Decisione - 10/07/2023 - n. 1795 art. 1Ai fini dell'articolo 45 del regolamento (UE) 2016/679, gli Stati Uniti d'America garantiscono un livello di protezione adeguato dei dati personali trasferiti dall'Unione alle organizzazioni presenti negli Stati Uniti che figurano nell'elenco degli aderenti al quadro per la protezione dei dati personali, tenuto e pubblicato dal Dipartimento del Commercio degli Stati Uniti in conformità dell'allegato I, parte I, punto 3. InquadramentoCon l'adozione da parte della Commissione europea della decisione di esecuzione 4745/2023 del 10 luglio 2023 relativa al livello adeguato di protezione dei dati personali nell'ambito del quadro UE-USA sulla protezione dei dati personali si conclude un lungo iter avviato a seguito della decisione Corte di giustizia del 16 luglio 2020 cd. Schrems II, che come noto ha invalidato il precedente accordo “EU-US Privacy Shield. I lavori tesi ad addivenire ad una nuova decisione di adeguatezza erano stati avviati all'indomani della suddetta decisone del giudice del Lussemburgo del luglio 2020 al fine di superare le obiezioni da questo sollevate in merito alle garanzie previste dal precedente accordo(l). Il Regolamento generale sulla protezione dei dati, di seguito RGPD, prevede infatti all'art. 45, che con il riconoscimento dell'adeguatezza i dati personali possono circolare liberamente dallo Spazio economico europeo (SEE) verso un paese terzo, senza essere soggetti a ulteriori condizioni o autorizzazioni in modo da consentire alle imprese statunitensi che aderiranno al Data Privacy Framework di ricevere dati personali dall'Unione europea senza la necessaria adozione di garanzie ulteriori. I negoziati avviati all'indomani della pubblicazione della decisone del 16 luglio 2020 si sono conclusi, nel marzo 2022, con un accordo di principio su un nuovo quadro UE-USA in materia di protezione dei dati annunciato dalla presidente della Commissione europea Von der Leyen e dal presidente statunitense Biden. I negoziati hanno portato ad un nuovo contesto normativo statunitense posto in essere a seguito della firma da parte del Presidente degli Stati Uniti, il 7 ottobre 2022, dell'Executive Order n. 14086, dal titolo “Migliorare le salvaguardie per l'attività di signal intelligence statunitense” (di seguito, “EO 14086”), contestualmente è stato adottato dal General attorney, il Procuratore Generale, il Regolamento (28CFRPart302). Questi interventi hanno introdotto nuove garanzie e limitazioni all'accesso da parte delle agenzie di intelligence statunitensi ai dati trasferiti dall'UE e istituito un meccanismo di ricorso, con caratteristiche di indipendenza e imparzialità, per gestire e risolvere i reclami di individui i cui dati siano stati trasferiti in USA dall'UE/SEE. Questi interventi sono mirati a portare limitazioni e tutele per le attività di sorveglianza in quanto proprio la Sentenza Schrems II aveva sottolineato come “gli interessati i cui dati vengono trasferiti nel paese terzo in questione [devono] avere diritti effettivi e applicabili” (paragrafi 181-182). Nella medesima sentenza il Giudice comunitario aveva poi indicato, Paragrafo 174 che ai sensi dell'art 52, par 1, prima frase, della Carta, qualsiasi limitazione all'esercizio dei diritti e delle libertà riconosciuti dalla Carta dei diritti fondamentali dell'UE (nota come Carta di Nizza, (2000/c 364/01) proclamata una prima volta il 7 dicembre 2000 e successivamente in una versione adattata, il 12 dicembre 2007 da Parlamento) deve essere prevista dalla legge e rispettare l'essenza di tali diritti e libertà. Ai sensi dell'art 52, par 1, seconda frase, della Carta, fermo restando il principio di proporzionalità, possono essere apportate limitazioni a tali diritti e libertà solo se sono necessarie e rispondono effettivamente a obiettivi di interesse generale riconosciuti dall'Unione o alla necessità di proteggere i diritti e la libertà degli altri. Nel paragrafo 180 della medesima sentenza viene evidenziato come [l'articolo 702 del FISA- Foreign Intelligence Surveillance Act 1978] “non può garantire un livello di protezione sostanzialmente equivalente a quello garantito dalla Carta, come interpretato dalla Corte giurisprudenza ricordata ai punti 175 e 176 supra, secondo la quale un fondamento normativo che consente un'ingerenza nei diritti fondamentali deve, al fine di soddisfare le esigenze del principio di proporzionalità, definire esso stesso la portata della limitazione all'esercizio della diritto in questione e stabiliscono regole chiare e precise che disciplinino la portata e l'applicazione della misura in questione e impongano garanzie minime”. Paragrafo 194: gli interessati devono avere la possibilità di adire un giudice indipendente e imparzialeper avere accesso ai propri dati personali, ovvero per ottenerne la rettifica o la cancellazione tali dati. Paragrafo 195: [...] l'Ombudspersonè nominato dal Segretario di Stato ed è parte integrante del Dipartimento di Stato americano, non c'è [...] nulla in tale decisione che indichi che il licenziamento o la revoca della nomina dell'Ombudsperson sia accompagnato da eventuali garanzie particolari, tali da minare l'indipendenza del difensore civico dall'esecutivo [...]. Paragrafo 196: [...] non vi è nulla in tale decisione che indichi che tale difensore civico ha il potere di adottare decisioni che sono vincolanti per tali servizi di intelligence e non menziona eventuali salvaguardie legali che accompagnerebbero tale impegno politico (cd. Privacy shield) su cui gli interessati potrebbero fare affidamento. Tali modifiche ed innovazioni avevano il fine primario di limitare la raccolta dei dati (necessità, proporzionalità, raccolta mirata o in blocco) e garantire una corretta gestione dei dati (ad es. conservazione, utilizzo e condivisione dei dati). Procedura di adozioneLa Commissione europea il 13 dicembre, a seguito degli interventi normativi da parte statunitense, ha avviato il processo di adozione di una decisione di adeguatezza del “Quadro sulla privacy dei dati UE-USA” (“EU-US Data Protection Framework”, di seguito anche “DPF UE-USA”). Questo è basato su un sistema di autocertificazione attraverso il quale le società ed organizzazioni statunitensi che intenderanno avvalersene si impegnano a rispettare una serie di Principi sulla privacy – i cd. “Data Privacy Framework UE-USA Principles” – indicati dalla Federal Trade Commission (Dipartimento del Commercio degli Stati Uniti). Il conseguente processo per l'adozione prevede innanzitutto il parere del Comitato europeo per la protezione dei dati (European Data protection Board) e la procedura di cui all'articolo 5 del regolamento (UE) n. 182/2011 con l'assenso di un comitato composto da rappresentanti degli Stati membri dell'UE fermo restando il diritto del Parlamento europeo di controllare le decisioni di adeguatezza. Il Comitato europeo per la protezione dei dati (Cepd) il 28 febbraio 2023 ha rilasciato il proprio parere (n. 5/2023) a cui è seguita la risoluzione del Parlamento europeo l'11 maggio (2023/2501(RSP)). In entrambi i casi, pur apprezzando i notevoli miglioramenti del nuovo contesto normativo statunitense, sono stati evidenziati alcuni aspetti poco chiari della proposta anche relativamente al quadro di garanzie fornite dall'ordinamento statunitense. Successivamente la Commissione europea, nel giugno 2023, ha presentato agli Stati membri, nel quadro della procedura di comitologia prevista dall'art. 93 del GDPR, una proposta di decisione emendata, ottenendo il parere favorevole del Comitato europeo per la protezione dei dati in data 6 luglio. Prima di emettere la decisione, la Commissione ha atteso (come suggerito dal Cepd nel proprio parere), l'adozione da parte statunitense di alcuni atti necessari a rendere pienamente efficace l'EO 14086. In particolare, la Commissione ha atteso l'adozione di alcuni “implementing acts” sulla qualificazione, con provvedimento del ministro della giustizia statunitense adottato il 30 giugno 2023, degli Stati membri appartenenti all'Unione europea e allo Spazio economico europeo come “soggetti qualificati” ai sensi della sezione 3, lettera f), Executive Order 14086 al fine di consentire agli individui, i cui dati sono trasferiti da quest'area, di poter godere del meccanismo di ricorso (redress)previsto dal DPF UE-USA nel caso di accesso ai dati da parte delle autorità di intelligence e l'adozione e la pubblicazione, il 3 luglio 2023, delle procedure delle autorità di intelligence che traducono a livello operativo i principi e le salvaguardie introdotte dall'Executive Order 14086 (EO), con particolare riguardo all'applicazione, da parte delle stesse, dei principi di proporzionalità e necessità. Dette procedure forniscono, tra l'altro, chiarimenti in ordine al tipo di documentazione che le singole autorità di intelligence sono tenute a conservare per consentire le verifiche dell'attività svolta, alle modalità per segnalare eventuali “incidenti” nel trattamento e nella conservazione dei dati, dettagli sulle modalità di cooperazione delle stesse nell'ambito del nuovo meccanismo di redress previsto dall'EO. La nuova decisione di adeguatezzaLa decisione di esecuzione relativa all'adeguatezza del nuovo Framework, ai sensi dell'articolo 45, paragrafo 2, del RGPD, prevede che questa debba basarsi su un'analisi puntuale delle norme relative alle garanzie di protezione dei dati che devono essere rispettate dagli importatori che aderiscono al sistema di autocertificazione DPF UE-USA (e, in particolare, dei Principi del DPF UE-USA, contenuti nell'allegato 1 del progetto di decisione) e delle limitazioni e garanzie in materia di accesso da parte delle autorità pubbliche statunitensi, in particolare per finalità di law enforcement e di sicurezza nazionale, ai dati personali trasferiti dall'UE. Al progetto di decisione sono allegati otto documenti: a)I Principi del Data Privacy Framework UE-USA (Quadro sulla privacy dei dati UE-USA), compresi i Principi supplementari e l'allegato I dei Principi (vale a dire, un allegato che fornisce i termini in base ai quali le organizzazioni che aderiscono al Data Privacy Framework sono obbligate a decidere sui reclami relativi ai dati personali trattati nel rispetto di questi principi); b) Una lettera dell'U.S. Secretary of Commerce Gina Raimondo che presenta l'insieme dei documenti relativi al Data Privacy Framework; c) una lettera del Dipartimento dell'Amministrazione del Commercio Internazionale che è competente per l'amministrazione del Programma “Data Privacy Framework”, in cui si descrivono gli impegni che il Dipartimento ha posto in essere per garantire che il quadro sulla privacy dei dati UE-USA funzioni in modo efficace; d) una lettera della Federal Trade Commission che descrive le proprie attività di enforcement dei Principi; e) una lettera del Dipartimento dei Trasporti che descrive le proprie attività di enforcement dei Principi; f) una lettera preparata dal Dipartimento di Giustizia per quanto riguarda le garanzie e le limitazioni all'accesso da parte delle autorità per scopi di law enforcement e di interesse pubblico; g) una lettera preparata dall'Ufficio del Direttore dell'Intelligence Nazionale per quanto riguarda le salvaguardie e limitazioni applicabili alle autorità di sicurezza nazionale degli Stati Uniti; h) un glossario delle abbreviazioni utilizzate. Entrando nel merito del quadro normativo relativo al trattamento dei dati da parte delle società (ossia, gli importatori) iscritte nella lista e quindi autocertificate e che riceveranno i dati personali dall'Unione (sia in qualità di titolari del trattamento che di responsabili), non si rinviene nessuna novità sostanziale in merito alle garanzie contenute nel nuovo DPF EU-USA rispetto a quelle già previste nel precedente accordo Privacy Shield. Restano immutati infatti i Principi e le regole per potersi autocertificare, compresa la necessaria sottoposizione al controllo da parte della Federal Trade Commission o del Dipartimento dei Trasporti. È sicuramente da menzionare invece il chiarimento in ordine all'applicabilità dei Principi del Framework anche ai dati ‘pseudonimizzati' trasferiti per finalità di ricerca, vista la loro natura di dato personale (para. 11 del progetto di decisione). Novità rispetto al precedente quadro emergono in merito alle limitazioni e alle garanzie in caso di accesso da parte delle autorità di law enforcement e di intelligence ai dati trasferiti e sull'esercizio dei diritti riconosciuti agli interessati. In particolare, la decisione di adeguatezza tiene in considerazione il nuovo scenario rappresentato in primis dall'“EO 14086”che sembra rispondere alle due principali obiezioni della Corte di giustizia avanzate nel caso Schrems II, (ossia, possibilità di accesso indiscriminato ai dati trasferiti dall'UE e mancanza di una tutela giurisdizionale effettiva per gli interessati in tali casi) attraverso: a) l'introduzione di nuove garanzie e l'imposizione di limitazioni all'accesso da parte delle agenzie di intelligence statunitensi ai dati trasferiti dall'UE; b) l'istituzione di un meccanismo di ricorso, con caratteristiche di indipendenza e imparzialità, per gestire e risolvere i reclami di individui i cui dati siano stati trasferiti in USA dall'UE, anche mediante la creazione di un “Tribunale di revisione della protezione dati”, il cui funzionamento è stato delineato con l'adozione di un regolamento del Procuratore generale degli Stati Uniti (Regulation AG). Più nel dettaglio, per gli individui i cui dati personali sono trasferiti dall'UE negli Stati Uniti, attraverso uno qualsiasi degli strumenti di trasferimento dei dati previsti dall'art. 46 del RGPD (ivi inclusa la decisione di adeguatezza), l'EO 14086 prevede: garanzie vincolanti che limitano l'accesso ai dati da parte delle autorità di intelligence statunitensi a quanto “necessario e proporzionato” per proteggere gli obiettivi di sicurezza nazionale individuati dal Presidente USA; maggiore controllo delle attività dei servizi di intelligence statunitensi per garantire il rispetto delle limitazioni alle attività di sorveglianza; e l'istituzione di un meccanismo di ricorso (applicabile agli individui i cui dati provengano da uno Stato o un'organizzazione riconosciuta come “qualificata” dal Procuratore generale USA) che consente agli individui i cui dati siano stati trasferiti e che ritengano che possano essere stati oggetto di accesso da parte delle autorità di intelligence (senza la necessità di portarne alcuna prova) di presentare un reclamo (per il tramite delle autorità europee di protezione dei dati) al Civil Liberties Protection Officer del Director of National Intelligence (ODNI CLPO) che potrà esercitare i propri poteri di indagine e decidere sul reclamo, dando notizia dell'esito al reclamante (con una formula ampia che non consente di dare conferma circa l'eventuale attività di intelligence su quei dati). Il meccanismo prevede anche il diritto per l'interessato di adire la neo-istituita Data Protection Review Court (DPRC) (il “Tribunale di revisione della protezione dei dati” di cui sopra), un tribunale amministrativo di controllo composto da almeno sei giudici nominati dal Procuratore generale – in consultazione con il Privacy and Civil Liberties Oversight Board (PCLOB), il Segretario del Commercio e il Direttore delle National Intelligence – tra persone che non hanno già incarichi governativi. La DPRC può rivedere la decisione presa dal CLPO e ordinare ogni misura che ritenga opportuna per rimediare ad una violazione laddove la identifichi (ivi compreso, per esempio, un ordine di cancellazione dei dati) attraverso l'adozione di decisioni correttive vincolanti. Al fine di introdurre garanzie in termini di equo e giusto processo, per rafforzare ulteriormente il controllo della DPRC, in ciascun caso la DPRC sceglierà un avvocato speciale, il quale dovrebbe garantire che gli interessi del reclamante siano rappresentati (attraverso quanto esposto dallo stesso nel reclamo e attraverso alcune domande che l'avvocato potrà eventualmente sottoporre al reclamante per il tramite dell'autorità di protezione dei dati) e che la DPRC stessa sia ben informata degli aspetti di fatto e di diritto della causa. La decisone contiene, in analogia alla ultima generazione di decisioni di adeguatezza (Giappone, Corea del Sud, Regno Unito) la cd. “sunset clause” cioè che la decisione sarà oggetto di revisione periodica, in questo caso dopo un anno dalla sua notifica agli Stati membri e, successivamente, ogni quattro anni (art. 3 (4) della decisione). Effetti della decisione rispetto ai dati trasferiti in USA nell'ambito della decisone medesimaCon l'adozione della decisione, la Commissione ha stabilito, ai sensi dell'articolo 45 del RGPD, che gli Stati Uniti garantiscono un livello adeguato di protezione dei dati personali trasferiti dal SEE alle organizzazioni statunitensi incluse nell'“elenco del Quadro sulla Privacy dei dati” UE-USA (“DPF List”). Tale elenco è mantenuto e reso pubblico dal Dipartimento del Commercio degli Stati Uniti, conformemente alla sezione I.3 dell'allegato I della decisione medesima. L'attività di enforcement è invece di competenza della Federal Trade Commission (FTC). La decisione è immediatamente efficace e questo significa che, a partire dal 10 luglio 2023, i trasferimenti dalla UE, anzi dallo SEE, alle organizzazioni stabilite negli Stati Uniti che sono incluse nella DPF List (analogamente a quanto succedeva con il Privacy Shield) possono basarsi sulla decisione di adeguatezza, senza la necessità di utilizzare gli altri strumenti di trasferimento previsti dall'art. 46 del GDPR e senza dover porre in essere alcuna valutazione della legislazione del paese terzo, né conseguentemente adottare eventuali misure supplementari (cfr. le raccomandazioni del CEPD n. 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello UE di protezione dei dati personali). Circa l'ambito di applicazione della decisione, va sottolineato che la stessa non può essere invece utilizzata per i trasferimenti verso gli USA effettuati dalle organizzazioni stabilite fuori dall'UE i cui trattamenti ricadano nell'ambito di applicazione dell'art. 3, paragrafo 2, del RGPD. La decisione non prevede limiti di tempo per la sua efficacia, ma la Commissione monitorerà costantemente le novità normative negli Stati Uniti e riesaminerà regolarmente la decisione di adeguatezza, già a partire dall'anno successivo. L’EDPB ha recentemente pubblicato, nel corso del 2024, una serie di documenti di accompagnamento e di attuazione del DPF. Un primo gruppo è stato pubblicato il 24 aprile, composto da procedure e modelli di reclamo/appello: · Information Note on the Data Protection Framework redress mechanism for national security purposes; · Rules of Procedure for the “Informal Panel of EU DPAs” according to the EU-US Data Privacy Framework; · EU-US Data Privacy Framework Template Complaint Form for Submitting Commercial Related Complaints to EU DPAs; · Rules of Procedure on the Data Protection Framework redress mechanism for national security purposes; · Template Complaint Form to the U.S. Office of the Director of National Intelligence’s Civil Liberties Protection Officer (CLPO). Un elemento importante del quadro giuridico statunitense su cui si basa la decisione di adeguatezza, riguarda l'Executive Order 14086 - Enhancing Safeguards for United States Signals Intelligence Activities (“E.O. 14086”), firmato dal Presidente degli Stati Uniti Biden il 7 ottobre 2022 e accompagnato da regolamenti adottati dal Procuratore Generale degli Stati Uniti, nonché da politiche e procedure pertinenti adottate dall'Ufficio del Direttore dell'Intelligence Nazionale degli USA e dalle agenzie di intelligence statunitensi. I documenti succitati esplicano come presentare reclamo da parte degli interessati europei, di fronte alle proprie autorità nazionali, per violazione del DPF da parte di imprese statunitensi iscritte. Il reclamo sarà poi trasmesso negli Stati Uniti e valutato dal Civil Liberties Protection Officer (“CLPO”). La relativa decisione potrà essere appellata innanzi alla Data Protection Review Court (“DPRC”) degli USA, sempre tramite la propria autorità di controllo. Un secondo gruppo è stato pubblicato il 16 luglio 2024, composto da due gruppi di FAQ: · EU-US Data Privacy Framework FAQ for European individuals: in queste Q&A indirizzate agli interessati, incentrate soprattutto sul reclamo esplicato nel precedente gruppo di documenti del 24 aprile; · EU-US Data Privacy Framework FAQ for European businesses: è in questo documento che troviamo le precisazioni più interessanti, per le imprese del SEE, tra cui: - il DPF concerne aziende USA soggette ai poteri investigativi ed esecutivi della Federal Trade Commission (“FTC”) o del Dipartimento dei trasporti degli Stati Uniti (“DoT”); ergo: organizzazioni no profit, banche, assicurazioni e fornitori di servizi di telecomunicazione non rientrano nella giurisdizione dell'FTC o del DoT e pertanto non possono autocertificarsi ai sensi del DPF; - un esportatore di dati deve accertarsi che l'azienda negli Stati Uniti sia in possesso di un'autocertificazione attiva (infatti devono essere rinnovate annualmente) e che tale certificazione copra i dati in questione (in particolare se copre o meno i dati delle risorse umane), tramite il portale online dedicato (https://www.dataprivacyframework.gov/list) ove rinvenire altresì un registro delle imprese che sono state cancellate dall'elenco (c.d. “partecipanti inattivi”, con l'indicazione dei motivi della loro cancellazione) che, comunque sia, devono continuare ad applicare i principi del DPF ai dati personali ricevuti durante la partecipazione al programma, per tutto il tempo in cui conservano tali dati; - in caso di trasferimenti a società che sono filiali di una società madre certificata DPF, gli esportatori di dati devono verificare se la certificazione della società madre copre anche la società controllata in questione; - nel caso di sub-responsabili, questi deve fornire lo stesso livello di protezione dei dati richiesto dal DPF e gli stessi obblighi di protezione dei dati stabiliti nel DPF. Trasferimenti di dati personali al di fuori dell'ambito di applicazione della decisione di adeguatezzaI trasferimenti a organizzazioni negli Stati Uniti che non siano incluse nella DPF List non possono basarsi sulla decisione sull'adeguatezza e richiederanno l'adozione di adeguate garanzie in materia di protezione dei dati, come previsto dagli articoli 46 e ss. del RGPD (SCC, BCR, etc.). A tale riguardo, tuttavia, come evidenziato dal Cepd nel documento informativo adottato il 18 luglio scorso (https://edpb.europa.eu/our-work-tools/our-documents/other/information-note-data-transfers-under-gdpr-united-states-after_en), tutte le garanzie messe in atto dal governo degli Stati Uniti nel settore della sicurezza nazionale (compreso il meccanismo di ricorso) si applicano a tutti i dati trasferiti negli Stati Uniti, indipendentemente dallo strumento di trasferimento utilizzato e dall'inclusione nella DPF List dell'organizzazione statunitense destinataria dei dati. Pertanto, nel valutare, alla luce della legislazione nazionale del paese dell'importatore, l'efficacia dello strumento di trasferimento prescelto, gli esportatori di dati in UE potranno in ogni caso tenere conto della valutazione effettuata dalla Commissione nella decisione sull'adeguatezza e, in particolare, delle garanzie in termini di redress nella stessa adottate. Meccanismi di tutela per gli interessati in caso di dati trasferiti negli USAA seguito della decisione sull'adeguatezza, le persone nell'UE/SEE i cui dati sono trasferiti negli Stati Uniti hanno a loro disposizione diversi meccanismi di ricorso se ritengono che l'organizzazione statunitense destinataria dei dati non rispetti il DPF, tra cui il ricorso, gratuito, a organismi indipendenti di risoluzione delle controversie o la possibilità (e necessità, in caso di trattamenti di dati relativi a dipendenti) di rivolgersi alle autorità europee di protezione dei dati se tale organizzazione ha accettato di sottoporsi alle loro decisioni. Inoltre, indipendentemente dallo strumento di trasferimento utilizzato per trasferire i dati personali negli Stati Uniti, gli interessati nell'UE possono presentare un reclamo alla propria autorità nazionale per la protezione dei dati per avvalersi del nuovo meccanismo di ricorso nel settore della sicurezza nazionale. L'autorità per la protezione dei dati, a sua volta, assicurerà che il reclamo sia consegnato al Cepd, che lo trasmetterà alle autorità statunitensi competenti a gestire il reclamo. Inoltre, la medesima autorità garantirà che all'interessato siano fornite informazioni relative al trattamento dei reclami, anche per quanto riguarda il relativo esito. Affinché un reclamo sia esaminato, gli interessati non hanno bisogno di dimostrare che i dati personali che li riguardano sono stati effettivamente raccolti dalle agenzie di intelligence statunitensi. In tema di ricorso nei confronti delle società importatrici, la decisione di adeguatezza chiarisce che, quando le organizzazioni trattano dati relativi ai dipendenti o quando le stesse scelgono di sottoporsi al controllo delle autorità di protezione dei dati europee, le stesse autorità di controllo possono esercitare tutti i poteri previsti dal GPDR anche nei confronti delle società importatrici. In merito alla possibile discrezionalità della FTC nell'investigare i reclami, la decisione chiarisce che i diversi tipi di redress previsti nel DPF assicurano che ogni reclamo presentato possa essere esaminato e deciso. In tema di law enforcement, precisa che le limitazioni ai diritti che possono essere introdotte sono in linea con quelle previste dall'art. 23 RGPD e gli interessati possono chiedere la cancellazione dei dati direttamente alle autorità di law enforcement. |
