A poco più di un anno dall’inizio dell’applicazione del regolamento generale sulla protezione dei dati (RGPD), la Commissione europea ha pubblicato una relazione che analizza gli effetti prodotti dalle norme dell’UE in materia e una Comunicazione che valuta anche come rendere ancor più efficace la loro attuazione. La relazione redatta attraverso i contributi raccolti fra associazioni della società civile, business e singoli (soprattutto accademici) sulla base di un questionario tratta 11 aspetti principali del GDPR: l’esercizio dei diritti degli interessati; consenso; reclami e azioni legali; utilizzo di azioni rappresentative ai sensi dell’articolo 80 del GDPR; esperienza con le autorità di protezione dei dati (DPA) e il meccanismo dello sportello unico (OSS); esperienza con responsabilità e approccio basato sul rischio; Responsabili della protezione dei dati (RPD); relazione responsabile della gestione e del trattamento dei dati; l’adattamento / ulteriore sviluppo delle clausole contrattuali standard (SCC) per i trasferimenti internazionali; esperienza con la legislazione nazionale di attuazione del GDPR.
Secondo la relazione, redatta dal Multistakeholder Expert Group sul GDPR, la maggior parte degli Stati membri ha istituito il quadro giuridico necessario e il nuovo sistema volto a rafforzare l’attuazione delle norme in materia di protezione dei dati sta entrando a regime. Tra le imprese si sta diffondendo una cultura della conformità, mentre i cittadini sono sempre più consapevoli dei loro diritti. Si registrano progressi anche in termini di convergenza internazionale verso standard rigorosi di protezione dei dati.
Frans Timmermans, Primo vicepresidente della Commissione europea, ha dichiarato: “L’Unione europea vuole restare un’eccellenza per quanto riguarda la protezione dei diritti della persona sullo sfondo della trasformazione digitale, cogliendo al contempo le numerose opportunità che questa offre in termini di occupazione e innovazione. I dati si stanno rivelando preziosissimi per un’economia digitale in forte espansione e svolgono un ruolo sempre più importante nello sviluppo di sistemi innovativi e modelli di apprendimento automatico.”
La Comunicazione della Commissione invece individua misure concrete per rafforzarle ulteriormente e migliorarne l’applicazione.
- Un continente, una legge: a oggi tutti gli Stati membri (tranne Grecia, Portogallo e Slovenia) hanno aggiornato la legislazione nazionale per allinearla alle norme dell’UE in materia di protezione dei dati. Se necessario, la Commissione non esiterà a usare gli strumenti a sua disposizione (comprese le procedure d’infrazione) per garantire che gli Stati membri recepiscano e applichino correttamente la normativa.
- Le imprese stanno adeguando le loro pratiche. La Commissione appoggerà la creazione di un pacchetto di strumenti dedicati – quali clausole contrattuali tipo, codici di condotta e nuovi sistemi di certificazione – che agevolino il rispetto del regolamento generale sulla protezione dei dati da parte delle imprese. Continuerà inoltre a sostenere le piccole e medie imprese nell’applicazione delle norme.
- Un ruolo più attivo per le autorità di protezione dei dati: il regolamento generale sulla protezione dei dati ha conferito maggiori poteri alle autorità nazionali di protezione dei dati, chiamate ad assicurare l’applicazione delle disposizioni normative. Nel corso del primo anno tali autorità hanno instaurato una cooperazione più stretta con il comitato europeo per la protezione dei dati: alla fine di giugno 2019 i casi transfrontalieri gestiti grazie a questo meccanismo di cooperazione erano 516. La Commissione esorta le autorità nazionali di protezione dei dati a unire le forze, ad esempio svolgendo indagini congiunte.
- Le norme dell’UE come punto di riferimento per rafforzare gli standard di protezione dei dati a livello mondiale: sempre più spesso i paesi che si vogliono dotare di norme moderne per la protezione dei dati prendono come riferimento il livello di protezione offerto dall’UE. Questa convergenza verso l’alto apre nuove prospettive per la circolazione sicura dei dati tra l’UE e i paesi terzi. La Commissione intende vagliare la possibilità di istituire quadri multilaterali che consentano di scambiare dati con la massima fiducia.
Il prossimo bilancio sull’applicazione del GDPR, previsto fra un anno, sarà curato dai nuovi commissari.