In tutto il mondo, le aziende e gli individui sono ormai a conoscenza del GDPR. Si tratta di un quadro legislativo che disciplina la raccolta e l’uso dei dati personali dei cittadini dell’UE. Ciò che spesso viene meno apprezzato è il ruolo svolto dai singoli Stati membri nella protezione dei dati.
È qui che entra in gioco l’AEPD spagnolo.
Di seguito discuteremo cos’è l’AEPD, i suoi effetti sulle aziende e come si collega al GDPR.
Che cos'è l'AEPD?
L’Agenzia spagnola per la protezione dei dati, nota come AEPD (Agencia Española de Protección de Datos), ha il compito di regolamentare la privacy dei dati all’interno dei confini spagnoli. Garantisce che la raccolta, la conservazione e l’utilizzo dei dati personali avvengano in conformità con la legislazione spagnola e dell’UE. Inoltre, l’AEPD agisce anche per informare i cittadini spagnoli sui loro diritti sui dati, nonché sui modi in cui l’AEPD può aiutare.
L’AEPD ha sede a Madrid ed è un’agenzia indipendente del governo spagnolo. È stato istituito il 26 marzo 1999, nel contesto dell’articolo 18, paragrafo 4, della Costituzione spagnola del 1978:
“La legge limiterà l’uso dell’informatica al fine di proteggere l’onore e la privacy personale e familiare dei cittadini spagnoli, nonché il pieno esercizio dei loro diritti”.
Questo rimane il principio guida fino ai giorni nostri.
Quali sono le principali responsabilità dell'AEPD?
Sebbene l’AEPD sia un’agenzia governativa, gode di “assoluta indipendenza dalla Pubblica Amministrazione”. Ciò significa che ha piena autorità sulla protezione dei dati in Spagna. Le sue responsabilità includono:
- Sensibilizzazione sulle attività dell’AEPD e sul diritto alla protezione dei dati personali
- Fornire assistenza diretta in risposta alle domande dei cittadini spagnoli
- Proteggere i diritti delle persone di accesso, rettifica, cancellazione e opposizione alla raccolta e all’utilizzo dei dati
- Registro dei sistemi di deposito
- Ispezione della raccolta dei dati e gestione delle sanzioni.
- Cooperazione con agenzie internazionali e comunità autonome intranazionali (tra cui Catalogna, Paesi Baschi e Madrid)
- Valuta i rischi emergenti, tra cui le tendenze dei dati personali su Internet, la videosorveglianza dei datori di lavoro, la biometria, l’utilizzo di Internet e altro ancora.
Quali sono le agenzie regionali spagnole per la protezione dei dati?
Oltre all’AEPD, esiste l’Autorità catalana per la protezione dei dati e l’Agenzia basca per la protezione dei dati. Dal 1995 al 2013 è esistita anche l’Agenzia per la protezione dei dati della Comunità di Madrid.
A cosa si applica il PDPA?
Come altre normative sulla protezione dei dati, come il GDPR del Regno Unito e dell’UE e la LGPD del Brasile, il PDPA contiene “effetti extraterritoriali”. Ciò significa che le organizzazioni che non hanno sede a Singapore possono trovarsi obbligate a rispettare il PDPA se un’organizzazione raccoglie, utilizza o divulga dati all’interno di Singapore.
Ad esempio, se un’azienda non singaporiana – come Facebook – raccoglie dati da singaporiani online, allora è soggetta al PDPA. Dovrà inoltre affrontare sanzioni nel caso in cui si riscontri che non è conforme al regolamento.
In che modo l'AEPD si collega all'UE?
La Carta dei diritti fondamentali dell’UE stabilisce che tutti i cittadini dell’UE hanno diritto alla protezione dei propri dati personali. Con l’approvazione del GDPR è stata messa in atto un’ulteriore protezione dei dati: la più rigorosa a livello mondiale.
Originariamente, l’AEPD è stata istituita per proteggere i dati personali ai sensi dell’articolo 8, paragrafo 3, della Carta dei diritti fondamentali dell’UE. Prima del GDPR, la direttiva europea sulla protezione dei dati forniva standard per guidare la stesura della legislazione in ogni stato membro. Questa responsabilità è stata poi incorporata nell’UE con il GDPR.
Questa legislazione funziona in conformità con il Comitato europeo per la protezione dei dati (EDPB). Si tratta di un organismo europeo indipendente creato per garantire l’applicazione coerente delle norme sulla protezione dei dati in tutta l’UE.
Questo perché, mentre l’UE sviluppa il GDPR e analizza le tendenze in materia di protezione dei dati, in ultima analisi non è in grado di far rispettare la legge. Gli Stati membri ricevono orientamenti generali dall’EDPB sui concetti chiave del GDPR e della direzione relativa alle autorità di contrasto. L’EDPB è composto da rappresentanti delle autorità nazionali di protezione dei dati degli Stati membri dell’UE, compresa l’AEPD.
Ad esempio, l’AEPD ha recentemente pubblicato linee guida aggiornate sui cookie dopo che l’EDPB ha pubblicato nuove linee guida.
Casi notevoli dell'AEPD
Il caso più importante portato avanti dall’AEPD è comunemente indicato come Google v. Spagna. Anche se il nome effettivo è Google Spain v. AEPD & Mario Costeja.
Il contesto: un giornale spagnolo ha pubblicato due annunci sulla vendita forzata di immobili derivanti da debiti previdenziali. Mario Costeja González, proprietario di una delle proprietà citate negli annunci, ha contattato il giornale chiedendo che il suo nome fosse rimosso. Il giornale rifiutò, poiché la storia era stata pubblicata dal Ministero del Lavoro e degli Affari Sociali spagnolo. Costeja ha quindi contattato Google, chiedendo la cancellazione dei link dell’annuncio. Google Spain si è opposta alla loro rimozione, il che ha portato Costeja e AEPD a intentare una causa contro Google Spain.
Si ritiene che il caso ruoti attorno al “diritto all’oblio”. Tuttavia, questo è sbagliato.
Nella sentenza, il tribunale non ha concesso esplicitamente tale diritto. Piuttosto, i motori di ricerca erano obbligati a rimuovere i risultati di ricerca quando “apparivano inadeguati, irrilevanti o non più pertinenti o eccessivi alla luce del tempo trascorso”.
Ciononostante, questo è stato uno dei motivi fondamentali per cui è stata proposta l’inclusione del diritto all’oblio nel GDPR. Prima di essere cambiato in cancellazione in circostanze specifiche, secondo la sentenza del giudice spagnolo.
Conclusione
L’AEPD è l’agenzia ufficiale per la protezione dei dati del governo spagnolo. Come tutti gli Stati membri, è l’autorità nazionale responsabile dell’attuazione del GDPR e di altre leggi pertinenti. Tuttavia, ha anche ulteriori responsabilità sancite dalla Costituzione spagnola e dalla legge spagnola per informare i cittadini spagnoli sui loro diritti in materia di protezione dei dati.
Supponiamo che tu sia un’azienda che viola il GDPR in relazione a un cittadino spagnolo. In tal caso, è probabile che sia l’AEPD a gestire il tuo caso. Pertanto, se sei un’azienda che si rivolge allo spagnolo, è essenziale essere consapevoli delle basi di chi e cosa sia l’AEPD.
Si spera che, dopo aver letto questo articolo, ora tu abbia questa comprensione.
Per ulteriori informazioni, si rimanda al sito web dell’AEPD.
Fonti:
https://www.aepd.es/es
https://en.wikipedia.org/wiki/Google_Spain_v_AEPD_and_Mario_Costeja_Gonz%C3%A1lez
https://en.wikipedia.org/wiki/Spanish_Data_Protection_Agency
https://inplp.com/latest-news/article/the-spanish-data-protection-authority-aepd-publishes-its-annual-report-summarizing-last-years-activities-including-enforcement-cases/
https://medium.com/golden-data/google-v-spain-the-right-to-be-forgotten-aaee50dae43c
https://www.linklaters.com/en/insights/data-protected/data-protected—spain
https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en