Shortlisted entries announced for the 2021 Global Privacy and Data Protection Awards

The GPA Executive Committee has shortlisted entries for the 2021 Global Privacy and Data Protection Awards.

Now in its fourth year, the Awards celebrate the achievements of the GPA community and shine a light on good practice.

The shortlisted Award entries are:

Education and public awareness



Dispute resolution and enforcement

GPA members will receive instructions on how to vote for this year’s shortlisted entries.

The winners will be announced at the Global Privacy Assembly 2021, Mexico.

GPA 2021 Mexico: A message from INAI Commissioners

As the INAI, Mexico is a committed guarantor body for compliance of fundamental rights, and Host of the Global Privacy Assembly 2021, we have decided the central theme of the GPA 2021 to be Privacy and Data Protection: A Human Centric approach. It is crucial to highlight the role individuals play in the decision making involved in data processing, regardless of the technology used for that purpose.

This year’s edition will be held in a hybrid scheme both online and in-person on 18-21 October 2021, which will allow us to have high-security standards and facilitate cooperation without physical or virtual barriers.

For the in-person part, diverse venues will be considered in order to provide the appropriate care for the safety of the attendees, maintaining safe distance protocols, mandatory use of face masks, and reduced forums. As for the virtual part, we will have a friendly platform that will allow digital interaction among participants.

With great excitement, we would now like to present the Agenda for the Open Session, which is mainly focused on the coexistence between the development of new information technologies and human rights. This will feature keynote lectures, panels and parallel sessions in which international and national experts will address their best practices on technological evolution and human intervention in massive data processing; Privacy and the Pandemic; Vaccine Passports and Similar Certificates; Data Flows with Trust; Internet of Things; and artificial intelligence, digital rights and inclusive policies are among others topics that will also be reviewed. The Agenda for the Closed Session has also been published.

As host authority of this year’s edition, INAI intends to generate opportunities for an open dialogue allowing leaders to discuss and to exchange knowledge and ideas to propose solutions for emerging issues in the field.

We are looking forward to your attendance at the Assembly, see you soon in Mexico City!

INAI’s Commissioners
Host Authority, GPA 2021

‘Privacy, People and the Pandemic’ workshops by OECD, GPA and UN Special Rapporteur on the Right to Privacy

The OECD Working Party on Data Governance and Privacy in the Digital Economy (WPDGP), the Global Privacy Assembly (GPA) and the mandate of the UN Special Rapporteur on the Right to Privacy are hosting two workshops that will be spread across three days 21-23 June 2021.

The workshops will offer complementary – and sometimes challenging – points of view of the impact of the COVID-19 pandemic with a special focus on privacy and data governance. The topics follow on from two previous workshops held in April 2020 and September 2020.

The first session will provide an opportunity for policy makers and regulators to share perspectives one year later on the varying privacy and data governance frameworks that were developed in support of their response efforts.

This will lead onto two sessions on innovative insights on countries’ plans for the road to recovery with a specific focus on “Data privacy aspects in the workplace during the pandemic” and “Vaccination programmes and travel passports.”

The third and last day will be an intensive workshop organised by the UN Special Rapporteur on the Right to Privacy, also with the support of the GPA. It will be dedicated to a more in-depth evaluation of the evidence available on the impact of the pandemic on privacy across the world. The intensive sessions on this third day will also afford NGOs, academics and others, both within and outside OECD countries, with the opportunity to discuss similar issues as those presented during the first two day workshop or outside it.

View the workshops agenda.

GPA 2021 Resolutions – Call to GPA members

Do you have a resolution idea to table at the GPA 2021 Conference?

Are you looking to co-sponsor or contribute as a GPA member to this year’s Conference resolutions?

The GPA Executive Committee is aware that many members want to get as much as possible out of their membership of the GPA. Engaging with the development of the Conference Resolutions is a great way to get involved. As we start to prepare for this year’s Closed Session, members are reminded of the GPA approach, including the deadlines for submission, relating to resolutions.

Submission of Resolutions for the GPA 2021 Closed Session

  • Resolutions for 2021 will be adopted at the hybrid online and in-person Closed Session. Members considering submitting a resolution, please note that resolutions should:
    • be clear and concise;
    • address matters sufficiently related to the purposes of the GPA and invoke action on matters relating to data protection and privacy;
    • focus on a current strategic need of the GPA – In other words, resolution main sponsors should be able to easily explain how the resolution text contributes to the delivery of the GPA Strategic Direction adopted in Tirana, 2019.
  • Proposed resolutions must have at least four other co-sponsors (apart from the main sponsor), representing, insofar as possible, different cultural, geographic and legal backgrounds. Please note: it is the main sponsor’s responsibility to ensure that these four other co-sponsors have been obtained by the time of final submission of the resolution to the conference on 4 October at the latest, otherwise the Resolution may risk not to be considered valid.
  • It is the main sponsor’s responsibility to negotiate member amendments to a resolution. The Secretariat can receive amendments directly to the Secretariat central inbox to forward onto the main sponsor, but many main sponsors prefer to be contacted directly. In any case, please indicate which email address and name of official responsible for answering questions about the resolution the Secretariat should use for directing all resolution-related enquiries and amendments.
  • Proposed resolutions should be submitted either in English, or if the original is in another language, then please submit a copy in English simultaneously.


Proposed resolutions are subject to the following timelines in 2021: 

Action  Date 
Please notify the Secretariat of intention to table a resolution by:


11 June 2021
Deadline to table a draft complex/technical resolution
to the Secretariat
30 June 2021
Deadline to table a draft resolution (non-complex/technical)
to the Secretariat
30 July 2021


Proposed draft resolutions circulated to all GPA members:
consultation period launched, for comments and amendments 
16 August 2021


Final draft resolutions circulated to all GPA members in advance
of the Closed Session (complete with four other co-sponsors) 
4 October 2021

For your information, please see the link to the GPA Rules and Procedures and for all enquiries regarding the above and the upcoming Closed Session, please contact the GPA Secretariat:

GPA 2021 Mexico – Save the Date

The Chair of the Global Privacy Assembly (GPA), its Executive Committee and conference hosts the National Institute for Transparency, Access to Information and Personal Data Protection (INAI), Mexico, are pleased to announce the 43rd Global Privacy Assembly 2021 will take place between 18-21 October 2021 in Mexico City, Mexico, as a hybrid event, available both in-person and online.

Registrations will open soon! With more details to follow.

Visit this year’s conference website, Twitter and LinkedIn for the latest information.

Launch of the GPA Global Privacy and Data Protection Awards 2021

The GPA Executive Committee is pleased to announce that this year’s Global Privacy and Data Protection Awards nomination process is now open!

Now in its fourth year, the Awards celebrate the achievements of the GPA community and shine a light on good practice.

Any member can apply. Submit your entry form no later than Wednesday 16 June 2021.

The award categories are:

  • Education and public awareness
  • Accountability
  • Dispute resolution and enforcement
  • Innovation
  • People’s Choice (shortlisted entries in all categories will automatically be entered for this Award)

Find out more information on how to apply.

Update from the Working Group on Digital Education

30 April 2021 Update

The Working Group on Digital Education (DEWG)

Benefit from explanations of a short video recording about the CIRCABC platform.

You will be able to view a tutorial video to better understand how to join the CIRCABC platform, access the 170 documents indexed by target groups, upload and present in a few words the educational materials produced by your own DPA. Please request the video’s password from the CIRCABC Leaders. You can view the PowerPoint presentation here.

In addition to these live demonstrations, two videos less than a few minutes long will explain the contents of this online library and the DEWG’s priorities.

Take advantage of the tutorial now and do not hesitate to contact its leader if you have any questions!

Pascale, Marc and Vincent – CIRCABC Leaders

at ;;


Le Groupe Education au numérique (DEWG)

Des explications réalisées dans un format vidéo court sur la plateforme de ressources pédagogiques CIRCABC.

Vous pourrez visionner une vidéo-tutoriel pour mieux comprendre comment accéder à la plateforme CIRCABC, consulter les 170 documents classés par groupes cibles, ajouter et référencer des contenus pédagogiques réalisés par votre APD. Veuillez demander le mot de passe de la vidéo aux CIRCABC Leaders. Vous pouvez voir la présentation PowerPoint ici.

En complément de ces démonstrations en direct, deux capsules vidéo de quelques minutes viennent exposer les contenus de cette bibliothèque en ligne, et les priorités du Groupe international.

Profitez dès à présent du tutoriel et n’hésitez pas à nous contacter pour toutes les questions !

Pascale, Marc and Vincent – CIRCABC Leaders

at ;;


11 February 2020 Update

The Global Privacy Assembly (GPA) membership is organised into Working Groups that concentrate on the most significant GPA initiatives identified by the membership, deriving their mandate and direction from the annual conference, typically leading from Resolutions. Learn more about the GPA Working Groups.

In this video, Ms Marie-Laure Denis, President of the Commission Nationale de l’Informatique et des Libertés (CNIL), gives an update on the work of the Working Group on Digital Education.

GPA welcomes its first Reference Panel

The Global Privacy Assembly (GPA) has appointed its first Reference Panel, a contact group of varied external stakeholders who will support the Assembly and its members by providing expert knowledge and practical expertise on data protection and privacy, as well as on data protection related issues and developments in information technology.

The independent panel of 16 members was drawn from a very strong applicant pool and provides expertise from around the world from relevant civil society organisations, academic institutions and think tanks who have an interest in the vision and mission of the GPA. Its membership has been endorsed by the GPA membership and Executive Committee.

The Reference Panel is chaired by Ulrich Kelber, member of the GPA Executive Committee, and Germany’s Federal Commissioner for Data Protection and Freedom of Information.

Ulrich Kelber has launched this new stream of work, providing personal invitations to the first Reference Panel. He said:

“I am glad we could bring together all these experts from different cultural and professional backgrounds. They will provide new perspectives on privacy related topics for the GPA. I am honoured to be the chair of the Reference Panel and I look forward to our first official meeting.”

The work to establish the Panel was an extensive process. An Assessment Group consisting of representatives from 14 GPA member authorities from all global regions assessed a high number of applications. The calibre of applicants was exceedingly high, and each Assessment Group member played a vital part in finalising the shortlist of candidates.

The GPA Assessment Group was chaired by Paula Hothersall, ICO Director of Regulatory Strategy (International), who said:

“The Assessment Group’s work was no easy task given the high calibre of candidates, but the success of having the panel endorsed by the membership and the Executive Committee echoes its strength. We look forward to the promising contributions of the Panel in the coming months.”

The Reference Panel met for the first time on 29 April 2021, and over the next few months the GPA will work to establish their work plan and contributions both to the work groups and the yearly conference.

Find out more about the GPA Reference Panel members.

Déclaration conjointe du GPA Comité Exécutif sur l’utilisation des données de santé à des fins de voyage national ou international

Les autorités chargées de la protection des données personnelles et de la vie privée soulignent l’importance du respect de la vie privée dès la conception dans la communication des données relatives à la santé aux fins de voyages nationaux ou internationaux pendant la pandémie de COVID-19.


Les gouvernements du monde entier mettent en œuvre des mesures pour freiner la propagation de la COVID-19 tout en planifiant la pleine reprise des activités économiques et sociales au-delà des frontières. Pour de nombreux passagers nationaux ou internationaux, cela signifie qu’ils doivent communiquer des renseignements sur leur santé, tels qu’un résultat négatif au test de dépistage de la COVID-19 ou leur statut de vaccination, comme condition préalable au voyage. Des « passeports sanitaires » et des « codes sanitaires » numériques ont également été proposés.

La communication potentielle de ces données personnelles relatives à la santé, à une vaste échelle, au-delà des frontières et entre diverses entités, est sans précédent. La technologie numérique permet de le faire rapidement et à grande échelle. Si de telles mesures peuvent se justifier pour des raisons de santé publique, la communication de ces renseignements sensibles peut et devrait se faire dans le respect de la vie privée. La technologie présentera des risques mais aussi la possibilité de mettre en place des mesures de protection pour les personnes. L’innovation peut aller de pair avec la protection de la vie privée.

Depuis le début de la pandémie, les membres de l’Assemblée mondiale pour la protection de la vie privée ont conseillé des gouvernements, des entreprises privées, des organisations caritatives et des organisations non gouvernementales sur la conception et l’élaboration de systèmes permettant de traiter les données personnelles relatives à la santé de manière à protéger au mieux la vie privée. La présente déclaration vise à compléter les efforts déployés à l’échelle nationale ou régionale et à contribuer à un résultat concret et coordonné en matière de protection de la vie privée à l’échelle internationale. Elle reflète les principes communs de protection des données et de la vie privée à l’échelle mondiale, dont la protection de la vie privée dès la conception et par défaut.

Renforcer la confiance du public en protégeant la vie privée

Pour instaurer un climat de confiance en ce qui concerne le traitement des données personnelles relatives à la santé aux fins de voyage, il faut que les personnes aient l’assurance que leurs données sont traitées de manière sécurisée; que les données qui leur sont demandées ne sont pas excessives; que des informations claires et accessibles sont mises à leur disposition pour comprendre comment leurs données seront utilisées; que le traitement a une finalité bien précise; et que leurs données ne seront pas conservées plus longtemps que nécessaire.

Le comité exécutif de l’Assemblée mondiale pour la protection de la vie privée rappelle que si les données et la technologie peuvent être des outils importants pour mieux lutter contre la pandémie de COVID-19, elles ont des limites intrinsèques et ne peuvent que tirer parti de l’efficacité d’autres mesures de santé publique. En outre, elles doivent s’inscrire dans une stratégie globale de santé publique pour lutter contre la pandémie. Les principes d’efficacité, de nécessité et de proportionnalité doivent guider toute mesure adoptée par les gouvernements et les autorités qui implique le traitement de données personnelles pour lutter contre la COVID-19[1].

Le comité exécutif de l’Assemblée mondiale sur la protection de la vie privée invite donc instamment les gouvernements et les autres organisations responsables du traitement des données personnelles relatives à la santé aux fins de voyages internationaux à prendre en considération les principes suivants, qui reflètent les pratiques et les principes communs de protection des données à l’échelle mondiale, et à leur accorder toute l’attention requise :

  • Le traitement des données personnelles relatives à la santé comme condition préalable à un voyage international peut se justifier pour des raisons de santé publique, mais il est indispensable de prendre en compte les risques pour la vie privée dès le départ.
  • Les principes de « protection de la vie privée dès la conception et par défaut » devraient être intégrés à tout système, application ou accord d’échange de données concernant le traitement des données personnelles relatives à la santé aux fins de voyages internationaux. Une évaluation formelle et complète de l’impact sur la vie privée des personnes avant le début de tout traitement est la meilleure méthode pour veiller à ce que les principes de protection des données dès la conception soient mis en œuvre dans la pratique et à ce que les risques sous-jacents soient atténués de manière appropriée. Les organisations devraient demander conseil auprès des autorités chargées de la protection des données personnelles et de la vie privée sur cette question ou encore consulter les orientations de ces dernières.
  • Les données personnelles recueillies, utilisées ou communiquées pour atténuer les effets de la COVID-19 sur la santé publique doivent avoir une finalité clairement définie. La finalité devrait être précise, dans le contexte général de la mesure de santé publique. Les données personnelles ne doivent pas être utilisées d’une manière incompatible avec cette finalité.
  • Toutes les organisations doivent agir en vertu d’une autorité légale compétente et appropriée, en veillant à ce qu’elles ne traitent les données personnelles relatives à la santé que lorsque cela est nécessaire et proportionné.
  • Les droits des personnes vulnérables, qui ne sont pas en mesure d’utiliser des appareils électroniques ou qui n’y ont pas accès, doivent être protégés, et des solutions de rechange devraient être envisagées pour veiller à ce que ces personnes ne soient pas victimes de discrimination. De même, les droits des personnes qui, en raison de leur âge, de risques éventuels pour leur santé ou d’autres conditions sous-jacentes, ne peuvent pas être vaccinées, devraient également être protégés.
  • Les personnes devraient être informées de la manière dont leurs données sont utilisées, par qui et dans quel but, et recevoir des informations claires et accessibles.  La diversité géographique, culturelle et linguistique des personnes désireuses de voyager doit être reconnue.
  • Les organisations ne devraient recueillir auprès des individus ou d’autres sources que la quantité minimale de renseignements sur la santé qui est nécessaire à leur contribution à la protection de la santé publique.
  • Des mesures devraient être prises pour faire face aux risques liés à la communication directe de renseignements provenant de dossiers médicaux aux fins de voyage – parmi les stratégies de protection de la vie privée dès la conception, pensons aux systèmes fédérés de gestion de l’identité et au niveau de traitement effectué par les dispositifs utilisés.
  • Les risques relatifs à la cybersécurité de tout système ou application numérique doivent être pleinement évalués, en tenant compte des dangers qui peuvent émaner de divers acteurs dans un contexte de menace mondiale.
  • Les organisations devraient réfléchir soigneusement à la durée de conservation des données et établir un calendrier de conservation prévoyant la suppression sûre des renseignements lorsqu’ils ne sont plus nécessaires.
  • Des clauses de temporisation devraient être intégrées dans la conception de ces systèmes, prévoyant la suppression permanente de ces données ou bases de données, et reconnaissant que le traitement courant des renseignements sur la santé en lien avec la COVID-19 aux frontières peut devenir inutile une fois la pandémie terminée. Les systèmes devraient également être revus périodiquement pour veiller à ce que le traitement reste nécessaire et proportionné pendant la pandémie.