Commissione UE: Prima relazione sul GDPR
In adempimento all’articolo 97 del regolamento, la Commissione dell’Unione europea ha pubblicato la prima relazione sull’esito dei suoi primi due anni di applicazione. La relazione tiene in considerazione anche i contributi dei co-legislatori europei (Consiglio e Parlamento), dell’EDPB, delle autorità di controllo, del gruppo multilaterale di esperti e di terzi. Il giudizio è sostanzialmente positivo e c’è comune condivisione sul fatto che sia troppo presto per stabilire se occorrano interventi correttivi al testo originario, anche se vengono evidenziate alcune criticità e necessità di miglioramento.
Figura 1 – Mappa concettuale della prima relazione sul GDPR.
Sul versante positivo sono evidenziati i seguenti aspetti:
- la dimensione della protezione dei dati personali come diritto fondamentale dell’individuo
- l’assunzione del GDPR come regolamentazione di riferimento a livello globale
- il sistema di governance introdotto dal regolamento
- le leve dissuasive dei comportamenti non conformi.
Di converso, dal lato dei miglioramenti attesi si registrano principalmente:
- persistente frammentazione delle regole a livello di Stati membri
- percepita complessità della disciplina.
Protezione dei dati personali: diritto fondamentale dell’individuo
La natura della protezione dei dati personali come diritto fondamentale dell’individuo ha permesso di conseguire due risultati di particolare importanza:
- adeguata protezione dei dati personali
- conseguente fiducia nell’uso degli stessi.
Protezione e fiducia sono essenziali per
- costituire un reale “mercato unico dei dati” all’interno della UE
- incrementare la disponibilità delle informazioni personali
- consentire all’Unione il processo di transizione ecologica e digitale, in linea col suo programma di sviluppo, assicurando che la stessa sia incentrata sull’individuo.
In parallelo, il diritto fondamentale garantisce il potere di controllo all’interessato sui dati che lo riguardano; per rinforzare questo profilo, la Commissione fa affidamento ad una più spiccata applicazione del nuovo diritto alla portabilità e all’attuazione della prossima direttiva che introduce la class action anche in ambito data protection.
GDPR, disciplina di riferimento globale
L’entrata in vigore del regolamento europeo ha impresso una decisa accelerazione al processo di regolamentazione del tema a livello internazionale. Sono più di 100 i paesi al mondo che hanno una specifica normativa sulla protezione dei dati personali, «dal Cile alla Corea del Sud, dal Brasile al Giappone, dal Kenya all’India e dalla California all’Indonesia» e sembra incontestabile che il GDPR sia divenuto il punto di riferimento a livello globale per la regolamentazione dell’economia digitale. Questo fenomeno agevola il commercio internazionale entro una cornice di maggiore sicurezza e tutela.
D’altro canto, l’impostazione tecnologicamente neutra fondata su principi consente al regolamento di rispondere con flessibilità agli interrogativi sollevati da nuove tecnologie o contesti, come avvenuto nel caso dell’epidemia da COVID-19 con l’introduzione di app di tracciamento anti-contagio.
Trasferimenti internazionali
I trasferimenti di dati oltre i confini dell’Unione richiederanno comunque un’attenta valutazione volta a evitare il rischio della perdita di garanzie godute in base al GDPR; per questo la Commissione prosegue con le verifiche finalizzate alle “decisioni di adeguatezza” (in aggiunta agli 11 paesi e territori già considerati): prossimi candidati sono Corea del Sud e Regno Unito.
In parallelo, la Commissione sta aggiornando le clausole contrattuali tipo (SCC) alle nuove prescrizioni del regolamento, conformandosi alle conclusioni della Corte di giustizia nel caso Schrems II, la cui decisione è prevista per il 16 luglio 2020. In questa direzione, si incentiva il ricorso a codici di condotta e certificazioni come salvaguardie per i trasferimenti internazionali.
Su questo medesimo versante la Commissione ha chiesto all’EDPB di chiarire le interazioni tra ambito applicativo del GDPR (anche a operatori stranieri attivi sul mercato dell’UE) e prescrizioni sui trasferimenti internazionali di dati del capo V del GDPR. Infine, la Commissione continua a promuovere la convergenza delle norme data protection a livello internazionale per contrastare casi di accesso sproporzionato delle autorità pubbliche straniere ai dati personali (come nel caso delle autorità di contrasto).
Sistema di governance
Il sistema di governance ideato dal GDPR si fonda sulle attività di presidio di autorità di controllo indipendenti, a livello nazionale, su procedure di cooperazione e di coerenza fra le stesse e sulle competenze del Comitato europeo. Questo profilo che, insieme a quello dei trasferimenti internazionali di dati, è argomento di analisi di dettaglio nella relazione, registra esigenze di miglioramento per una gestione più efficiente dello “sportello unico” (“one-stop-shop”) ed una maggiore armonizzazione conseguente alle operazioni congiunte tra distinte autorità. In questa direzione, si coglie il generale apprezzamento per le linee guida emesse dall’EDPB, evidenziando tuttavia la necessità di ottenere indicazioni più pratiche ed esempi maggiormente concreti.
Leve dissuasive
Il GDPR si avvale di diversi strumenti dissuasivi e di contrasto a comportamenti non conformi alle sue prescrizioni di cui i più noti sono le sanzioni pecuniarie. Queste ultime sono state applicate con ragionevolezza e sono variate da livelli minimi di qualche migliaio di euro a massimi di centinaia di milioni di euro. Altri dissuasori sono altrettanto se non più efficaci delle sanzioni pecuniarie, come le limitazioni o i divieti di trattamento cui si aggiungono, nei casi di minore portata, gli ammonimenti. Questo armamentario è finalizzato a modificare l’approccio culturale e quelle prassi che risultano in contrasto con le disposizioni del regolamento.
Maggiori criticità
Riguardo agli attesi profili di miglioramento, la Commissione annovera:
- una persistente frammentazione di regolamentazione tra gli Stati membri
- una condivisa percezione di complessità, specie da parte delle PMI.
Frammentazione
Il legislatore europeo ha scelto come strumento legislativo il regolamento, in alternativa alla direttiva, proprio allo scopo di assicurare omogeneità alla disciplina a livello unionale. L’obiettivo non è stato raggiunto del tutto in quanto si registra tuttora una frammentazione di regole tra gli Stati membri dovuta essenzialmente alle seguenti cause:
- le leggi nazionali di adeguamento al GDPR che talvolta introducono prescrizioni aggiuntive
- le clausole di specificazione facoltative, contenute nel regolamento, cioè quegli articoli che consentono agli Stati membri di precisare ulteriormente aspetti di dettaglio, come le deroghe al divieto d’uso delle speciali categorie di dati personali oppure il limite di età per la raccolta del consenso del minore
- le clausole di rinvio alla legislazione nazionale, come per il caso dei trattamenti in ambito di lavoro o quelli aventi ad oggetto dati sulla salute, dati genetici o biometrici.
In conclusione, la Commissione invita gli Stati a fare in modo che la «legislazione nazionale non vada oltre i margini fissati dal regolamento generale sulla protezione dei dati o introduca requisiti supplementari dove non sono presenti margini».
Complessità
Riguardo alla critica sulla presunta complessità della norma specie per le piccole e medie imprese, si fa notare che l’approccio basato sul rischio non giustificherebbe deroghe in base alle dimensioni degli operatori, poiché la dimensione non è un criterio scriminante del rischio connesso ai trattamenti per i diritti e le libertà delle persone. In ogni caso, iniziative sono in corso da parte di molte autorità per rilasciare modelli per i contratti di trattamento dati e per le registrazioni delle attività di trattamento insieme ai codici di condotta e certificazioni che presto dovrebbero divenire strumento di semplificazione per molti operatori.
In questa direzione la Commissione sta lavorando ad un modello di contratto tra titolari e responsabili, all’interno della cornice per l’ammodernamento delle clausole contrattuali tipo per i trasferimenti internazionali.