komponenti differenti għall-interessi u l-ħtiġijiet tal-awtorità rikjedenti. Barra minn hekk, dan it-taħriġ jippermetti lill-awtoritajiet tal-protezzjoni tad-data tal-UE u ta’ pajjiżi terzi jistabbilixxu kuntatti, jikkondividu l-għarfien, jiskambjaw l-esperjenza u l-aħjar prattiki, u jidentifikaw oqsma potenzjali għall-kooperazzjoni. S’issa l-Akkademja pprovdiet taħriġ lill-awtoritajiet tal-protezzjoni tad-data tal-Indoneżja, il-Brażil, il-Kenja, in-Niġerja u r-Rwanda, u bħalissa tinsab fil-proċess li tħejji taħriġ għal diversi pajjiżi oħra.

Lil hinn mill-importanza li jinżamm djalogu bejn ir-regolaturi, hemm ħtieġa dejjem akbar, kif rikonoxxut ukoll fir-rispons li wasal mill-Kunsill u mill-Bord ( 202 ), li jiġu żviluppati strumenti legali xierqa għal forom aktar mill-qrib ta’ kooperazzjoni u assistenza reċiproka, inkluż billi jkun permess l-iskambju meħtieġ ta’ informazzjoni fil-kuntest tal-investigazzjonijiet. Tabilħaqq, billi l-ksur tal-privatezza jipproduċi dejjem aktar effetti bejn il-fruntieri, spiss ikun jista’ jiġi investigat u indirizzat b’mod effettiv biss permezz ta’ kooperazzjoni bejn ir-regolaturi tal-UE u dawk mhux tal-UE. Għalhekk, il-Kummissjoni se tfittex l-awtorizzazzjoni biex tiftaħ negozjati biex tikkonkludi ftehimiet ta’ kooperazzjoni fl-infurzar ma’ pajjiżi terzi rilevanti (kif previst ukoll fl-Artikolu 50 tal-GDPR). F’dan ir-rigward, il-Kummissjoni tinnota t-talba tal-Bord biex jikkunsidra speċifikament il-pajjiżi bl-aktar operaturi direttament soġġetti għall-GDPR bħala kontropartijiet potenzjali, b’mod partikolari pajjiżi tal-G7 u/jew pajjiżi li jibbenefikaw minn deċiżjonijiet ta’ adegwatezza ( 203 ).

L-istabbiliment ta’ tali ftehimiet ta’ kooperazzjoni fl-infurzar u ta’ assistenza reċiproka jgħin ukoll biex tiġi żgurata l-konformità minn, u l-infurzar effettiv kontra, operaturi barranin soġġetti għall-GDPR, pereżempju minħabba li jimmiraw speċifikament lejn is-suq tal-UE billi joffru oġġetti jew servizzi. Il-Kunsill jinnota l-importanza li tiġi infurzata l-konformità mal-GDPR f’każijiet bħal dawn, u jqajjem tħassib dwar il-kundizzjonijiet ekwi mal-entitajiet fl-UE, kif ukoll il-protezzjoni effettiva tad-drittijiet tal-individwi ( 204 ). Il-Kummissjoni taqbel mas-sejħa tal-Kunsill li jiġu esplorati modi differenti biex jiġi ffaċilitat l-infurzar f’dan ix-xenarju. Filwaqt li forom aktar formali ta’ kooperazzjoni ma’ regolaturi ta’ pajjiżi terzi jista’ ċertament ikollhom rwol importanti, l-użu ta’ mogħdijiet oħrajn – li diġà jeżistu – jenħtieġ li wkoll jiġi segwit b’mod aktar vigoruż. Dan jinkludi l-użu sħiħ mis-sett ta’ għodod tal-infurzar tal-Artikolu 58 tal-GDPR, u l-involviment ta’ rappreżentanti ta’ kumpaniji barranin fl-UE (maħtura f’konformità mal-Artikolu 27 tal-GDPR).

7.2.2Id-dimensjoni multilaterali

Il-Kummissjoni qed tkompli wkoll tipparteċipa b’mod attiv f’għadd ta’ fora multilaterali sabiex tippromwovi valuri kondiviżi u tibni konverġenza f’livell reġjonali u globali.

Dan, pereżempju, jinkludi l-kontribut attiv għall-ħidma tal-Kumitat Konsultattiv dwar il-Konvenzjoni għall-Protezzjoni tal-Individwi fir-rigward tal-Ipproċessar Awtomatiku tad-Data Personali (il-Konvenzjoni 108), l-uniku strument multilaterali legalment vinkolanti fil-qasam tal-protezzjoni tad-data personali. Sa issa, kien hemm 31 Stat li rratifikaw il-Protokoll Emendatorju biex jimmodernizzaw il-Konvenzjoni 108 ( 205 ), inklużi ħafna Stati Membri tal-UE, kif ukoll xi wħud li ma humiex membri tal-Kunsill tal-Ewropa (l-Arġentina, il-Mauritius u l-Urugwaj). Fost l-Istati Membri tal-UE, għadha pendenti l-firma ta’ Stat Membru wieħed ( 206 ) biss, filwaqt li tmien Stati Membri ( 207 ) sa issa ffirmaw il-Konvenzjoni modernizzata, iżda għadhom ma rratifikawhiex. Il-Kummissjoni tħeġġeġ lill-Istat Membru li fadal biex jiffirma l-Konvenzjoni modernizzata u lil oħrajn biex jipproċedu malajr għar-ratifika, sabiex b’hekk din tkun tista’ tidħol fis-seħħ fil-futur qrib. Lil hinn minn dan, hija tkompli tinkoraġġixxi b’mod proattiv l-adeżjoni minn pajjiżi terzi.

Fil-livell tal-G20 u tal-G7, id-diskussjonijiet dwar il-privatezza u l-flussi tad-data ffokaw fuq l-operazzjonalizzazzjoni tal-kunċett ta’ “fluss liberu tad-data b’fiduċja” (DFFT), oriġinarjament propost mill-Ġappun, li jirrikonoxxi li l-protezzjoni u s-sigurtà tad-data jistgħu jikkontribwixxu għall-fiduċja fl-ekonomija diġitali u jiffaċilitaw il-flussi tad-data ( 208 ). L-OECD għandha rwol partikolarment importanti f’dan il-kuntest, billi tipprovdi forum għal Komunità ta’ Esperti tad-DFFT, li jlaqqa’ flimkien firxa wiesgħa ta’ partijiet ikkonċernati (gvernijiet, regolaturi, industrija, soċjetà ċivili, akkademiċi) biex jipprovdu kontribut dwar proġetti speċifiċi u mistoqsijiet relatati mad-DFFT. Barra minn hekk, riżultat sinifikanti tal-inizjattiva tad-DFFT, li għaliha kkontribwiet b’mod sinifikanti l-Kummissjoni, huwa l-adozzjoni mill-OECD ta’ Dikjarazzjoni dwar l-Aċċess tal-Gvern għad-Data Personali Miżmuma minn Entitajiet tas-Settur Privat, l-ewwel strument internazzjonali f’dan il-qasam. Din fiha serje ta’ rekwiżiti kondiviżi biex tiġi ssalvagwardjata l-privatezza meta tiġi aċċessata data personali għal finijiet ta’ sigurtà nazzjonali u infurzar tal-liġi. Fl-isfond ta’ rikonoxximent dinji dejjem akbar li l-fiduċja fit-trasferimenti tad-data hija affettwata b’mod negattiv minn aċċess sproporzjonat tal-gvern, din id-Dikjarazzjoni hija kontribut importanti biex jiġu ffaċilitati l-flussi tad-data fdati. Il-Kummissjoni se tkompli tħeġġeġ lill-pajjiżi biex jissieħbu fid-Dikjarazzjoni, li hija miftuħa wkoll għal dawk li ma humiex membri tal-OECD.

Il-Kummissjoni qed timpenja ruħha wkoll ma’ organizzazzjonijiet u networks reġjonali differenti li jsawru salvagwardji komuni għall-protezzjoni tad-data. Dan jikkonċerna, pereżempju, l-ASEAN, l-Unjoni Afrikana, il-forum tal-Awtoritajiet tal-Privatezza tal-Paċifiku tal-Asja, in-Network Ibero-Amerikan għall-Protezzjoni tad-Data u n-Network tal-Awtoritajiet Afrikani għall-Protezzjoni tad-Data (NADPA – RADPD). L-iżvilupp tal-Gwida UE-ASEAN imsemmija hawn fuq dwar il-klawżoli mudell huwa eżempju konkret ta’ tali kooperazzjoni siewja.

Fl-aħħar nett, il-Kummissjoni żżomm djalogu ma’ organizzazzjonijiet internazzjonali differenti, inkluż biex tesplora modi biex tiffaċilita aktar il-flussi tad-data bejn l-UE u tali organizzazzjonijiet. Minħabba li ħafna organizzazzjonijiet immodernizzaw l-oqfsa tal-protezzjoni tad-data tagħhom f’dawn l-aħħar snin, jew jinsabu fil-proċess li jagħmlu dan, qed jinħolqu wkoll opportunitajiet ġodda għall-iskambju tal-esperjenza u tal-aħjar prattiki. F’dan ir-rigward, il-workshops annwali ma’ organizzazzjonijiet internazzjonali u taskforce ddedikata dwar trasferimenti ta’ data internazzjonali organizzati mill-Kontrollur Ewropew għall-Protezzjoni tad-Data wrew li huma fora partikolarment utli għall-iskambju u l-esplorazzjoni ta’ strumenti konkreti għall-kooperazzjoni, inkluż l-iskambju ta’ data personali ( 209 ).

8konklużjoni

Fis-6 sena minn meta l-GDPR sar applikabbli, huwa ta s-setgħa lin-nies billi ppermettielhom li jkollhom kontroll fuq id-data tagħhom. Għen ukoll biex jinħolqu kundizzjonijiet ekwi għan-negozji, u pprovda bażi għall-firxa ta’ inizjattivi li qed jixprunaw it-tranżizzjoni diġitali fl-UE.

Sabiex jintlaħqu bis-sħiħ iż-żewġ għanijiet tal-GDPR, jiġifieri protezzjoni b’saħħitha għall-individwi filwaqt li jiġi żgurat il-fluss liberu tad-data personali fl-UE u l-flussi sikuri tad-data barra mill-UE, jeħtieġ li jkun hemm enfasi fuq:

·infurzar robust tal-GDPR, li jibda bl-adozzjoni rapida tal-proposta tal-Kummissjoni dwar ir-regoli proċedurali biex jingħataw rimedji rapidi u ċertezza legali f’każijiet li jaffettwaw lil individwi madwar l-UE;

·appoġġ proattiv mill-awtoritajiet tal-protezzjoni tad-data lill-partijiet ikkonċernati fl-isforzi ta’ konformità tagħhom, speċjalment l-SMEs u l-operaturi żgħar;

·interpretazzjoni u applikazzjoni konsistenti tal-GDPR madwar l-UE;

·kooperazzjoni effettiva bejn ir-regolaturi kemm fil-livell nazzjonali kif ukoll f’dak tal-UE biex tiġi ggarantita l-applikazzjoni konsistenti u koerenti tal-korp dejjem jikber ta’ regoli diġitali tal-UE;

·l-avvanz ulterjuri tal-istrateġija internazzjonali tal-Kummissjoni dwar il-protezzjoni tad-data.

Sabiex tiġi appoġġata l-applikazzjoni effettiva tal-GDPR u jiġu infurmati aktar riflessjonijiet dwar il-protezzjoni tad-data, huma meħtieġa diversi azzjonijiet identifikati hawnhekk. Il-Kummissjoni se tappoġġa u tissorvelja l-implimentazzjoni tagħhom ukoll fid-dawl tar-rapport li jmiss fl-2028. 

L-iżvilupp ta’ strutturi ta’ kooperazzjoni effettivi

Il-Parlament Ewropew u l-Kunsill huma mistiedna jadottaw malajr il-proposta dwar ir-regoli proċedurali tal-GDPR.

Il-Bord u l-awtoritajiet tal-protezzjoni tad-data huma mistiedna:

-jistabbilixxu kooperazzjoni regolari ma’ regolaturi settorjali oħra dwar kwistjonijiet b’impatt fuq il-protezzjoni tad-data, b’mod partikolari dawk stabbiliti skont il-leġiżlazzjoni diġitali l-ġdida tal-UE, u jipparteċipaw b’mod attiv fi strutturi fil-livell tal-UE mfassla biex jiffaċilitaw il-kooperazzjoni transregolatorja;

-jagħmlu użu aktar sħiħ mill-għodod għall-kooperazzjoni pprovduti mill-GDPR, sabiex is-soluzzjoni tat-tilwim tintuża biss bħala l-aħħar alternattiva;

-jimplimentaw arranġamenti ta’ ħidma aktar effiċjenti u mmirati għal linji gwida, opinjonijiet u deċiżjonijiet u jagħtu prijorità lil kwistjonijiet ewlenin sabiex inaqqsu l-piż fuq l-awtoritajiet tal-protezzjoni tad-data u jirrispondu aktar malajr għall-iżviluppi tas-suq.

Jeħtieġ li l-Istati Membri:

-jiżguraw l-indipendenza effettiva u sħiħa tal-awtoritajiet nazzjonali tal-protezzjoni tad-data;

-jallokaw biżżejjed riżorsi lill-awtoritajiet tal-protezzjoni tad-data biex ikunu jistgħu jwettqu l-kompiti tagħhom, b’mod partikolari billi jipprovdulhom riżorsi tekniċi u għarfien espert meħtieġ biex jittrattaw it-teknoloġiji emerġenti u biex jissodisfaw responsabbiltajiet ġodda skont il-leġiżlazzjoni diġitali;

-jgħammru lill-awtoritajiet tal-protezzjoni tad-data bl-għodod investigattivi meħtieġa għalihom biex jużaw b’mod effettiv is-setgħat ta’ infurzar ipprovduti mill-GDPR;

-jappoġġaw id-djalogu bejn l-awtoritajiet tal-protezzjoni tad-data u regolaturi nazzjonali oħrajn, b’mod partikolari dawk stabbiliti skont il-leġiżlazzjoni diġitali l-ġdida.

Il-Kummissjoni se:

-tappoġġa b’mod attiv l-adozzjoni rapida tal-proposta dwar ir-regoli proċedurali tal-GDPR mill-koleġiżlaturi;

-tkompli tissorvelja mill-qrib l-indipendenza effettiva u sħiħa tal-awtoritajiet nazzjonali tal-protezzjoni tad-data;

-tibni sinerġiji u konsistenza bejn il-GDPR u l-leġiżlazzjoni kollha li tikkonċerna l-ipproċessar ta’ data personali abbażi tal-esperjenza u, jekk ikun meħtieġ, tieħu azzjonijiet xierqa biex tipprovdi ċertezza legali;

-jirriflettu dwar kif tista’ tiġi indirizzata aħjar il-ħtieġa għal kooperazzjoni transregolatorja strutturata u effiċjenti biex tiġi ggarantita l-applikazzjoni effettiva, konsistenti u koerenti tar-regoli diġitali tal-UE, filwaqt li tiġi rrispettata l-kompetenza tal-awtoritajiet tal-protezzjoni tad-data għall-mistoqsijiet kollha li jikkonċernaw l-ipproċessar tad-data personali.

L-implimentazzjoni u l-ikkomplementar tal-qafas legali

Jeħtieġ li l-Istati Membri:

-jiżguraw li l-awtoritajiet tal-protezzjoni tad-data jiġu kkonsultati fil-ħin qabel l-adozzjoni tal-leġiżlazzjoni dwar l-ipproċessar tad-data personali.

Il-Kummissjoni se:

-tkompli tagħmel użu mill-għodod kollha għad-dispożizzjoni tagħha, inklużi l-proċeduri ta’ ksur, sabiex tiżgura li l-Istati Membri jikkonformaw mal-GDPR;

-tkompli tappoġġa skambji ta’ fehmiet u prattiki nazzjonali bejn l-Istati Membri, inkluż permezz tal-Grupp ta’ Esperti tal-Istati Membri tal-GDPR;

-ssegwi azzjonijiet biex tiżgura li t-tfal jiġu protetti, emanċipati u rrispettati online;

-tirrifletti dwar il-passi possibbli li jmiss rigward il-proposta għal Regolament dwar il-privatezza elettronika, inkluża r-relazzjoni tagħha mal-GDPR.

L-appoġġ lill-partijiet ikkonċernati

Il-Bord u l-awtoritajiet tal-protezzjoni tad-data huma mistiedna:

-jidħlu fi djalogu kostruttiv mal-kontrolluri u l-proċessuri dwar il-konformità mal-GDPR;

-ikomplu jżidu l-isforzi biex jappoġġaw il-konformità tal-SMEs, billi jipprovdu gwida u għodod imfassla apposta, itaffu kwalunkwe tħassib bla bażi dwar il-konformità tal-SMEs li ma għandhomx l-ipproċessar tad-data personali bħala n-negozju ewlieni tagħhom, u jakkumpanjawhom fl-isforzi ta’ konformità tagħhom;

-jappoġġaw l-implimentazzjoni ta’ miżuri ta’ konformità effettivi min-negozji, bħaċ-ċertifikazzjoni u l-kodiċijiet ta’ kondotta (inkluż bħala għodod għat-trasferimenti), billi jimpenjaw ruħhom mal-partijiet ikkonċernati matul il-proċess ta’ approvazzjoni, jipprovdu skedi ta’ żmien ċari għall-approvazzjonijiet u, kif imwiegħed fl-istrateġija tal-Bord għas-snin 2024-2027, jispjegaw lil gruppi ewlenin ta’ partijiet ikkonċernati kif dawn l-għodod jistgħu jintużaw;

-jiżguraw li l-linji gwida nazzjonali u l-applikazzjoni tal-GDPR fil-livell nazzjonali jkunu konsistenti mal-linji gwida tal-Bord u mal-ġurisprudenza tal-Qorti tal-Ġustizzja;

-isolvu interpretazzjonijiet diverġenti tal-GDPR bejn l-awtoritajiet tal-protezzjoni tad-data, inkluż bejn l-awtoritajiet fl-istess Stat Membru;

-jipprovdu linji gwida li jkunu konċiżi, prattiċi u aċċessibbli għall-udjenza rilevanti, kif imwiegħed fl-istrateġija tal-Bord għas-snin 2024-2027;

-jiżguraw konsultazzjoni aktar bikrija u aktar sinifikanti dwar linji gwida u opinjonijiet sabiex jinftiehmu aħjar id-dinamika tas-suq u l-prattiki tan-negozju, jagħtu kunsiderazzjoni adegwata lir-rispons riċevut, u jikkunsidraw l-applikazzjoni konkreta tal-interpretazzjonijiet adottati;

-ilestu x-xogħol li għaddej fuq il-linji gwida dwar id-data tat-tfal, ir-riċerka xjentifika, l-anonimizzazzjoni, il-psewdonimizzazzjoni u l-interess leġittimu bħala prijorità;

-iżidu l-attivitajiet ta’ sensibilizzazzjoni, l-informazzjoni u l-azzjonijiet ta’ infurzar biex jiżguraw li l-uffiċjali tal-protezzjoni tad-data jkunu jistgħu jaqdu r-rwol tagħhom skont il-GDPR.

Il-Kummissjoni se:

-tkompli tipprovdi appoġġ finanzjarju għall-attivitajiet tal-awtoritajiet tal-protezzjoni tad-data li jiffaċilitaw l-implimentazzjoni tal-obbligi tal-GDPR mill-SMEs;

-tuża l-mezzi kollha disponibbli biex tagħti kjarifiki spedjenti dwar kwistjonijiet ta’ importanza għall-partijiet ikkonċernati, inklużi l-SMEs, b’mod partikolari billi titlob opinjonijiet tal-Bord.

L-iżvilupp ulterjuri tas-sett ta’ għodod għat-trasferimenti tad-data u l-kooperazzjoni internazzjonali

Il-Bord u l-awtoritajiet tal-protezzjoni tad-data huma mistiedna:

-ilestu x-xogħol fuq is-simplifikazzjoni u t-tqassir tal-proċess tal-approvazzjoni għal regoli korporattivi vinkolanti, kif ukoll fuq l-aġġornament tal-gwida dwar l-elementi li għandhom jinstabu fir-regoli korporattivi vinkolanti tal-proċessur;

-jesploraw modi/għodod biex jassistu aktar lill-esportaturi tad-data fl-isforzi ta’ konformità tagħhom b’rabta mar-rekwiżiti ta’ Schrems II;

-jesploraw modi ulterjuri biex jiżguraw infurzar effettiv kontra operaturi stabbiliti f’pajjiżi terzi li jaqgħu fil-kamp ta’ applikazzjoni territorjali tal-GDPR.

Jeħtieġ li l-Istati Membri:

-jiżguraw l-iffirmar u r-ratifiki li jifdal tal-Konvenzjoni modernizzata 108+ tal-Kunsill tal-Ewropa mill-aktar fis possibbli, bil-ħsieb li jippermettu d-dħul fis-seħħ tagħha.

Il-Kummissjoni se:

-tagħmel aktar progress fit-taħditiet dwar l-adegwatezza li għaddejjin, tesplora l-iżvilupp ulterjuri tas-sejbiet eżistenti dwar l-adegwatezza u ssegwi djalogi ġodda dwar l-adegwatezza mas-sħab interessati;

-tappoġġa kooperazzjoni akbar fost in-network ta’ pajjiżi li jibbenefikaw minn deċiżjonijiet ta’ adegwatezza;

-tiffinalizza x-xogħol fuq klawżoli kuntrattwali standard addizzjonali, b’mod partikolari għal trasferimenti tad-data lill-importaturi tad-data li l-ipproċessar tagħhom huwa direttament soġġett għall-GDPR u trasferimenti skont ir-Regolament (UE) 2018/1725 għal trasferimenti tad-data mill-istituzzjonijiet u l-korpi tal-UE;

-tikkoopera mas-sħab internazzjonali dwar l-iffaċilitar tal-flussi tad-data abbażi ta’ klawżoli kuntrattwali mudell;

-tappoġġa l-proċessi ta’ riforma li għaddejjin f’pajjiżi terzi dwar regoli ġodda jew modernizzati tal-protezzjoni tad-data billi taqsam l-esperjenza u l-aħjar prattiki;

-timpenja ruħha ma’ organizzazzjonijiet internazzjonali u reġjonali bħall-OECD u l-G7 biex tippromwovi flussi ta’ data affidabbli bbażati fuq standards għoljin ta’ protezzjoni tad-data, inkluż fil-kuntest tal-inizjattiva Fluss tad-Data b’Fiduċja;

-tiffaċilita u tappoġġa l-iskambji bejn ir-regolaturi Ewropej u internazzjonali, inkluż permezz tal-Akkademja tal-Protezzjoni tad-Data tagħha;

-tikkontribwixxi għall-iffaċilitar tal-kooperazzjoni internazzjonali fl-infurzar bejn l-awtoritajiet superviżorji, inkluż permezz tan-negozjar ta’ ftehimiet ta’ kooperazzjoni u assistenza reċiproka.

(1) ()    Il-protezzjoni tad-data bħala pilastru tal-għoti tas-setgħa liċ-ċittadini u tal-approċċ tal-UE għat-tranżizzjoni diġitali - sentejn ta’ applikazzjoni tar-Regolament Ġenerali dwar il-Protezzjoni tad-Data, 24.6.2020 COM(2020) 264 final.

(2) ()     https://data.consilium.europa.eu/doc/document/ST-15507-2023-INIT/mt/pdf  

(3) ()    Sommarju tal-input tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR huwa disponibbli hawnhekk: Report from Multistakeholder Expert group on GDPR application - Ġunju 2024.pdf . L-input riċevut b’rispons għas-sejħa pubblika għall-evidenza u permezz ta’ laqgħat bilaterali mal-partijiet ikkonċernati fil-biċċa l-kbira jirrifletti l-fehmiet espressi mill-membri tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(4) ()     https://ec.europa.eu/info/law/better-regulation/  

(5) ()     Il-kontribut tal-EDPB għall-evalwazzjoni tal-GDPR skont l-Artikolu 97 | Il-Bord Ewropew għall-Protezzjoni tad-Data (europa.eu) .

(6) ()     GDPR in practice – Experiences of data protection authorities | L-Aġenzija tal-Unjoni Ewropea għad-Drittijiet Fundamentali (europa.eu)

(7) ()    Proposta għal Regolament tal-Parlament Ewropew u tal-Kunsill li jistabbilixxi regoli proċedurali addizzjonali relatati mal-infurzar tar-Regolament (UE) 2016/679 (COM/2023/348 final).

(8) ()     https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-letter-eu-commission-procedural-aspects-could-be_mt .

(9) ()    Permezz tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR u sejħa għall-evidenza mnedija fi Frar 2023.

(10) ()    B’mod partikolari permezz tal-grupp ta’ esperti tal-Istati Membri tal-GDPR: https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=mt&do=groupDetail.groupDetail&groupID=3461  

(11) ()    L-Artikolu 61 tal-GDPR.

(12) ()     internal_edpb_document_1_2021_on_art_62_joint_operations_en.pdf (europa.eu)  

(13) ()    L-Artikolu 62 tal-GDPR.

(14) ()    L-Artikolu 65 tal-GDPR.

(15) ()    Mit-3 ta’ Novembru 2023 (kontribuzzjoni tal-Bord).

(16) ()    Skont l-Artikolu 60(3) tal-GDPR.

(17) ()    Mit-3 ta’ Novembru 2023.

(18) ()    L-awtorità Irlandiża għamlet l-aktar talbiet formali (246), filwaqt li l-awtoritajiet Ġermaniżi rċevew l-aktar talbiet (516).

(19) ()    L-awtorità Irlandiża għamlet l-aktar talbiet informali (4 245) u warajha nsibu l-awtoritajiet Ġermaniżi (2 036).

(20) ()    Minn 289 oġġezzjoni rilevanti u motivata rrapportati mill-awtoritajiet, 101 (35 %) tqajmu mill-awtoritajiet Ġermaniżi. Ir-rata ta’ suċċess fl-ilħuq ta’ kunsens dwar oġġezzjonijiet rilevanti u motivati tvarja minn 15 % (tal-oġġezzjonijiet imqajma mill-awtoritajiet Ġermaniżi) għal 100 % (tal-oġġezzjonijiet imqajma mill-awtorità Pollakka).

(21)

()    L-Artikoli 64, 65 u 66 tal-GDPR, rispettivament.

(22) ()    Opinjonijiet skont l-Artikolu 64(2) tal-GDPR.

(23)

()    Skont l-Artikolu 65(1)(a) tal-GDPR.

(24) ()    Skont l-Artikolu 66(2) tal-GDPR.

(25) ()    Ara l-kontribuzzjoni 5.3.4 tal-Bord.

(26) ()    Ir-rapport tal-FRA, paġna 36.

(27) ()    Proposta dwar ir-regoli proċedurali, l-Artikolu 5.

(28) ()    Fir-Rumanija, is-26 deċiżjoni kollha li sabu ksur ġew ikkontestati fil-qorti, filwaqt li fin-Netherlands ir-rata ta’ kontestazzjoni kienet ta’ 23 %. Ir-rata ta’ suċċess għall-kontestazzjonijiet kienet l-ogħla fil-Belġju (39 %).

(29) ()    L-awtoritajiet tal-protezzjoni tad-data fil-Ġermanja nedew l-ogħla numru ta’ investigazzjonijiet fuq inizjattiva proprja (7 647), segwiti mill-Ungerija (3 332), l-Awstrija (1 681) u Franza (1 571).

(30) ()    Fl-2022, disa’ awtoritajiet tal-protezzjoni tad-data rċevew aktar minn 2 000 ilment. L-ogħla għadd ta’ lmenti ġew irreġistrati mill-Ġermanja (32 300),mill-Italja (30 880), minn Spanja (15 128), min-Netherlands (13 133), u minn Franza (12 193), filwaqt li l-aktar għadd baxx ġie rreġistrat mil-Liechtenstein (40), mill-Iżlanda (140), u mill-Kroazja (271).

(31) ()    L-awtoritajiet kollha imponew multi amministrattivi, ħlief id-Danimarka, li ma tipprevedix multi amministrattivi. L-ogħla numru ta’ multi ġew imposti fil-Ġermanja (2 106) u fi Spanja (1 596). L-inqas multi ġew imposti fil-Liechtenstein (3), fl-Iżlanda (15) u fil-Finlandja (20).

(32) ()    Ir-rapport tal-FRA, paġna 38.

(33) ()    Ir-rapport tal-FRA, paġni 20 u 23. Ara wkoll il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 17.

(34) ()    L-Artikolu 70(1) tal-GDPR.

(35) ()    Ir-rapport tal-FRA, paġna 64.

(36) ()    Ir-rapport tal-FRA, paġna 67. Fl-2023, l-awtoritajiet Ġermaniżi tal-protezzjoni tad-data ddedikaw l-aktar riżorsi għall-attivitajiet tal-Bord (26 ekwivalenti għal full-time (FTEs)), segwiti mill-Irlanda (16) u minn Franza (12) (kontribuzzjoni tal-Bord).

(37) ()    Ir-rapport tal-FRA, paġna 67.

(38) ()    Ir-rapport tal-FRA, paġna 67; sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(39) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(40) ()    Ara wkoll il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 45.

(41) ()    Ara wkoll il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 34.

(42) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf  

(43) ()    Ara wkoll il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 31(d).

(44) ()    Huma jeħtieġu ċarezza, b’mod partikolari dwar it-tifsira tat-terminu “riċerka xjentifika”, ir-rwol tal-kunsens għall-ipproċessar ta’ data personali għar-riċerka, il-bażi ġuridika rilevanti, u r-rwoli u r-responsabbiltà tal-atturi involuti.

(45) ()    Ara wkoll il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 31(b).

(46) ()    Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafi 27-28.

(47) ()    L-Artikolu 52 tal-GDPR.

(48) ()    Ir-rapport tal-FRA, paġna 31.

(49) ()    Ara t-taqsima 4.4.1 dwar il-kontribuzzjoni tal-Bord, anke għaċ-ċifri assoluti.

(50) ()    Ħames awtoritajiet tal-protezzjoni tad-data biss iqisu li għandhom riżorsi umani adegwati (kontribuzzjoni tal-Bord, paġna 33).

(51) ()    Ir-rapport tal-FRA, paġna 20. Xi awtoritajiet tal-protezzjoni tad-data jissottokuntrattaw ċerti kompiti lil kuntratturi esterni, bħall-immaniġġjar tal-ilmenti, l-analiżi legali u l-analiżi forensika.

(52) ()    Ir-rapport tal-FRA, paġna 24.

(53) ()    Ir-rapport tal-FRA, paġna 22.

(54) ()    Ara t-taqsima 4.4.5 dwar il-kontribuzzjoni tal-Bord.

(55) ()    Kontribuzzjoni tal-Bord, paġna 32.

(56) ()    Ir-Rapport tal-FRA, paġna 48.

(57) ()    Ir-rapport tal-FRA, paġna 45. L-awtoritajiet tal-protezzjoni tad-data jqisu li l-investigazzjonijiet ex officio huma partikolarment importanti, minħabba li l-ilmentaturi jistgħu ma jkunux konxji ta’ ħafna każijiet ta’ ksur tal-GDPR.

(58) ()    Ir-rapport tal-FRA, paġna 8.

(59) ()    Ir-rapport tal-FRA, paġna 39.

(60) ()    Ir-rapport tal-FRA, paġna 41.

(61) ()    Il-Premessa 9 tal-GDPR.

(62) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(63) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(64) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(65) ()    L-Artikoli 6(1)(f) u 6(1)(a) tal-GDPR, rispettivament.

(66) ()    L-Artikolu 22(2) tal-GDPR.

(67) ()    Il-Premessa 4.

(68) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR. 

(69) ()    eż. l-età minima għall-kunsens ta’ minorenni b’rabta mas-servizzi tas-soċjetà tal-informazzjoni (l-Artikolu 8(1) tal-GDPR).

(70) ()    L-Artikolu 8(1) tal-GDPR.

(71) ()    Possibbiltà prevista mill-Artikolu 9(4) tal-GDPR.

(72) ()    L-Artikolu 10 tal-GDPR.

(73) ()    Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 30.

(74) ()    L-Artikolu 36 tal-GDPR.

(75) ()    Ir-rapport tal-FRA, paġna 11.

(76) ()    Il-Belġju (2021/4045) u l-Belġju (2022/2160).

(77) ()    Il-Finlandja (2022/4010) u l-Iżvezja (2022/2022).

(78) ()    B’informazzjoni dwar ir-referenza tal-każ, it-tip ta’ investigazzjoni (fuq inizjattiva proprja jew ibbażata fuq l-ilmenti), sommarju tal-kamp ta’ applikazzjoni tal-investigazzjoni, l-awtoritajiet tal-protezzjoni tad-data kkonċernati, il-passi proċedurali ewlenin meħuda u d-dati, il-miżuri investigattivi jew kwalunkwe miżura oħra meħuda u d-dati.

(79) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=mt&do=groupDetail.groupDetail&groupID=3461  

(80) ()     https://ec.europa.eu/transparency/expert-groups-register/screen/meetings/consult?lang=mt&meetingId=31754&fromExpertGroups=3461  

(81) ()    Il-Kawża C‑319/22, ECLI:EU:C:2023:837.

(82) ()    Il-Kawżi C-184/20, ECLI:EU:C:2022:601; C-252/21, ECLI:EU:C:2023:537.

(83) ()    Il-Kawżi C-683/21, ECLI:EU:C:2023:949; C-604/22, ECLI:EU:C:2024:214; C-231/22, ECLI:EU:C:2024:7.

(84) ()    Il-Kawża C-61/19, ECLI:EU:C:2020:901.

(85) ()    Il-Kawżi C-597/19, ECLI:EU:C:2021:492; C-252/21, ECLI:EU:C:2023:537.

(86) ()    Il-Kawżi C-307/22, ECLI:EU:C:2023:811; C-154/21, ECLI:EU:C:2023:3.

(87) ()    Il-Kawża C-460/20, ECLI:EU:C:2022:962.

(88) ()    Il-Kawża C-300/21, ECLI:EU:C:2023:370; Il-Kawża C-687/21, ECLI:EU:C:2024:72; Il-Kawża C-667/21, ECLI:EU:C:2023:1022.

(89) ()    Il-Kawżi Magħquda C‑26/22 u C‑64/22, ECLI:EU:C:2023:958.

(90) ()    Il-Kawża C-807/21, ECLI:EU:C:2023:950; Il-Kawża C-683/21, ECLI:EU:C:2023:949.

(91) ()    Il-Kawża C‑453/21, ECLI:EU:C:2023:79.

(92) ()    Il-Kawżi C-439/19, ECLI:EU:C:2021:504; C-184/20, ECLI:EU:C:2022:601.

(93) ()    Il-Kawżi C-33/22, ECLI:EU:C:2024:46; C‑272/19, ECLI:EU:C:2020:535.

(94) ()    Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 13.

(95) ()    Kontribuzzjoni tal-Bord, it-taqsima 6.

(96) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en  

(97) ()    Ir-rapport ta’ FRA, paġni 9 u 48.

(98) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(99) ()    L-Artikolu 10, ir-Regolament (UE) 2022/868 (l-Att dwar il-Governanza tad-Data), ĠU L 152, 3.6.2022, p. 1–44.

(100) ()    L-Artikolu 12(5) tal-GDPR.

(101) ()    Madankollu, il-Qorti tal-Ġustizzja ċċarat li s-suġġett tad-data ma huwiex meħtieġ li jiddikjara r-raġunijiet biex jitlob l-aċċess għad-data personali: Il-Kawża C-307/22, ECLI:EU:C:2023:811, il-punt 38.

(102) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR. 

(103) ()    Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafi 27-28.

(104) ()     https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_mt .

(105) ()     Ħaddiema tal-pjattaformi: il-Kunsill jikkonferma l-ftehim dwar regoli ġodda biex jittejbu l-kundizzjonijiet tax-xogħol tagħhom - Consilium (europa.eu) .

(106) ()    Proposta għal Regolament dwar l-Ispazju Ewropew tad-Data dwar is-Saħħa (COM/2022/197 final).

(107) ()    Proposta għal Regolament dwar qafas għall-Aċċess għad-Data Finanzjarja u li jemenda r-Regolamenti (UE) Nru 1093/2010, (UE) Nru 1094/2010, (UE) Nru 1095/2010 u (UE) 2022/2554 (COM/2023/360 final).

(108) ()    Id-Direttiva (UE) 2020/1828 tal-25 ta’ Novembru 2020 dwar azzjonijiet rappreżentattivi għall-protezzjoni tal-interessi kollettivi tal-konsumaturi, u li tħassar id-Direttiva 2009/22/KE - ĠU L 409, 4.12.2020, p. 1–27.

(109) ()    Il-Premessa 38 tal-GDPR.

(110) ()    Rakkomandazzjoni dwar l-iżvilupp u t-tisħiħ ta’ sistemi integrati għall-protezzjoni tat-tfal fl-aħjar interessi tat-tfal: https://commission.europa.eu/strategy-and-policy/policies/justice-and-fundamental-rights/rights-child/combating-violence-against-children-and-ensuring-child-protection_mt .

(111) ()    Ara wkoll il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 31(a).

(112) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR. 

(113) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en .

(114) ()     https://digital-strategy.ec.europa.eu/mt/policies/strategy-better-internet-kids .

(115) ()    Ir-Regolament (UE) 2024/1183 li jemenda r-Regolament (UE) Nru 910/2014 fir-rigward tal-istabbiliment tal-Qafas Ewropew dwar l-Identità Diġitali ĠU L, 2024/1183, 30.4.2024.

(116) ()    Kif rikonoxxut mir-rapport tal-pjattaforma “Fit for Future”, grupp ta’ esperti ta’ livell għoli stabbilit biex jgħin lill-Kummissjoni fl-isforzi tagħha biex tissimplifika l-liġijiet tal-UE u biex tnaqqas il-kostijiet relatati li ma humiex neċessarji: https://commission.europa.eu/law/law-making-process/evaluating-and-improving-existing-laws/refit-making-eu-law-simpler-less-costly-and-future-proof/fit-future-platform-f4f_mt . Ara wkoll is-sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR u l-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 12.

(117) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(118) ()    Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/915 tal-4 ta’ Ġunju 2021 dwar klawżoli kuntrattwali standard bejn il-kontrolluri u l-proċessuri skont l-Artikolu 28(7) tal-GDPR u l-Artikolu 29(7) tal-GDPR (C/2021/3701) - ĠU L 199, 7.6.2021, p. 18–30.

(119) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(120) ()    Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 25.

(121) ()     https://www.edpb.europa.eu/our-work-tools/accountability-tools/register-codes-conduct-amendments-and-extensions-art-4011_mt?f%5B0%5D=coc_scope%3Anational  

(122) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(123) ()     https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf  

(124) ()     https://commission.europa.eu/law/law-topic/data-protection/eu-funding-supporting-implementation-general-data-protection-regulation-gdpr_en  

(125) ()     https://edpb.europa.eu/sme-data-protection-guide/home_en  

(126) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(127) ()    Ara l-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 24; sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(128) ()    L-Artikolu 30(5) tal-GDPR.

(129) ()    Meta l-organizzazzjoni timpjega inqas minn 250 persuna, sakemm l-ipproċessar li twettaq ma jkunx probabbli li jirriżulta f’riskju għad-drittijiet u l-libertajiet tas-suġġetti tad-data, l-ipproċessar ma jkunx okkażjonali, jew l-ipproċessar jinkludi kategoriji speċjali ta’ data kif imsemmija fl-Artikolu 9(1) tal-GDPR jew data personali relatata mal-kundanni u r-reati kriminali msemmija fl-Artikolu 10 tal-GDPR.

(130) ()    Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 26; EDPB 2023 Coordinated Enforcement Action Designation and Position of Data Protection Officers: https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf  

(131) ()    Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR. 

(132) ()    Ara r-rakkomandazzjonijiet fl-Azzjoni ta’ Infurzar Ikkoordinata tal-EDPB.

(133) ()    Ir-Regolament (UE) 2022/2065 tal-Parlament Ewropew u tal-Kunsill tad-19 ta’ Ottubru 2022 dwar Suq Uniku għas-Servizzi Diġitali u li jemenda d-Direttiva 2000/31/KE (l-Att dwar is-Servizzi Diġitali) ĠU L 277, 27.10.2022, p. 1–102.

(134) ()    Ir-Regolament (UE) 2022/1925 (l-Att dwar is-Swieq Diġitali) ĠU L 265, 12.10.2022, p. 1–66.

(135) ()    Ir-Regolament (UE) 2024/1689 (l-Att dwar l-Intelliġenza Artifiċjali) ĠU L, 2024/1689, 12.7.2024.

(136) ()     Ħaddiema tal-pjattaformi: il-Kunsill jikkonferma l-ftehim dwar regoli ġodda biex jittejbu l-kundizzjonijiet tax-xogħol tagħhom - Consilium (europa.eu) .

(137) ()    Ir-Regolament (UE) 2024/900 dwar it-trasparenza u l-immirar tar-reklamar politiku ĠU L, 2024/900, 20.3.2024.

(138) ()    Proposta għal Regolament dwar il-Privatezza u l-Komunikazzjonijiet Elettroniċi - COM/2017/010 final.

(139) ()    Id-Direttiva 2002/58/KE (id-Direttiva dwar il-Privatezza elettronika) - ĠU L 201, 31/07/2002 P. 0037 - 0047

(140)

()    Ir-Regolament (UE) 2024/903 (l-Att dwar l-Ewropa Interoperabbli) ĠU L, 2024/903, 22.3.2024.

(141) ()    Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 31(f).

(142) ()     https://finance.ec.europa.eu/publications/anti-money-laundering-and-countering-financing-terrorism-legislative-package_en .

(143) ()    Ir-Regolament (UE) 2022/868 (l-Att dwar il-Governanza tad-Data) ĠU L 152, 3.6.2022, p. 1–44.

(144) ()    Ir-Regolament (UE) 2023/2854 (l-Att dwar id-Data) ĠU L, 2023/2854, 22.12.2023.

(145) ()     https://www.europarl.europa.eu/doceo/document/TA-9-2024-0087_MT.html .

(146) ()    Ara l-pożizzjoni u s-sejbiet tal-Kunsill, il-punti 40-41; Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(147) ()    Ara, pereżempju, l-Artikolu 37(3) tal-Att dwar id-Data.

(148) ()    Id-Direttiva (UE) 2022/2555 (id-Direttiva NIS 2) ĠU L 333, 27.12.2022, p. 80-152.

(149) ()    Ara l-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafi 18, 40-41 u s-sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(150) ()     Il-Ġermanja stabbiliet “raggruppament diġitali”, li jinkludi regolaturi minn diversi oqsma, bil-għan li jespandu l-kooperazzjoni tagħhom fuq l-aspetti kollha tad-diġitalizzazzjoni u jikkondividu l-għarfien u l-aħjar prattiki: https://www.dataguidance.com/news/germany-bsi-announces-formation-digital-cluster-bonn  

(151) ()     Il-Linji Gwida tal-EDPB 05/2021.

(152) ()     It-Taqsima 2 tal-Linji Gwida tal-EDPB 05/2021.

(153) ()     Il-Kawża C-311/18, ECLI:EU:C:2020:559 (Schrems II).

(154) ()    Schrems II, il-punt 93.

(155) ()    Schrems II, il-punti 96 u 105.

(156) ()    Schrems II, il-punt 131.

(157) ()    Schrems II, il-punt 105.

(158) ()     Ir-Rakkomandazzjonijiet tal-EDPB 02/2020 u r-Referenzjali tal-Adegwatezza, WP 254 rev. 01.

(159) ()     Ir-Rakkomandazzjonijiet tal-EDPB 01/2020, ikkomplementati bir-Rakkomandazzjonijiet 02/2020.

(160) ()     Ara, pereżempju, il-paragrafi 8-13, 32-33 tar-Rakkomandazzjonijiet tal-EDPB 01/2020.

(161) ()     Ara, pereżempju, il-kontribuzzjoni tal-Bord, il-paġni 7-8; Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 36; Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(162) ()    L-implimentazzjoni tal-Komunikazzjoni tal-Kummissjoni “L-Iskambju u l-Protezzjoni tad-Data Personali f’Dinja Globalizzata”, 10.1.2017 (COM(2017) 7 final).

(163) ()     Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/1772, ĠU L 360, 11.10.2021, p. 1–68.

(164) ()    Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2022/254, ĠU L 44, 24.2.2022, p. 1–90.

(165) ()     https://commission.europa.eu/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-2020-08-10_en  

(166) ()    Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni UE 2023/1795, ĠU L 231, 20.9.2023, p. 118–229.

(167) ()     L-Organizzazzjoni Ewropea tal-Privattivi hija organizzazzjoni intergovernattiva stabbilita abbażi tal-Konvenzjoni Ewropea dwar il-Privattivi. Il-kompitu ewlieni tagħha huwa l-għoti ta’ privattivi Ewropej. F’dak il-kuntest, hija tikkoopera mill-qrib mal-kumpaniji u mal-awtoritajiet pubbliċi fl-Istati Membri tal-UE, kif ukoll ma’ istituzzjonijiet u korpi differenti tal-UE.

(168) ()     Kontribuzzjoni tal-Bord, il-paġni 7-8.

(169) ()    L-Artikolu 45(4) u (5) tal-GDPR. Ara wkoll Schrems I, il-punt 76.

(170) ()     Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2019/419, ĠU L 76, 19.3.2019, p. 1–58. Ara wkoll https://ec.europa.eu/commission/presscorner/detail/mt/IP_19_421 . Din id-deċiżjoni kienet tikkostitwixxi l-ewwel deċiżjoni ta’ adegwatezza adottata skont il-GDPR u l-ewwel arranġament ta’ adegwatezza reċiproka.

(171) ()     Rapport tal-Kummissjoni dwar l-ewwel rieżami tal-funzjonament tad-deċiżjoni ta’ adegwatezza għall-Ġappun, 3.4.2023, COM(2023) 275 final (u SWD(2023) 75 final).

(172) ()     Andorra, l-Arġentina, il-Kanada (għall-operaturi kummerċjali), il-Gżejjer Faeroe, Guernsey, Isle of Man, Iżrael, Jersey, New Zealand, l-Iżvizzera, u l-Urugwaj.

(173) ()     Ir-rapport tal-Kummissjoni dwar l-ewwel rieżami tal-funzjonament tad-deċiżjonijiet ta’ adegwatezza adottati skont l-Artikolu 25(6) tad-Direttiva 95/46/KE, 15.1.2024, COM(2024) 7 final (u SWD(2024) 3 final).

(174) ()     https://ec.europa.eu/commission/presscorner/detail/mt/mex_24_1307#11  

(175) ()     Bħall-Arġentina, il-Kolombja, Iżrael, il-Marokk, l-Iżvizzera u l-Urugwaj.

(176) ()     Id-Deċiżjoni ta’ Implimentazzjoni tal-Kummissjoni (UE) 2021/914, ĠU L 199, 7.6.2021, p. 31–61.

(177) ()     Dan inkluda pereżempju l-Opinjoni Konġunta 2/2021 tal-EDPB-EDPS bħala parti mill-proċedura ta’ adozzjoni għall-SCCs.

(178) ()     Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 37, Kontribuzzjoni tal-Bord, paġna 9, Sommarju tar-rispons tal-grupp ta’ esperti ta’ Diversi Partijiet Ikkonċernati tal-GDPR.

(179) ()     https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/new-standard-contractual-clauses-questions-and-answers-overview_en .

(180) ()     Ara, pereżempju, sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(181) ()     F’konformità mal-Artikolu 48(2)(b) tar-Regolament (UE) 2018/1725.

(182) ()     Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 37, Kontribuzzjoni tal-Bord, paġna 9, Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(183) () Il-Linji Gwida tal-EDPB 05/2021, p. 3.

(184) ()     Kif stabbilit ukoll fil-Linji Gwida tal-EDPB 05/2021, it-Taqsima 4.

(185) ()     Kontribuzzjoni tal-Bord, paġna 9, Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(186) ()     Eż. ir-Renju Unit ( https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf ) u l-Iżvizzera ( https://www.edoeb.admin.ch/edoeb/en/home/datenschutz/arbeit_wirtschaft/datenuebermittlung_ausland.html ).

(187) ()     Eż. New Zealand ( https://privacy.org.nz/responsibilities/your-obligations/disclosing-personal-information-outside-new-zealand/ ) u l-Arġentina ( https://servicios.infoleg.gob.ar/infolegInternet/anexos/265000-269999/267922/norma.htm ).

(188) ()     Ara https://rm.coe.int/t-pd-2022-1rev10-en-final/1680abc6b4 ; https://www.redipd.org/sites/default/files/2023-02/anexo-modelos-clausulas-contractuales-en.pdf u https://asean.org/wp-content/uploads/3-ASEAN-Model-Contractual-Clauses-for-Cross-Border-Data-Flows_Final.pdf .

(189) ()     https://commission.europa.eu/document/download/df5cd5a0-7387-4a2a-8058-8d2ccfec3062_en?filename=%28Final%29%20Joint_Guide_to_ASEAN_MCC_and_EU_SCC.pdf .

(190) ()     Kontribuzzjoni tal-Bord, paġna 9.

(191) ()     Ir-Rakkomandazzjonijiet tal-EDPB 1/2022.

(192) ()     Kontribuzzjoni tal-Bord, paġna 9.

(193) ()     Sommarju tar-rispons tal-grupp ta’ esperti ta’ diversi partijiet ikkonċernati tal-GDPR.

(194) ()    Il-linji Gwida 07/2022 u l-Linji Gwida 04/2021 tal-EDPB.

(195) ()     Il-Linji Gwida tal-EDPB 2/2020.

(196) ()     It-Tieni Protokoll Addizzjonali għall-Konvenzjoni dwar iċ-Ċiberkriminalità dwar il-kooperazzjoni msaħħa u d-divulgazzjoni ta’ evidenza elettronika (CETS Nru. 224).

(197) ()     https://commission.europa.eu/news/eu-us-announcement-resumption-negotiations-eu-us-agreement-facilitate-access-electronic-evidence-2023-03-02_en .

(198) ()     Proposta tal-Kummissjoni għal Deċiżjoni tal-Kunsill dwar l-iffirmar, f’isem l-Unjoni Ewropea, ta’ ftehim bejn il-Kanada u l-Unjoni Ewropea dwar it-trasferiment u l-ipproċessar ta’ data tar-Reġistru tal-Ismijiet tal-Passiġġieri (PNR), COM/2024/94 final.

(199) ()     Dan kien jikkonċerna konsultazzjonijiet organizzati minn, pereżempju, l-Awstralja, iċ-Ċina, ir-Rwanda, l-Arġentina, il-Brażil, l-Etjopja, l-Indoneżja, il-Perù, il-Malażja u t-Tajlandja.

(200) ()     Pereżempju, quddiem il-korpi parlamentari taċ-Ċilì, tal-Ekwador u tal-Paragwaj.

(201) () Dan kien jinkludi wkoll l-organizzazzjoni ta’ seminars u żjarat ta’ studju, pereżempju mal-Kenja, l-Indoneżja u Singapore.

(202) ()     Kontribuzzjoni tal-Bord, paġna 8; Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 38.

(203) ()     Kontribuzzjoni tal-Bord, paġna 8.

(204) ()     Il-pożizzjoni u s-sejbiet tal-Kunsill, il-paragrafu 39.

(205) ()     Protokoll li jemenda l-Konvenzjoni għall-Protezzjoni ta’ Individwi fir-rigward tal-Ipproċessar Awtomatiku ta’ Data Personali (CETS Nru. 223).

(206) ()    Id-Danimarka.

(207) ()    Il-Belġju, iċ-Ċekja, il-Greċja, l-Irlanda, il-Latvja, il-Lussemburgu, in-Netherlands u l-Iżvezja.

(208) ()     Ara, pereżempju, https://www.g7germany.de/resource/blob/974430/2062292/fbdb2c7e996205aee402386aae057c5e/2022-07-14-leaders-communique-data.pdf?download=1  

(209) ()     https://www.edps.europa.eu/data-protection/our-work/edps-worldwide/data-protection-and-international-organisations_en