Commissione europea, due anni di applicazione del GDPR: luci e ombre


Come previsto dall’art. 97 del GDPR, a distanza di due anni dall’entrata in vigore del Regolamento, la Commissione Europea ha pubblicato un report di valutazione e riesame del GDPR, con particolare attenzione al tema del trasferimento di dati personali verso paesi terzi e organizzazioni internazionali (il Capo V del Regolamento), e alle norme in materia di cooperazione e coerenza (la concreta applicazione del Capo VII).

Nonostante l’attenzione si concentri sulle due questioni sopra evidenziate, la valutazione effettuata dalla commissione adotta un approccio più ampio, per affrontare anche le questioni che sono state sollevate da vari attori nel corso degli ultimi due anni.

Le luci: gli obiettivi raggiunti dal Regolamento 

L’analisi prende le mosse dagli obiettivi raggiunti dal Regolamento, che in questi anni ha svolto il fondamentale ruolo di orientare, alla stregua di una bussola, l’uso della tecnologia. Al tempo stesso il GDPR è stato uno strumento essenziale per assicurare agli interessati un maggiore controllo sui propri dati personali e garantire che tali dati siano trattati per uno scopo legittimo, in modo lecito, equo e trasparente.

Il GDPR, grazie ai principi di privacy by design e by default e grazie all’approccio basato sul rischio, garantisce un elevato livello di protezione dei dati personali anche attraverso la creazione di una cornice spaziale ben definita all’interno della quale i dati possono circolare liberamente ed in modo sicuro (uno “spazio unico europeo dei dati” come definito all’interno della comunicazione sull’”European Data Strategy”: una strategia europea in materia di dati).

Un circolo virtuoso

Tutto ciò ha innestato un circolo virtuoso: recenti indagini fra cui la “Fundamental Rights Survey”, facente parte della sopracitata “European Data Strategy”, hanno dimostrato come gli individui di tutto il mondo apprezzano sempre più la privacy e la sicurezza dei loro dati. Il 69% della popolazione dell’UE di età superiore ai 16 anni ha sentito parlare del GDPR e il 71% delle persone nell’UE conosce la propria Autorità nazionale per la protezione dei dati. Le persone, inoltre, sono sempre più consapevoli dei loro diritti: i diritti di accesso, rettifica, cancellazione e portabilità dei loro dati personali, il diritto di opporsi a un trattamento, nonché la generale garanzia di maggiore trasparenza dei trattamenti.

La privacy si è consolidata come fattore in grado di orientare le scelte economiche di acquisto ed i comportamenti online. Le imprese e i fornitori di servizi hanno quindi risposto a questa richiesta dei consumatori, talvolta anche promuovendo il rispetto dei dati personali come elemento di differenziazione rispetto ai competitors. Ma l’effetto positivo del GDPR non si ferma al contesto europeo: l’adozione del Regolamento ha stimolato altri paesi in molte regioni del mondo a prendere in considerazione la possibilità di seguire l’esempio. L’UE è diventata il punto di riferimento globale in materia di protezione dei dati per la regolamentazione dell’economia digitale.

La leadership dell’Unione in questo campo è stata messa recentemente alla prova dall’emergenza Covid-19: il quadro legislativo sulla protezione dei dati si è dimostrato uno strumento sufficientemente flessibile da consentire lo sviluppo di soluzioni pratiche (ad esempio, applicazioni di tracciamento), garantendo al contempo un elevato livello di protezione dei dati personali.

Due anni dopo l’inizio della sua applicazione, l’opinione generale è che il GDPR ha raggiunto con successo i suoi obiettivi di rafforzare la protezione del diritto individuale alla protezione dei dati personali e di garantire la libera circolazione dei dati personali all’interno dell’UE.

Le ombre: le criticità emerse nei due anni di applicazione del Regolamento

La Commissione riconosce tuttavia la presenza di alcuni settori che necessitano di miglioramenti, e, al tempo stesso, evidenzia come due anni di applicazione non siano un periodo sufficientemente ampio per trarre conclusioni definitive in merito all’applicazione del GDPR.

  • Fra i settori che necessitano di miglioramenti la Commissione evidenzia come le varie Autorità Garanti europee non abbiano ancora fatto pieno uso dei poteri e degli strumenti di cui godono: la gestione dei casi transfrontalieri è carente e il meccanismo di cooperazione tramite “One-stop-shop” (il “meccanismo dello sportello unico” ovvero un meccanismo di co-decisione, in cui l´autorità capofila è competente a emanare la (unica) decisione finale, ma è obbligata a interpellare tutte le autorità interessate) ancora poco applicato. Lo sviluppo di una cultura europea veramente comune tra le Autorità garanti in materia di protezione dei dati, è ancora un processo in divenire, che la Commissione cerca di favorire.
  • Un’altra criticità deriva dalla disomogeneità di risorse allocate presso le Autorità di protezione dei dati nazionali: nonostante alcune Autorità abbiano incrementato il personale in forze, la situazione non è ancora soddisfacente nel complesso (la Commissione sottolinea in particolare la necessità di risorse di Lussemburgo e Irlanda, paesi in cui hanno sede grandi multinazionali della tecnologia e che giocoforza si trovano spesso a ricoprire il ruolo di Autorità capofila).
  • La frammentazione si estende anche alla legislazione degli stati membri: sebbene la maggior parte degli stati abbiano conformato la normativa nazionale al GDPR (eccetto la Slovenia), permangono alcune discrasie. Il GDPR infatti impone agli Stati membri di legiferare in alcuni settori. Di conseguenza, esiste ancora un certo grado di frammentazione, dovuto in particolare all’ampio uso di clausole di specificazione facoltative (ad es. riguardo all’età del consenso dei minori in relazione ai servizi della società dell’informazione; o nell’attuazione delle deroghe al divieto generale di trattare categorie speciali di dati personali anche a fini sanitari e di ricerca).

Azioni suggerite dalla commissione per attuare un piano di miglioramento

Per sfruttare appieno il potenziale del GDPR, è fondamentale sviluppare un approccio armonizzato e una cultura comune europea della protezione dei dati, nonché promuovere un trattamento più efficiente dei casi transfrontalieri. A tal fine la Commissione conclude individuando alcune azioni necessarie per realizzare questo nuovo obiettivo. L’effettiva implementazione di queste azioni verrà verificata nel prossimo report di valutazione del Regolamento (che, ai sensi dell’art.97, cadrà nel 2024).

Segue un elenco riassuntivo delle azioni individuate dalla Commissione, in capo a stati membri, Autorità Garanti nazionali ed EDPB (il Comitato europeo per la protezione dei dati).

Attuazione e completamento del quadro giuridico

Gli stati membri dovrebbero:

  • Completare l’allineamento delle loro leggi settoriali al GDPR
  • Prendere in considerazione la possibilità di limitare l’uso di clausole specifiche che potrebbero creare frammentazione e compromettere il libero flusso di dati all’interno dell’UE
  • Valutare se la legislazione nazionale che attua il GDPR rientri in tutte le circostanze nei margini previsti dal GDPR alla legislazione degli Stati membri

Far sì che il nuovo sistema di governance esprima tutto il suo potenziale

L’EDPB e le Autorità Garanti nazionali sono invitati a:

  • Sviluppare accordi efficienti tra le Autorità di protezione dei dati per quanto riguarda il funzionamento dei meccanismi di cooperazione e di coerenza, anche per quanto riguarda gli aspetti procedurali, basandosi sulle competenze dei suoi membri e rafforzando il coinvolgimento del suo segretariato
  • Sostenere l’armonizzazione nell’applicazione e nell’attuazione del GDPR utilizzando tutti i mezzi a disposizione, anche chiarendo ulteriormente i concetti chiave del GDPR e garantendo che gli orientamenti nazionali siano pienamente in linea con gli orientamenti adottati dal Consiglio
  • Incoraggiare l’uso di tutti gli strumenti previsti dal GDPR per garantire un’applicazione coerente
  • Intensificare la cooperazione tra le autorità di protezione dei dati, ad esempio conducendo indagini congiunte

Gli Stati membri dovranno:

  • Assegnare alle autorità preposte alla protezione dei dati risorse sufficienti per lo svolgimento dei loro compiti.

Sostenere le parti interessate

L’EDPB e le Autorità Garanti nazionali sono invitati a:

  • Adottare ulteriori linee guida pratiche, facilmente comprensibili, che forniscano risposte chiare e che evitino ambiguità su questioni relative all’applicazione del GDPR, ad esempio sul trattamento dei dati dei minori e sui diritti degli interessati, consultando le parti interessate nel processo
  • Rivedere le linee guida quando sono necessari ulteriori chiarimenti, alla luce dell’esperienza e degli sviluppi, anche nella giurisprudenza della Corte di giustizia
  • Sviluppare strumenti pratici, quali moduli armonizzati per le violazioni dei dati e registrazioni semplificate delle attività di trattamento, per aiutare le Piccole Medie Imprese, a basso rischio, ad adempiere ai loro obblighi

Incoraggiare l’innovazione

L’EDPB è invitato a:

  • Emanare linee guida sull’applicazione del GDPR nel campo della ricerca scientifica, dell’intelligenza artificiale, della blockchain e di altri possibili sviluppi tecnologici
  • Rivedere le linee guida quando sono necessari ulteriori chiarimenti alla luce dello sviluppo tecnologico

Ulteriore sviluppo del toolkit per il trasferimento dei dati

L’EDPB è invitato a:

  • Chiarire ulteriormente l’interazione tra le norme sul trasferimento internazionale dei dati (capo V) e l’ambito di applicazione territoriale del GDPR (articolo 3)
  • Garantire l’effettiva applicazione nei confronti degli operatori stabiliti in paesi terzi che rientrano nell’ambito di applicazione territoriale del GDPR, anche per quanto riguarda la nomina di un rappresentante, se del caso (articolo 27);
  • Razionalizzare la valutazione e l’eventuale approvazione delle Clausole Contrattuali Standard al fine di accelerare il processo
  • Completare il lavoro sull’architettura, le procedure e i criteri di valutazione dei codici di condotta e dei meccanismi di certificazione come strumenti per il trasferimento dei dati.

La Commissione si impegnerà, fra le altre cose, a proseguire gli scambi bilaterali con gli Stati membri e sostenere ulteriori scambi di opinioni; fornire pareri (nel rispetto del ruolo ricoperto dall’EDPB); sostenere l’applicazione coerente del quadro di protezione dei dati in relazione alle nuove tecnologie per facilitare l’innovazione e lo sviluppo tecnologico; esaminare se, alla luce di ulteriori esperienze e della pertinente giurisprudenza, sia opportuno proporre eventuali future modifiche mirate ad alcune disposizioni del GDPR; monitorare da vicino l’effettiva e piena indipendenza delle autorità nazionali per la protezione dei dati; prevedere strumenti che chiariscano/supportino l’applicazione delle norme (in particolare per quanto riguarda i minori); sostenere la standardizzazione/certificazione, in particolare per quanto riguarda gli aspetti della sicurezza informatica, attraverso la cooperazione tra l’Agenzia dell’Unione europea per la sicurezza informatica (ENISA); sostenere le attività delle autorità di protezione dei dati che facilitano l’attuazione degli obblighi GDPR da parte delle PMI; incoraggiare, anche attraverso il sostegno finanziario, l’elaborazione di codici di condotta dell’UE nel settore della salute e della ricerca.

Per ulteriori dettagli sull’attività che verrà svolta dalla commissione, consulta il report completo.

 

Articolo a cura di Federico Corti, Data Protection Consultant | Labor Project

Se ti è piaciuto l'articolo condividi: