TUTELA DEI DATI PERSONALI
Commissione UE: pubblicato il secondo rapporto sull'applicazione del GDPR.
La Commissione europea ha sollevato rilevanti questioni e segnalato non poche criticità di applicazione del Regolamento generale sulla protezione dei dati (GDPR) e ha chiesto linee guida più chiare per rafforzare la protezione dei dati negli Stati membri nel secondo rapporto pubblicato.
Si tratta della seconda relazione della Commissione europea sull'applicazione del GDPR, in vigore dal 2018. Il rapporto periodico è richiesto ogni quattro anni, a partire dal 2020, e la Commissione UE pubblica revisioni del GDPR per identificare eventuali problemi applicativi, in vista di possibili modifiche del regolamento. Il primo rapporto sul GDPR è del 2020.
In particolare, la relazione ha evidenziato un aumento significativo dell'attività di applicazione delle norme da parte delle autorità di protezione dei dati negli ultimi anni, comprese le sanzioni pecuniarie per:
- la violazione della liceità e della sicurezza del trattamento;
- la violazione del trattamento di categorie particolari di dati personali; e
- il mancato rispetto dei diritti delle persone.
Per quanto riguarda le autorità di protezione dei dati, la relazione ha rilevato l'aumento delle risorse per le autorità di protezione dei dati in termini di bilancio e personale. Tuttavia, è stato notato che le autorità per la protezione dei dati hanno difficoltà a gestire un numero elevato di reclami dei consumatori e adottano interpretazioni divergenti del GDPR. Il rapporto ha inoltre evidenziato una applicazione frammentaria del GDPR in aree quali l'età minima per il consenso di un minore, l'introduzione di ulteriori condizioni per il trattamento di dati genetici, dati biometrici e dati sanitari e il trattamento di dati personali relativi a condanne penali e reati.
Per quanto riguarda i diritti degli interessati, la relazione ha rilevato che il diritto di accesso è il diritto esercitato più frequentemente dagli interessati, anche se permangono difficoltà nell'interpretazione quando le richieste sono infondate o eccessive. E’ poi incrementato l’esercizio del diritto alla portabilità dei dati, facilitato dall'obbligo, previsto dalla legge sui mercati digitali (DMA) per i "gatekeeper" di fornire un'effettiva portabilità dei dati degli utenti. Per quanto riguarda l'esercizio dei diritti degli interessati da parte dei minori, la relazione ha concluso che i minori non comprendono appieno i loro diritti.
Sono state altresì analizzate le sfide in materia di protezione dei dati affrontate dalle piccole e medie imprese (PMI) e in tale settore è stato evidenziato che parecchi problemi permangono per quanto riguarda il ruolo del responsabile della protezione dei dati (DPO), tra cui:
- nomina di DPO con la necessaria esperienza;
- mancanza di norme a livello dell'UE per l'istruzione e la formazione;
- mancata integrazione adeguata dei DPO;
- mancanza di risorse;
- altri compiti al di fuori della protezione dei dati; e
- insufficiente seniority.
La seconda relazione prende poi in considerazione il panorama del trasferimento dei dati, riconoscendo che le decisioni di adeguatezza della Commissione UE hanno facilitato i flussi internazionali dei dati. La relazione ha rilevato che le decisioni di adeguatezza adottate dalla Commissione sono sempre più rilevanti in quanto le giurisdizioni con uno status adeguato sono riconosciute anche da altre giurisdizioni come destinazioni sicure ai sensi delle proprie norme in materia di protezione dei dati. Sebbene la relazione riconosca che gli esportatori di dati hanno difficoltà a gestire le valutazioni d'impatto sui trasferimenti, le clausole contrattuali standard dell'UE e le norme vincolanti d'impresa sono ancora ampiamente utilizzate. L'adozione di clausole modello da parte di altre giurisdizioni ha infine aumentato la portata dei flussi transfrontalieri di dati.
Le raccomandazioni conclusive della seconda relazione per garantire una rafforzata protezione delle persone fisiche e assicurare la libera circolazione dei dati personali all'interno e all'esterno dell'UE, insistono, tra l'altro, sui seguenti aspetti:
La relazione 2024 potrebbe portare finalmente a modifiche effettive del GDPR, ma non è chiaro quanto queste saranno sostanziali o se ci si limiterà a suggerire al Comitato europeo per la protezione dei dati personali l’adozione di nuove linee guida.
Si tratta della seconda relazione della Commissione europea sull'applicazione del GDPR, in vigore dal 2018. Il rapporto periodico è richiesto ogni quattro anni, a partire dal 2020, e la Commissione UE pubblica revisioni del GDPR per identificare eventuali problemi applicativi, in vista di possibili modifiche del regolamento. Il primo rapporto sul GDPR è del 2020.
In particolare, la relazione ha evidenziato un aumento significativo dell'attività di applicazione delle norme da parte delle autorità di protezione dei dati negli ultimi anni, comprese le sanzioni pecuniarie per:
- la violazione della liceità e della sicurezza del trattamento;
- la violazione del trattamento di categorie particolari di dati personali; e
- il mancato rispetto dei diritti delle persone.
Per quanto riguarda le autorità di protezione dei dati, la relazione ha rilevato l'aumento delle risorse per le autorità di protezione dei dati in termini di bilancio e personale. Tuttavia, è stato notato che le autorità per la protezione dei dati hanno difficoltà a gestire un numero elevato di reclami dei consumatori e adottano interpretazioni divergenti del GDPR. Il rapporto ha inoltre evidenziato una applicazione frammentaria del GDPR in aree quali l'età minima per il consenso di un minore, l'introduzione di ulteriori condizioni per il trattamento di dati genetici, dati biometrici e dati sanitari e il trattamento di dati personali relativi a condanne penali e reati.
Per quanto riguarda i diritti degli interessati, la relazione ha rilevato che il diritto di accesso è il diritto esercitato più frequentemente dagli interessati, anche se permangono difficoltà nell'interpretazione quando le richieste sono infondate o eccessive. E’ poi incrementato l’esercizio del diritto alla portabilità dei dati, facilitato dall'obbligo, previsto dalla legge sui mercati digitali (DMA) per i "gatekeeper" di fornire un'effettiva portabilità dei dati degli utenti. Per quanto riguarda l'esercizio dei diritti degli interessati da parte dei minori, la relazione ha concluso che i minori non comprendono appieno i loro diritti.
Sono state altresì analizzate le sfide in materia di protezione dei dati affrontate dalle piccole e medie imprese (PMI) e in tale settore è stato evidenziato che parecchi problemi permangono per quanto riguarda il ruolo del responsabile della protezione dei dati (DPO), tra cui:
- nomina di DPO con la necessaria esperienza;
- mancanza di norme a livello dell'UE per l'istruzione e la formazione;
- mancata integrazione adeguata dei DPO;
- mancanza di risorse;
- altri compiti al di fuori della protezione dei dati; e
- insufficiente seniority.
La seconda relazione prende poi in considerazione il panorama del trasferimento dei dati, riconoscendo che le decisioni di adeguatezza della Commissione UE hanno facilitato i flussi internazionali dei dati. La relazione ha rilevato che le decisioni di adeguatezza adottate dalla Commissione sono sempre più rilevanti in quanto le giurisdizioni con uno status adeguato sono riconosciute anche da altre giurisdizioni come destinazioni sicure ai sensi delle proprie norme in materia di protezione dei dati. Sebbene la relazione riconosca che gli esportatori di dati hanno difficoltà a gestire le valutazioni d'impatto sui trasferimenti, le clausole contrattuali standard dell'UE e le norme vincolanti d'impresa sono ancora ampiamente utilizzate. L'adozione di clausole modello da parte di altre giurisdizioni ha infine aumentato la portata dei flussi transfrontalieri di dati.
Le raccomandazioni conclusive della seconda relazione per garantire una rafforzata protezione delle persone fisiche e assicurare la libera circolazione dei dati personali all'interno e all'esterno dell'UE, insistono, tra l'altro, sui seguenti aspetti:
- supporto proattivo da parte delle autorità di protezione dei dati;
- applicazione coerente del GDPR in tutta l'UE;
- cooperazione efficace tra le autorità di protezione dei dati;
- instaurare una cooperazione con le autorità di regolamentazione settoriali su questioni che hanno un impatto sulla protezione dei dati.
La relazione 2024 potrebbe portare finalmente a modifiche effettive del GDPR, ma non è chiaro quanto queste saranno sostanziali o se ci si limiterà a suggerire al Comitato europeo per la protezione dei dati personali l’adozione di nuove linee guida.
