A maggio del 2020 il Regolamento generale sulla protezione dei dati (GDPR) n. 679/2016 compirà due anni dalla applicazione, avvenuta il 25 maggio 2018 (quattro anni dall’entrata in vigore).
L’articolo 97 del Regolamento prevede al paragrafo 1 che “entro il 25 maggio 2020 e, successivamente, ogni quattro anni, la Commissione trasmette al Parlamento europeo e al Consiglio relazioni di valutazione e sul riesame del presente regolamento”.
Il paragrafo 5 dello stesso articolo prevede l’eventuale presentazione da parte della Commissione di “opportune proposte di modifica del presente regolamento tenuto conto, in particolare, degli sviluppi delle tecnologie dell’informazione e dei progressi della società dell’informazione”.
Questo è quello che dovrà verificarsi. Quello che invece è già avvenuto è la presentazione da parte delle rappresentanze permanenti degli Stati membri dell’UE presso il Consiglio dell’Unione Europea, di un documento di posizione sull’applicazione del Regolamento. La prima bozza è stata prodotta il 19 dicembre 2019 e la seconda (definitiva) il 15 gennaio 2020.
Indice degli argomenti
GDPR, la posizione del Consiglio dell’Ue
Il documento di posizione espone questo oggetto: “Posizione e conclusioni del Consiglio in merito all’applicazione del regolamento generale sulla protezione dei dati (GDPR)”.
Il Consiglio dell’UE ha formalmente poi adottato questo documento il 21 gennaio 2020.
La revisione del Regolamento al Parlamento europeo e al Consiglio dell’UE è prevista entro il 25 maggio 2020 e dovrà tenere conto delle posizioni dei co-legislatori.
Dalla lettura del documento di posizione succitato, composto da 17 pagine, si evincono diverse notizie.
In primo luogo il Consiglio sottolinea che “il GDPR è stato un successo”, definendolo importante pietra miliare e strumento che rafforza il diritto alla protezione dei dati personali atto a promuovere innovazioni che ispirano fiducia nell’UE. Il consiglio registra che, grazie al GDPR, è accresciuta la consapevolezza dell’importanza della protezione dei dati sia nell’UE che all’estero.
Viene anche detto che, seppur sia stato un successo, sussistono alcuni problemi che richiedono un miglioramento e si delineano le questioni relative all’applicazione e all’interpretazione del GDPR sollevate dalla maggior parte degli Stati membri.
Nelle osservazioni generali si legge:
- dell’aumento significativo del lavoro (e relative implicazioni in termini di risorse) per le autorità di protezione dei dati (DPA) risultante dai meccanismi di cooperazione e di applicazione coerente delle disposizioni;
- dell’importanza della collaborazione tra le autorità di controllo degli Stati membri che dovrebbe essere ulteriormente rafforzata, in quanto è di particolare rilevanza per il controllo dei trattamenti transfrontalieri che comportano rischi oppure per i trattamenti relativi a molti Stati membri, ad esempio per quanto concerne le cosiddette grandi società tecnologiche;
- della necessità di fornire, ai titolari del trattamento e ai responsabili del trattamento, maggiori chiarimenti e orientamenti da parte delle autorità di controllo e dell’EDPB (Comitato europeo per la protezione dei dati);
- di dover rafforzare e sviluppare ulteriormente misure tese a incoraggiare l’elaborazione dei codici di condotta per settore conformemente alle previsioni dell’articolo 40 del GDPR, in particolar modo per quanto riguarda la protezione dei dati personali dei minori e il trattamento dei dati sanitari;
- dell’esigenza di esaminare e chiarire in che modo il GDPR sia in grado di rispondere alle sfide poste dalle nuove tecnologie, citando specificamente argomenti come l’uso di big data, intelligenza artificiale e algoritmi, Internet of Things, blockchain, riconoscimento facciale, nuovi tipi di profilazione e tecnologia deepfake.
Il documento prosegue strutturando in altri paragrafi diversi argomenti.
- In merito alla protezione dei dati per i trasferimenti internazionali, viene esaminata la necessità di aggiornare le clausole contrattuali standard per allinearle al GDPR. Inoltre, viene affermato che sono necessarie ulteriori indicazioni da parte del Comitato europeo per la protezione dei dati (“EDPB”) per quanto riguarda le garanzie appropriate per i trasferimenti di dati ai sensi dell’articolo 46 del GDPR.
- Viene sostenuto il piano della Commissione di riferire nel 2020 sulla revisione delle decisioni di adeguatezza esistenti adottate ai sensi della direttiva sulla protezione dei dati e viene sollecitata la Commissione a esaminare l’adozione di nuove decisioni di adeguatezza.
- Cooperazione e coerenza – secondo il Consiglio, è ancora presto per valutare il funzionamento dei meccanismi di cooperazione e coerenza, dato il breve periodo di applicazione. Tuttavia, l’EDPB dovrebbe sviluppare un accordo di lavoro efficiente tra le autorità di protezione dei dati nei casi multi-giurisdizionali.
- Si osserva che il margine lasciato agli Stati membri dell’UE per stabilire le proprie regole relative all’età del consenso dei minori, ha portato alla frammentazione delle norme giuridiche applicabili.
- Occorre una maggiore chiarezza sulle ipotesi di applicazione extraterritoriale laddove le organizzazioni non UE, soggette al GDPR, non rispettino l’obbligo di nominare un rappresentante nell’UE.
GDPR, il margine per i legislatori nazionali
Il documento, nelle pagine successive, dedica una sezione al margine lasciato dal GDPR ai legislatori nazionali per mantenere o introdurre disposizioni più specifiche per adattare l’applicazione di determinate norme regolamentari. Mentre un certo grado di frammentazione causato da questo margine era previsto e giustificato, un certo numero di Stati membri ha sottolineato che il margine nazionale ha probabilmente comportato conseguenze non intenzionali, in quanto ha, in una certa misura, contribuito a creare un diritto ancora più frammentato di quanto inizialmente fosse previsto.
Occorre, in ogni caso, più tempo ed esperienza per comprendere la questione della sovrapposizione degli ambiti territoriali delle leggi degli Stati membri dell’UE che attuano il GDPR.
Proseguendo la lettura si affronta il tema dei nuovi obblighi per il settore privato, nel particolare caso delle micro, piccole e medie imprese (Pmi) che sono state tra le parti interessate che hanno presentato il maggior numero di domande sull’applicazione del GDPR.
Pur riconoscendo che l’approccio basato sul rischio del regolamento generale sulla protezione dei dati è stata una scelta fatta dal legislatore, il Consiglio ritiene tuttavia importante cercare di valutare da un lato il previsto equilibrio tra l’approccio basato sul rischio degli obblighi del regolamento e la necessità di tenere conto delle esigenze particolare delle Pmi.
Viene indicata l’opportunità di prevedere ulteriori orientamenti e maggiore sostegno per le Pmi da parte delle autorità nazionali di controllo o dell’EDPB, seppur viene riconosciuto che alcuni Stati membri abbiano già elaborato determinati orientamenti e strumenti mirati per le Pmi al fine di rispondere alle loro domande e alle loro esigenze. In sostanza è un invito ad essere più attivi.
Lo stesso supporto consulenziale, orientato alla semplificazione, va esteso anche alle associazioni di beneficenza e di volontariato.
Conclusioni
Il documento si conclude con l’invito alla Commissione di condurre una revisione più completa del GDPR oltre a quanto specificamente menzionato nell’articolo 97.
Poiché la frase conclusiva del documento dice: “Il Consiglio sottolinea inoltre l’importanza di esaminare e chiarire il prima possibile come il GDPR sia applicato in relazione alle sfide rappresentate dalle nuove tecnologie e come possa rispondervi”, personalmente mi sarei aspettato di leggere della proposta di riduzione dell’intervallo di tempo, tra una revisione e l’altra, a due anni rispetto ai quattro previsti. Quattro anni, soprattutto considerando proprio la vorticosa accelerazione delle tecnologie, potrebbe essere un tempo decisamente inadeguato.
