Le valutazioni della Commissione Europea sui 2 anni di GDPR

Nel suo report, la Commissione afferma che, in generale, il GDPR ha conseguito gran parte dei suoi obiettivi, ossia il rafforzamento della protezione dei dati personali e la garanzia della libera circolazione dei dati personali all’interno dell’UE, in particolare offrendo ai cittadini un forte insieme di diritti applicabili e creando un nuovo sistema europeo di governance e di enforcement. Il GDPR si è dimostrato flessibile per sostenere le soluzioni digitali in circostanze impreviste come la crisi di Covid-19. L’armonizzazione tra gli Stati membri è in aumento, sebbene vi sia un certo livello di frammentazione che deve essere costantemente monitorato.

Questi i punti principali evidenziati dal report della Commissione:

• I cittadini hanno più potere e sono più consapevoli dei loro diritti: il GDPR aumenta la trasparenza e conferisce ai singoli individui diritti applicabili, come il diritto di accesso, di rettifica, di cancellazione, il diritto di opposizione e il diritto alla portabilità dei dati. Oggi, secondo i risultati pubblicati la settimana scorsa in un sondaggio dell’Agenzia dell’UE per i diritti fondamentali, il 69% della popolazione dell’UE di età superiore ai 16 anni ha sentito parlare del GDPR e il 71% delle persone ha sentito parlare della propria autorità nazionale per la protezione dei dati. Tuttavia, si può fare di più per aiutare i cittadini ad esercitare i loro diritti, in particolare il diritto alla portabilità dei dati.
• Agevolare maggiormente l’esercizio dei diritti sui dati: la Commissione afferma che è necessario un ulteriore lavoro per facilitare l’esercizio dei diritti delle persone interessate, in particolare il diritto alla portabilità dei dati. La relazione fa riferimento a questo diritto come ad un chiaro ma inutilizzato potenziale per “mettere gli individui al centro dell’economia dei dati consentendo loro di passare da un fornitore di servizi all’altro, di combinare diversi servizi, di utilizzare altri servizi innovativi e di scegliere i servizi più favorevoli alla protezione dei dati“. La Commissione sottolinea che lo sblocco di questo potenziale è una priorità per evitare che i consumatori si trovino di fronte a pratiche sleali e ad effetti “lock-in” e per produrre benefici in una varietà di settori. Il consesso europeo indica come punto di partenza la progettazione di strumenti adeguati, formati standardizzati e interfacce standardizzate, commentando che un maggiore uso del diritto alla portabilità dei dati potrebbe consentire ai singoli di utilizzare i loro dati per il bene pubblico, ad esempio a fini di ricerca sanitaria.
• Agevolare le PMI che eseguono trattamenti a basso rischio: le imprese stanno sviluppando una cultura della conformità e utilizzano sempre più spesso una forte protezione dei dati come vantaggio competitivo. Il rapporto contiene un elenco di considerazioni tese a facilitare ulteriormente l’applicazione del GDPR per tutte le parti interessate, in particolare per le piccole e medie imprese, per promuovere e sviluppare ulteriormente una cultura della protezione dei dati veramente europea e un’applicazione vigorosa. Secondo l’approccio basato sul rischio, non sarebbe opportuno prevedere deroghe in base alle dimensioni degli operatori, in quanto la loro dimensione non è di per sé un’indicazione dei rischi che il trattamento dei dati personali che intraprende può creare per i singoli. Diverse autorità per la protezione dei dati hanno fornito strumenti pratici per facilitare l’attuazione del GDPR da parte delle PMI che svolgono attività di trattamento a basso rischio. Questi sforzi dovrebbero essere intensificati e diffusi, preferibilmente nell’ambito di un approccio comune europeo per non creare barriere al mercato unico.
• Le norme sulla protezione dei dati sono adatte all’era digitale: il GDPR ha dato alle persone la possibilità di svolgere un ruolo più attivo in relazione a ciò che sta accadendo con i loro dati nella transizione digitale. Contribuisce inoltre a promuovere un’innovazione affidabile, in particolare attraverso un approccio basato sul rischio e principi come la protezione dei dati in base alla progettazione e all’impostazione predefinita. Il rapporto tiene in debita considerazione le questioni relative all’uso di tecnologie emergenti come l’intelligenza artificiale, ribadendo che il GDPR è concepito in modo tecnologicamente neutro e basato su un set principi fondamentali. Nella relazione si legge: “Le sfide future consistono nel chiarire come applicare i principi collaudati a tecnologie specifiche come l’intelligenza artificiale, la blockchain, l’Internet of Things o il riconoscimento facciale che richiedono […] un monitoraggio continuo […] A questo proposito, le autorità di protezione dei dati dovrebbero essere pronte ad accompagnare tempestivamente i processi di progettazione tecnica“. La Commissione osserva inoltre che la flessibilità del GDPR è stata dimostrata durante l’emergenza COVID-19, ad esempio, per quanto riguarda la sua applicazione alle applicazioni di ricerca di contatti. La relazione invita l’EDPB a pubblicare linee guida sull’applicazione del GDPR in diversi settori, tra cui l’intelligenza artificiale, la blockchain e altri possibili sviluppi tecnologici.
• Le autorità di protezione dei dati si stanno avvalendo dei loro più forti poteri correttivi: da avvertimenti e rimproveri a multe amministrative, il GDPR fornisce alle autorità nazionali di protezione dei dati gli strumenti giusti per far rispettare le regole. Tuttavia, esse devono essere adeguatamente sostenute con le necessarie risorse umane, tecniche e finanziarie. Molti Stati membri lo stanno facendo, con un notevole aumento degli stanziamenti di bilancio e del personale. Nel complesso, tra il 2016 e il 2019 si è registrato un aumento del 42% del personale e del 49% del bilancio per tutte le autorità nazionali per la protezione dei dati nell’UE. Tuttavia, vi sono ancora notevoli differenze tra gli Stati membri.
• Le autorità per la protezione dei dati stanno lavorando insieme nel contesto del Comitato Europeo per la Protezione dei Dati (EDPB), ma c’è un margine di miglioramento: ll GDPR ha istituito un sistema di governance innovativo, concepito per garantire un’applicazione coerente ed efficace del GDPR attraverso il cosiddetto “sportello unico”, che prevede che una società che tratta dati a livello transfrontaliero abbia come interlocutore un’unica autorità di protezione dei dati, ossia l’autorità dello Stato membro in cui si trova il suo stabilimento principale. Tra il 25 maggio 2018 e il 31 dicembre 2019 sono stati presentati 141 progetti di decisione attraverso lo “sportello unico”, 79 dei quali hanno portato a decisioni definitive. Tuttavia, si può fare di più per sviluppare una cultura della protezione dei dati veramente comune. In particolare, il trattamento dei casi transfrontalieri richiede un approccio più efficiente e armonizzato e un uso efficace di tutti gli strumenti previsti dal GDPR per la cooperazione tra le autorità di protezione dei dati.
• Consulenza e linee guida da parte delle autorità di protezione dei dati: l’EDPB emette linee guida che riguardano aspetti chiave del regolamento e temi emergenti. Diverse autorità per la protezione dei dati hanno creato nuovi strumenti, tra cui linee telefoniche di assistenza ai privati e alle imprese e kit di strumenti per le piccole e microimprese. È essenziale garantire che gli orientamenti forniti a livello nazionale siano pienamente coerenti con le linee guida adottate dall’EDPB.
• Attenuare la frammentazione tra gli Stati membri: la Commissione afferma che, data la limitata esperienza pratica finora acquisita e il fatto che la legislazione settoriale specifica è in corso di revisione in molti Stati membri, non è stato ancora possibile trarre conclusioni definitive sulla frammentazione, tuttavia il rapporto evidenzia i settori in cui la Commissione ha individuato una certa discontinuità tra gli Stati membri nell’applicazione della legge. Il GDPR contiene diverse disposizioni che consentono agli Stati membri di legiferare o di fornire le proprie specifiche, una delle quali riguarda l’età in cui i minori possono fornire il consenso nel contesto dei servizi della società dell’informazione. La Commissione ha rilevato che si tratta di un settore in cui gli Stati membri si sono discostati tra loro, creando incertezza sia per i ragazzini che per i loro genitori nel mercato unico e difficoltà per le imprese che operano a livello transfrontaliero (in futuro potrebbe essere imposta un’armonizzazione dell’età minima). La relazione aggiunge che per l’efficace funzionamento del mercato interno e per evitare inutili oneri per le imprese, è inoltre essenziale che la legislazione nazionale non vada oltre i margini stabiliti dal GDPR e non introduca requisiti supplementari quando non vi sono margini. Un’analoga frammentazione si può riscontrare nell’approccio adottato nei confronti delle deroghe al divieto generale del GDPR di trattare i dati delle categorie particolari di cui all’art. 9. La Commissione dichiara di essere in procinto di mappare questi approcci al fine di sostenere l’istituzione di un codice di condotta per contribuire a un approccio più coerente. La Commissione fa inoltre riferimento alla pertinente giurisprudenza dei tribunali nazionali e della Corte di giustizia per fornire alcuni orientamenti su questioni di divergenza, affermando che tale giurisprudenza “contribuisce a creare un’interpretazione coerente delle norme sulla protezione dei dati” e aggiungendo che i tribunali nazionali hanno già emesso sentenze che invalidano le disposizioni nazionali che si discostano dal GDPR.
• Sfruttare appieno il potenziale dei trasferimenti internazionali di dati: negli ultimi due anni, l’impegno internazionale della Commissione sui trasferimenti di dati gratuiti e sicuri ha prodotto risultati importanti. Tra questi, il Giappone, con il quale l’UE condivide ora la più vasta area di flussi di dati liberi e sicuri al mondo. La Commissione continuerà il suo lavoro sull’adeguatezza, con i suoi partner in tutto il mondo. Inoltre, e in collaborazione con l’EDPB, la Commissione sta esaminando la possibilità di modernizzare altri meccanismi per il trasferimento dei dati, tra cui le clausole contrattuali standard, lo strumento più utilizzato per il trasferimento dei dati. L’EDPB sta lavorando a orientamenti specifici sull’uso della certificazione e dei codici di condotta per il trasferimento di dati al di fuori dell’UE, che devono essere finalizzati il più presto possibile. Dato che la Corte di Giustizia Europea può fornire chiarimenti in una sentenza che sarà emessa il 16 luglio e che potrebbe essere rilevante per alcuni elementi dello standard di adeguatezza, la Commissione riferirà separatamente sulle decisioni di adeguatezza esistenti dopo che la Corte di giustizia avrà emesso la sua sentenza. Sempre per quanto riguarda i trasferimenti di dati al di fuori dell’UE, il rapporto sottolinea che la Repubblica di Corea è in una “fase avanzata” del processo di adeguatezza e che sono in corso colloqui esplorativi con partner in Asia e in America Latina. Per quanto riguarda il tema della Brexit, la Commissione afferma: “L’adeguatezza svolge un ruolo importante anche nel contesto delle future relazioni con il Regno Unito, a condizione che siano soddisfatte le condizioni applicabili […] In linea con la Dichiarazione politica sulle future relazioni tra l’UE e il Regno Unito, la Commissione sta attualmente effettuando una valutazione dell’adeguatezza ai sensi sia del GDPR che della direttiva sull’applicazione della legge sulla protezione dei dati“.
• Promuovere la cooperazione internazionale: negli ultimi due anni la Commissione ha intensificato il dialogo bilaterale, regionale e multilaterale, promuovendo una cultura globale di rispetto della privacy e di convergenza tra i diversi sistemi di tutela della privacy a vantaggio sia dei cittadini che delle imprese. La Commissione è impegnata a proseguire questo lavoro nell’ambito della sua più ampia azione esterna, ad esempio, nel contesto del partenariato Africa-UE e nel suo sostegno alle iniziative internazionali, come “Data Free Flow with Trust”. In un momento in cui le violazioni delle norme sulla privacy possono riguardare un gran numero di persone contemporaneamente in diverse parti del mondo, è giunto il momento di intensificare la cooperazione internazionale tra i responsabili della protezione dei dati. Per questo motivo la Commissione chiederà al Consiglio l’autorizzazione ad avviare negoziati per la conclusione di accordi di cooperazione in materia di assistenza reciproca e di applicazione delle norme con i paesi terzi interessati.
• Raggiungibilità extra-territoriale: la Commissione osserva che le autorità di protezione dei dati dovrebbero garantire che le loro azioni esecutive includano operatori stranieri che agiscono nel mercato europeo al fine di garantire condizioni di concorrenza eque e reali nell’UE. In particolare, la Commissione sottolinea che tali azioni dovrebbero coinvolgere i rappresentanti nell’UE del titolare o responsabile che tratta i dati. La relazione afferma: “Questo approccio dovrebbe essere perseguito con maggiore vigore per inviare un chiaro messaggio che la mancanza di uno stabilimento nell’UE non solleva gli operatori stranieri dalle loro responsabilità ai sensi del GDPR“.

Separatamente, la Commissione ha fatto riferimento al suo lavoro in relazione alla proposta di regolamento ePrivacy, che è destinato a sostituire la direttiva ePrivacy e ad armonizzare ulteriormente l’approccio dell’UE alla protezione dei dati, commentando che è “molto importante garantirne la rapida adozione“. Ed in effetti, senza questo tassello fondamentale, il quadro della protezione dati rischia di rimanere un’opera mirabile ma gravemente incompiuta nell’era dell’economia e della comunicazione digitale.

Merita, per concludere, un cenno il favore con cui il Garante Europeo (EDPS) ha accolto con proprio comunicato la relazione della Commissione.

L’EDPS concorda con la valutazione positiva della Commissione: “il GDPR ha rafforzato il diritto fondamentale alla protezione dei dati e ha contribuito a sensibilizzare l’opinione pubblica sull’importanza della riservatezza dei dati, sia all’interno dell’UE che in altre parti del mondo”.

Come indicato nella relazione della Commissione, l’applicazione coerente ed efficiente del GDPR rimane una priorità. Le risorse disponibili per le autorità nazionali di protezione dei dati sono talvolta insufficienti e vi sono alcune discrepanze causate dai diversi quadri giuridici e dalle leggi procedurali nazionali. In risposta a questi vincoli pratici, l’EDPS ritiene che la solidarietà e la cooperazione rafforzata con l’EDPB e altri attori correlati siano fondamentali.

Il Garante in carica Wojciech Wiewiórowski ha dichiarato: “Abbiamo ora bisogno di un’espressione più forte di autentica solidarietà europea, di una condivisione degli oneri e di un approccio comune per garantire l’applicazione delle nostre norme di protezione dei dati. L’eccezionale successo del GDPR è la combinazione di molti fattori, ma la capacità delle autorità europee di protezione dei dati di far rispettare le norme dell’UE è fondamentale, in particolare se vogliamo affrontare alcune pratiche dannose per i dati da parte di potenti attori globali. L’EDPS è pronto a condividere le proprie risorse e competenze“. In correlazione con il report della Commissione, il 30 giugno 2020 l’EDPS pubblicherà la sua strategia per il periodo 2020-2024, illustrando in dettaglio il suo piano d’azione e il modo in cui prevede di continuare a collaborare con l’EDPB, le altre autorità di vigilanza all’interno dell’UE e le istituzioni e gli organismi europei.

Per accompagnare le autorità di protezione dei dati nel loro lavoro, l’EDPS “condivide l’idea di istituire un pool di esperti di supporto all’interno dell’EDPB. Questa iniziativa potrebbe fornire sostegno alle autorità di protezione dei dati su casi complessi e impegnativi in termini di risorse in un’autentica espressione della solidarietà europea e della condivisione degli oneri”.