La Commissione europea ha pubblicato la seconda relazione sull’applicazione del Regolamento generale sulla protezione dei dati (GDPR), adottata a norma dell’art. 97 del Regolamento, e rivolta a Parlamento e Consiglio UE.
In seguito all’adozione della prima relazione sull’applicazione del GDPR del 2020, l’UE ha adottato una serie di iniziative volte a mettere le persone al centro della transizione digitale: ciascuna iniziativa persegue un obiettivo specifico, come creare un ambiente online più sicuro, rendere l’economia digitale più equa e competitiva, agevolare la ricerca innovativa, garantire lo sviluppo di un’intelligenza artificiale sicura e affidabile e creare un autentico mercato unico dei dati.
Il GDPR fornisce inoltre una base per iniziative settoriali che incidono sul trattamento dei dati personali, ad esempio nei settori dei servizi finanziari, della salute, dell’occupazione, della mobilità e dell’applicazione delle norme.
Secondo la Commissione dovrebbero essere compiuti ulteriori progressi in vari ambiti: bisognerebbe prestare particolare attenzione a sostenere gli sforzi di conformità compiuti dalle piccole e medie imprese (PMI), dai piccoli operatori, dai ricercatori e dagli istituti di ricerca, garantendo che gli orientamenti forniti dalle autorità di protezione dei dati siano più chiari e più facilmente attuabili e rendendo l’interpretazione e l’applicazione del GDPR più coerenti in tutta l’UE.
A norma dell’art. 97 del GDPR, la Commissione dovrebbe esaminare in particolare l’applicazione e il funzionamento del trasferimento internazionale di dati personali verso paesi terzi (ossia paesi al di fuori dell’UE/del SEE) (capo V del GDPR) e dei meccanismi di cooperazione e coerenza tra le autorità nazionali di protezione dei dati (capo VII del GDPR).
Tuttavia, analogamente a quella del 2020, la relazione pubblicata fornisce una valutazione generale dell’applicazione del GDPR che va oltre i suddetti due elementi: essa individua anche una serie di azioni necessarie a sostenere l’applicazione efficace del GDPR in settori prioritari fondamentali.
La relazione si basa inoltre sul monitoraggio continuo dell’applicazione del GDPR da parte della Commissione, anche attraverso dialoghi bilaterali con gli Stati membri in merito alla conformità della legislazione nazionale, il contributo attivo alle attività del comitato e contatti stretti con un’ampia gamma di portatori d’interessi, in relazione all’applicazione pratica del GDPR.
Per conseguire pienamente gli obbiettivi del GDPR, secondo la Commissione, occorre concentrarsi sulle seguenti problematiche:
- una rigorosa applicazione di tale regolamento, a partire dalla rapida adozione della proposta della Commissione relativa alle norme procedurali, in modo da garantire la disponibilità di mezzi di ricorso rapidi e la certezza del diritto nei casi che interessano persone fisiche in tutta l’UE
- un sostegno proattivo da parte delle autorità di protezione dei dati agli sforzi di conformità compiuti dai portatori di interessi, in particolare dalle PMI e dai piccoli operatori
- un’interpretazione e un’applicazione coerenti del GDPR in tutta l’UE
- una cooperazione efficace tra le autorità di regolamentazione a livello sia nazionale che dell’UE per garantire un’applicazione uniforme e coerente del crescente insieme di norme dell’UE sul digitale
- ulteriori progressi nella strategia internazionale della Commissione in materia di protezione dei dati.
Prescrizioni per l’EDPB e dell’Autorità di protezione dei dati
L’EDPB e le Autorità di protezione dei dati sono invitati dalla Commissione a:
- instaurare una cooperazione regolare con altre autorità di regolamentazione settoriali su questioni che hanno un impatto sulla protezione dei dati, in particolare quelle istituite nell’ambito della nuova normativa dell’UE sul digitale, e partecipare attivamente alle strutture a livello dell’UE concepite per agevolare la cooperazione tra autorità di regolamentazione
- avvalersi in misura maggiore degli strumenti di cooperazione previsti dal GDPR, in modo da ricorrere alla composizione delle controversie solo come ultima soluzione possibile
- adottare modalità di lavoro più efficienti e mirate per l’elaborazione di orientamenti, pareri e decisioni e dare priorità alle questioni chiave, al fine di ridurre l’onere gravante sulle autorità di protezione dei dati e reagire più rapidamente alle evoluzioni del mercato
- avviare un dialogo costruttivo con i titolari del trattamento e i responsabili del trattamento sulla conformità al GDPR
- intensificare ulteriormente gli sforzi volti a favorire la conformità delle PMI, fornendo orientamenti e strumenti su misura, rispondendo a eventuali preoccupazioni infondate in materia di conformità manifestate da PMI la cui attività principale non consiste nel trattamento di dati personali e coadiuvandole nei loro sforzi di conformità
- sostenere l’attuazione di efficaci misure di conformità da parte delle imprese, quali la certificazione e i codici di condotta, interagendo con i portatori di interessi durante il processo di approvazione, stabilendo tempistiche chiare per le approvazioni e spiegando ai gruppi chiave di portatori di interessi in che modo possono essere utilizzati tali strumenti
- garantire che gli orientamenti nazionali e l’applicazione del GDPR a livello nazionale siano coerenti con gli orientamenti del comitato (EDPB) e con la giurisprudenza della Corte di giustizia
- risolvere le divergenze di interpretazione del GDPR tra le autorità di protezione dei dati, anche tra le autorità dello stesso Stato membro
- fornire orientamenti concisi, pratici e accessibili al pubblico interessato
- garantire una consultazione più tempestiva e più significativa per quanto riguarda gli orientamenti e i pareri
- portare a termine in via prioritaria le attività in corso sugli orientamenti riguardanti i dati dei minori, la ricerca scientifica, l’anonimizzazione, la pseudonimizzazione e il legittimo interesse
- portare a termine le attività volte a razionalizzare e abbreviare il processo di approvazione delle norme vincolanti d’impresa e ad aggiornare gli orientamenti su elementi contenuti nelle norme vincolanti d’impresa per il responsabile del trattamento
- esaminare modalità/strumenti per assistere ulteriormente gli esportatori di dati nei loro sforzi di conformità in relazione alle prescrizioni della sentenza Schrems II
- esaminare ulteriori modalità per garantire un’applicazione efficace delle norme nei confronti degli operatori stabiliti in paesi terzi che rientrano nell’ambito di applicazione territoriale del GDPR.
Prescrizioni per gli Stati membri
Gli Stati membri, a loro volta, devono:
- garantire l’indipendenza effettiva e piena delle autorità nazionali di protezione dei dati
- assegnare risorse sufficienti alle autorità di protezione dei dati per consentire loro di svolgere i loro compiti, in particolare dotandole delle risorse tecniche e delle competenze necessarie per occuparsi delle tecnologie emergenti e ottemperare alle nuove responsabilità previste dalla normativa sul digitale
- dotare le autorità di protezione dei dati degli strumenti di indagine necessari affinché possano esercitare efficacemente i poteri di esecuzione previsti dal GDPR
- favorire il dialogo tra le autorità di protezione dei dati e altre autorità nazionali di regolamentazione, in particolare quelle istituite a norma della nuova normativa sul digitale
- garantire che le autorità di protezione dei dati vengano consultate tempestivamente prima dell’adozione della normativa sul trattamento dei dati personali
L’impegno della Commissione
La Commissione ha esplicitato il proprio impegno, e le conseguenti misure che porrà in essere, volte a sostenere l’applicazione efficace del GDPR in settori prioritari fondamentali.
In particolare, la Commissione:
- sosterrà attivamente la rapida adozione della proposta relativa alle norme procedurali del GDPR da parte dei colegislatori
- continuerà a monitorare attentamente l’indipendenza effettiva e completa delle autorità nazionali di protezione dei dati
- creerà sinergie e coerenza tra il GDPR e tutta la normativa inerente al trattamento dei dati personali sulla base dell’esperienza e, se necessario, adotterà misure adeguate per garantire la certezza del diritto
- rifletterà su come affrontare meglio la necessità di una cooperazione strutturata ed efficiente tra le autorità di regolamentazione per garantire l’applicazione efficace, uniforme e coerente delle norme dell’UE sul digitale, rispettando nel contempo la competenza delle autorità di protezione dei dati per quanto riguarda tutte le questioni inerenti al trattamento dei dati personali.
- continuerà a utilizzare tutti gli strumenti a sua disposizione, comprese le procedure di infrazione, per garantire che gli Stati membri rispettino il GDPR
- continuerà a favorire scambi di opinioni e prassi nazionali tra gli Stati membri, anche attraverso il gruppo di esperti degli Stati membri sul GDPR
- provvederà affinché i minori siano protetti, responsabilizzati e rispettati online
- rifletterà sulle possibili prossime azioni da compiere per quanto riguarda la proposta di regolamento sulla vita privata e le comunicazioni elettroniche, compresa la sua relazione con il GDPR.
- continuerà a fornire sostegno finanziario alle attività delle autorità di protezione dei dati che agevolano l’assolvimento degli obblighi previsti dal GDPR da parte delle PMI
- utilizzerà tutti i mezzi disponibili per fornire chiarimenti rapidi su questioni importanti per i portatori di interessi, comprese le PMI, in particolare richiedendo il parere del comitato
- compirà ulteriori progressi nei colloqui in corso sull’adeguatezza, valuterà l’ulteriore sviluppo degli accertamenti dell’adeguatezza esistenti e intraprenderà nuovi dialoghi sull’adeguatezza con i partner interessati
- favorirà una maggiore cooperazione in seno alla rete dei paesi che beneficiano di decisioni di adeguatezza
- porterà a termine le attività sulle clausole contrattuali tipo aggiuntive, in particolare per i trasferimenti di dati il cui trattamento è direttamente soggetto al GDPR agli importatori di dati e per i trasferimenti di dati da parte delle istituzioni e degli organi dell’UE a norma del Regolamento (UE) 2018/1725
- coopererà con i partner internazionali per agevolare la circolazione dei dati sulla base di clausole contrattuali tipo
- sosterrà i processi di riforma in corso nei paesi terzi per quanto riguarda norme nuove o aggiornate in materia di protezione dei dati, condividendo esperienze e migliori pratiche
- dialogherà con le organizzazioni internazionali e regionali quali l’OCSE e il G7 per promuovere una circolazione affidabile dei dati sulla base di elevati standard di protezione dei dati, anche nel contesto dell’iniziativa DFFT
- agevolerà e favorirà gli scambi tra le autorità di regolamentazione europee e internazionali, anche attraverso l’Accademia sulla protezione dei dati;
- contribuirà ad agevolare la cooperazione internazionale tra le autorità di controllo in materia di applicazione delle norme.