Seconda relazione della Commissione europea sull’applicazione del GDPR nell’Unione europea

È stata resa pubblica la seconda relazione sull’applicazione del regolamento generale sulla protezione dei dati (GDPR) elaborata dalla Commissione europea i cui principi essenziali, a detta della stessa Commissione, costituiscono i pilastri che stanno guidando la transizione digitale nell’UE.

La relazione, frutto di un costante monitoraggio, fornisce una valutazione generale sullo stato di applicazione del GDPR e identifica le azioni necessarie a sostenerne un’applicazione coerente in tutta l’Unione europea ed efficace in tanti settori prioritari.

Vediamo i punti attenzionati dalla Commissione e le azioni proposte.

L’applicazione del GDPR e il funzionamento dei meccanismi di cooperazione e coerenza

La relazione del 2020 poneva la sua attenzione sulla necessità di rendere più efficiente e armonizzato il trattamento dei casi transfrontalieri in tutta l’UE, in particolare per le persistenti differenze tra le procedure amministrative e alcune interpretazioni nazionali nell’ambito del meccanismo di cooperazione del GDPR.

A tal fine la Commissione auspica, quanto prima, l’approvazione della proposta di regolamento, adottata a luglio 2023, relativa proprio alle norme procedurali[1], che pone attenzione sul coinvolgimento del reclamante, sui diritti della difesa e sulla cooperazione tra le autorità di protezione dei dati.

Negli ultimi anni il numero di casi transfrontalieri è aumentato notevolmente: le Autorità nazionali (di seguito: Autorità) hanno dimostrato una sempre maggiore disponibilità ad avvalersi degli strumenti di cooperazione in particolare quelli di assistenza reciproca. È stato molto utilizzato il meccanismo di coerenza e il Comitato ha adottato ben 190 pareri in materia che hanno avuto ad oggetto la base giuridica del trattamento, gli obblighi di informazione e trasparenza, la notifica delle violazioni dei dati, i diritti degli interessati, le deroghe per i trasferimenti internazionali e il ricorso a misure correttive.

Poco utilizzato risulta, al contrario, il meccanismo delle operazioni congiunte[2] minato dalle dichiarate riconosciute differenze tra le diverse procedure nazionali e dalla mancanza di una procedura chiara e definita. A tale proposito la Commissione segnala come un maggiore sviluppo di tali modalità di cooperazione, tutte già previste dal GDPR, potrebbe essere una delle strategie da adottare per ridurre l’impatto delle controversie e dei reclami che gravano sulle Autorità in misura consistente.

Molte Autorità hanno anche fatto un uso efficace di procedure di “composizione amichevole”, che consentono di risolvere i reclami in modo rapido e soddisfacente per il reclamante.

Sanzioni

Significativo l’impatto delle sanzioni pecuniarie inflitte anche nei confronti di grandi imprese tecnologiche multinazionali anche nell’ambito di casi di rilevanza storica. Complessivamente sono state irrogate oltre 6.680 sanzioni pecuniarie, per un importo totale di circa 4,2 miliardi di euro.

La Commissione auspica una sempre maggiore uniformità interpretativa ed applicativa del Regolamento, anche con il contributo degli Orientamenti adottati dal Comitato: quest’ultimi devono essere, per quanto possibile, sempre più di facile comprensione, concisi, con risposte a problemi concreti avendo attenzione ad un equilibrio tra la protezione dei dati e altri diritti fondamentali. I temi sui quali è maggiore l’esigenza di un intervento sono l’anonimizzazione e la pseudonimizzazione, il legittimo interesse e la ricerca scientifica.

L’attuazione del GDPR da parte degli stati membri

Frammentazione dell’applicazione a livello nazionale

L’esercizio della clausola di flessibilità da parte degli Stati membri ha determinato differenti interpretazioni e conseguenti asimmetrie applicative su temi di non poca rilevanza, in particolare si segnalano:

• l’età minima per il consenso dei minori in relazione all’offerta di servizi della società dell’informazione;
• l’introduzione di condizioni ulteriori per il trattamento di dati genetici, biometrici o relativi alla salute;
• il trattamento dei dati personali relativi a condanne penali e reati.

Non è valso a mitigarne gli effetti la previsione del GDPR che impone agli Stati membri di consultare le rispettive autorità nazionali di protezione dei dati già nella fase di elaborazione della legislazione in materia.

Monitoraggio Commissione

Prosegue costante l’attività di monitoraggio da parte della Commissione. Sono state avviate procedure di infrazione nei confronti di taluni Stati membri in relazione a questioni quali l’indipendenza delle autorità di protezione dei dati e il diritto degli interessati a un ricorso giurisdizionale effettivo. Informazioni periodiche sono state richieste sui casi transfrontalieri, in particolare nei confronti di grandi imprese tecnologiche multinazionali.

Un ruolo rilevante stanno assumendo le pronunce della Corte di giustizia, che assumono un ruolo centrale ai fini di un’interpretazione coerente dei principi cardine del GDPR.

La Corte ha fornito chiarimenti in merito alla definizione di dati personali[3], alle categorie particolari di dati personali, al titolare del trattamento, al consenso, al legittimo interesse, al diritto di accesso, al diritto alla cancellazione, al diritto al risarcimento, al processo decisionale automatizzato relativo alle persone fisiche, alle sanzioni amministrative pecuniarie, ai responsabili della protezione dei dati[4], alla pubblicazione dei dati personali nei registri e all’applicazione del GDPR alle attività dei Parlamenti.

I diritti degli interessati

Appare sicuramente accresciuta la consapevolezza dei propri diritti, elemento che ha contribuito a determinare il rilevante incremento di richieste di intervento da parte delle Autorità. Vediamo gli elementi emersi.

Accesso

I titolari del trattamento riferiscono che il diritto di accesso è quello più esercitato dagli interessati.

Le organizzazioni della società civile osservano che spesso le risposte vengono fornite in ritardo o sono incomplete, mentre i dati ricevuti non sono sempre in un formato leggibile.

Le autorità pubbliche menzionano difficoltà riguardanti l’interazione tra il diritto di accesso e le norme sull’accesso del pubblico ai documenti.

Nel febbraio 2024 il Comitato ha avviato un’azione congiunta sul diritto di accesso nell’ambito del quadro di applicazione coordinata. Sicuramente gli esiti daranno luogo ad interventi specifici.

Portabilità

La Commissione ha adottato una serie di iniziative che agevolano il passaggio da un servizio all’altro, così da incrementare le possibilità di scelta a disposizione delle persone, favorire la concorrenza e l’innovazione e consentire alle persone di trarre vantaggi dall’uso dei loro dati. Obiettivo perseguito dal Regolamento sui mercati digitali che impone ai fornitori di servizi di piattaforma individuati come “gatekeeper” di garantire l’effettiva portabilità dei dati degli utenti, compreso un accesso continuo e in tempo reale.

La protezione dei dati personali dei minori

È uno dei passaggi più delicati, oggetto di approfondimento anche dello scorso G7 Privacy: i minori, i cui dati sono oggetto ambito di trattamento, necessitano di una protezione specifica, sia offline che online. Considerato l’incremento della presenza on line di minori, negli ultimi anni sono state intraprese varie azioni a livello dell’UE e nazionale per favorirne la protezione ma anche la loro responsabilizzazione; significative sono state le sanzioni irrogate alle imprese del settore dei social media per violazioni che hanno riguardato i minori.

Anche il Regolamento sui servizi digitali include disposizioni mirate a garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori che utilizzano le piattaforme online.

Il GDPR pilastro della politica UE nel settore digitale

Una politica sul digitale basata sul GDPR

Nella relazione del 2020 la Commissione si era impegnata a sostenere un’applicazione coerente del quadro per la protezione dei dati in relazione alle nuove tecnologie anche per fornire sostegno all’innovazione e agli sviluppi tecnologici.

Da allora l’UE ha adottato una serie di iniziative che intervengono in settori specifici con unità di obiettivi:

• il Regolamento sui servizi digitali, che mira a garantire un ambiente online sicuro per le persone e le imprese, vieta alle piattaforme online di mostrare pubblicità basate sulla profilazione utilizzando le “categorie particolari di dati personali” quali definite nel GDPR;
• il Regolamento sui mercati digitali, per rendere i mercati digitali più equi e contendibili, vieta agli operatori designati come “gatekeeper” di “combinare” e “utilizzare in modo incrociato” i dati personali tra i loro servizi di piattaforma di base e altri servizi, fatto salvo il caso in cui l’utente abbia fornito il proprio legittimo consenso, come qualificato ai sensi del GDPR;
• il Regolamento sull’IA richiama le norme dell’UE in materia di protezione dei dati nei settori specifici in cui viene utilizzata l’intelligenza artificiale (nei sistemi di identificazione biometrica remota) al trattamento di categorie particolari di dati per rilevare distorsioni e all’ulteriore trattamento dei dati personali negli spazi di sperimentazione normativa;
• la Direttiva sul lavoro mediante piattaforme digitali integra il GDPR nel settore dell’occupazione stabilendo norme sui sistemi decisionali e di monitoraggio automatizzati utilizzati dalle piattaforme di lavoro digitali, in particolare per quanto riguarda le limitazioni al trattamento dei dati personali, la trasparenza, la sorveglianza umana, il riesame e la portabilità;
• il Regolamento sulla pubblicità politica vieta di utilizzare categorie particolari di dati personali e richiede una maggiore trasparenza in merito alle tecniche di targeting e di amplificazione utilizzate;
• il Regolamento sull’identità digitale europea consente la creazione di un portafoglio europeo di identità digitale universale, affidabile e sicuro. Ciò consentirà alle persone di dimostrare attributi personali, come età, patenti di guida, diplomi e conti bancari, mantenendo il pieno controllo dei loro dati personali e senza superflue condivisioni.

È ovvio che ogni altra proposta, ove riguardi dati personali, dovrà necessariamente certamente operare una riflessione di coerenza con il GDPR ma anche tener conto della crescente giurisprudenza in materia, da parte della Corte di Giustizia europea. A tal fine utili saranno gli spazi di sperimentazione normativa per l’interoperabilità.

Non solo, lo sviluppo di normative sul digitale fa sorgere la necessità di una sempre più stretta cooperazione in tutti i settori normativi, tanto più necessaria proprio perché le questioni relative alla protezione dei dati si intersecano sempre più con le questioni relative, tra l’altro, al diritto della concorrenza, al diritto dei consumatori, alle norme sui mercati digitali, alla regolamentazione delle comunicazioni elettroniche e alla cibersicurezza.

Fondamentale appare l’esigenza di favorire il dialogo tra le autorità di protezione dei dati e altre autorità nazionali di regolamentazione, in particolare quelle istituite a norma della nuova normativa sul digitale.

Molti già gli esempi di interazione e cooperazione avviate tra le autorità di regolamentazione competenti in diversi settori per garantire un’applicazione coerente: il gruppo ad alto livello del regolamento sui mercati digitali, il comitato europeo per l’innovazione in materia di dati (ex regolamento sulla governance dei dati) e il comitato europeo per i servizi digitali (ex regolamento sui servizi digitali).

I trasferimenti internazionali e la cooperazione globale

I flussi di dati sono diventati parte integrante della trasformazione digitale della società e della globalizzazione dell’economia. Più che mai, il rispetto della vita privata è una precondizione irrinunciabile per assicurare flussi commerciali stabili, sicuri e competitivi, nonché un fattore abilitante per molte forme di cooperazione internazionale.

Il capo V del GDPR predispone un pacchetto di strumenti per gestire i trasferimenti in vari scenari differenti, garantendo allo stesso tempo che i dati continuino a beneficiare del medesimo elevato livello di protezione quando escono dall’UE.

La Commissione si pone l’obiettivo di monitorare, in maniera costante, l’evoluzione del quadro di riferimento, nei paesi che già beneficiano di accertamenti dell’adeguatezza e riesamina periodicamente le decisioni adottate, in ottemperanza ai suoi obblighi come previsti dal GDPR.

Quanto prima verranno adottate clausole contrattuali tipo aggiuntive e verrà incrementato il dialogo con le organizzazioni internazionali e regionali per promuovere una circolazione affidabile dei dati sulla base di elevati standard di protezione dei dati.

Il cammino

Lo sforzo di tutela, proprio perché deve essere finalizzata alla libera circolazione dei dati personale, deve proseguire e confrontarsi con una realtà in continua, e veloce, trasformazione. Tutte le azioni sono necessarie per sostenere un’efficace applicazione del GDPR e orientare le riflessioni future sulla protezione dei dati. La relazione della Commissione indica a tutti, Stati membri, Comitato, Autorità, impegni da rispettare e azioni da porre in essere su ogni punto. La stessa Commissione è impegnata a sostenere e monitorarne l’attuazione anche in vista della prossima relazione, la cui pubblicazione è prevista nel 2028.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA.

[1] Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce norme procedurali aggiuntive relative all’applicazione del regolamento (UE) 2016/679 (COM (2023) 348 final). Oggetto di negoziati in seno al Parlamento UE e al Consiglio.

[2] Internal EDPB Document 1/2021 on the application of Art. 62 GDPR – Joint Operations.

[3] Causa C-319/22.

[4] Causa C-453/21.