Lo scorso 4 luglio la Commissione UE ha avanzato una proposta normativa per razionalizzare e rendere più efficiente la gestione dei casi transfrontalieri, che si sono finora dimostrati problematici specie per il sovraccarico di alcune autorità capofila (che accentrano sedi di colossi tech per la fiscalità più leggera) e per la accentuata “clemenza” dimostrata da queste autorità in alcune occasioni nei confronti dei soggetti da sanzionare anche per conto di autorità di altri stati membri.
L’iniziativa della Commissione, volta a migliorare, in sostanza, il meccanismo dello one-stop-shop introdotto con il GDPR, trova ora il plauso del Gruppo europeo dei Garanti (EDPB) e del Garante Europeo (EDPS) che, in un comunicato congiunto del 19 settembre 2023, hanno espresso il loro parere positivo all’iniziativa raccomandando una tempestiva adozione della disciplina al fine di garantirne l’efficacia.
Al contempo, però, EDPB ed EDPS hanno enumerato una serie di osservazioni circa la proposta della Commissione, che finiscono per incidere, in certi punti anche radicalmente, sull’iniziativa.
Indice degli argomenti
Le proposte di EDPB ed EDPS
Tra le numerose altre raccomandazioni, l’EDPB auspica innanzitutto un maggiore coinvolgimento delle varie autorità di controllo interessate (innanzitutto quella che per prima ha aperto il caso ma anche le altre che sono interessate dal trattamento, ovvero di frequente tutte le autorità comunitarie vista la capillare diffusione di molti trattamenti dati effettuati online).
Le autorità esprimono poi preoccupazione per i requisiti dell’identificazione del soggetto che si rivolge alle autorità in un caso transfrontaliero e della sua sottoscrizione del reclamo. La proposta della Commissione prevede, infatti, l’invio di una prova d’identità (carta d’identità, patente o passaporto) per poter procedere con l’esame dell’istanza secondo il regolamento, nonché la sottoscrizione dell’istanza medesima, entrambi “appesantimenti” burocratici che secondo l’EDPB e l’EDPS non possono ostacolare l’attività delle autorità sollecitata dalle istanze degli interessati (pur non individuati).
Il parere evidenzia poi la necessità di regole più chiare circa la determinazione, da parte dell’Autorità che dà il via all’istruttoria, se la questione affrontata abbia carattere o meno transnazionale, specie sulla base delle linee guida già emanate dall’EDPB sul tema.
EDPB ed EDPS chiedono poi chiarezza sulla scansione temporale dell’esame dei casi transfrontalieri (in particolare il termine di un mese previsto dalla Commissione per determinare l’ammissibilità o meno di un reclamo transfrontaliero non prevede possibili proroghe e nemmeno determina chiaramente il dies a quo da cui lo stesso decorre).
Le autorità garanti europee criticano anche la disposizione relativa alla possibilità di una composizione amichevole del conflitto che sorge in forza di un reclamo, perché la disposizione relativa traccia genericamente l’istituto senza definirne chiaramente i contorni, i presupposti e gli effetti.
EDPB ed EDPS proseguono poi nel loro esame della normativa per lamentare l’assenza di precisi step temporali per l’indagine e la decisione dei casi transfrontalieri, così da consentire alle autorità e agli utenti di affrontare il caso con maggiore prevedibilità e coinvolgimento.
Peccato che il parere non proponga di introdurre alcuna conseguenza negativa in caso di mancato rispetto di questi termini. Una delle principali esigenze per cui nasce l’iniziativa della Commissione (ovvero il ritardo nella gestione dei cari transfrontalieri in seno al GDPR) sembra quindi affrontato ancora una volta con scarso impatto.
Il parere si sofferma, poi, sull’opportunità di raggiungere un consenso fra le varie autorità interessate e quella capofila non solo in fase di decisione finale, bensì anche nei vari momenti chiave della procedura (ad esempio in esito alla fase di indagine, quando le varie autorità interessate devono essere in grado di interloquire circa l’adeguatezza e sufficienza del quadro probatorio raccolto dall’autorità capofila).
Sul punto la normativa proposta dalla Commissione fa dei passi avanti significativi ma EDPB ed EDPS propongono di precisare ulteriormente le “fasi” del consenso, specie in ragione dei vari sviluppi che può assumere il procedimento (es. accordo, archiviazione, sanzione, comminazione di misure correttive ecc.).
L’EDPB e l’EDPS criticano poi il richiamo agli strumenti di collaborazione previsti dall’art. 61 (assistenza reciproca) e 62 (operazioni congiunte) del GDPR in caso di dissenso, preferendo invece una preliminare ricerca del consenso attraverso lo scambio di osservazioni e commenti fra le autorità, con tempi predefiniti per l’autorità destinataria dell’osservazione per rispondere.
Il parere chiede inoltre alla Commissione di modificare la normativa laddove non consente (salvo l’Autorità capofila lo ritenga rilevante) di sentire il reclamante durante la fase delle indagini, così come le altre Autorità interessate.
Al contrario, l’EDPB non ritiene utile sentire le parti in caso di deferimento al Comitato ex art. 65 GDPR della questione per una decisione collegiale: in tal caso, infatti, la previa audizione delle parti avanti all’Autorità capofila assicura una integrale conoscenza delle posizioni delle parti al Comitato e rende una inutile duplicazione l’audizione (audizione che dovrebbe comunque essere ammessa ove ritenuta necessaria dal Comitato stesso).
EDPB ed EDPS criticano anche le eccessive restrizioni della proposta normativa in tema di accesso ai documenti da parte del reclamante, specie nel caso di archiviazione della posizione.
Il parere prescrive anche alcuni correttivi al fine di garantire una più efficace cooperazione fra le autorità e il Gruppo europeo dei Garanti a cui le procedure su cui non è stato raggiunto un consenso possono essere affidate ai sensi dell’art. 65 GDPR (introducendo anche qui una timeline definita ed una precisa indicazione della documentazione da fornire all’EDPB) e con il Garante europeo.
Il parere congiunto di EDPB e EDPS si chiude, infine, con un diffuso allegato dedicato a proposte di revisione di wording della proposta normativa.
Il parere positivo di EDPB ed EDPS
Il parere del Gruppo dei garanti e del Garante europeo, nonostante i diffusi e in alcuni casi incisivi suggerimenti di modifica, testimoniano in ogni caso un generale favore verso la misura proposta dalla Commissione, e in molte parti del parere EDPB e EDPS esprimono apertamente il loro plauso per l’iniziativa.
Raccolgono in particolare il parere positivo dell’EDPB le precisazioni in tema di diritto di accesso al fascicolo istruttorio da parte delle parti (titolari e responsabili) coinvolte, così come le disposizioni rivolte alla cooperazione ed alla ricerca di una posizione unitaria sin dalle fasi iniziali della procedura fra le varie autorità.
GDPR e casi transfrontalieri: quali prospettive
Il parere positivo di EDPB ed EDPS traspare in ogni caso e soprattutto dall’invito alla Commissione a procedere a ritmi serrati nell’emanazione di questa disciplina in tema di gestione dei casi transfrontalieri, che quindi ora dovrà essere rivista dalla Commissione prima della sua emanazione.
Lo scritto diffuso dalle principali autorità comunitarie in tema di protezione dei dati personali di fatto ammette l’esistenza di un problema diffuso nel meccanismo del c.d. one-stop-shop e la necessità di intervenire per catalizzarne il funzionamento.
La risposta normativa al problema non è comunque, da sola, sufficiente a risolvere il problema derivante dalla gestione dei casi sulla base dell’individuazione di una autorità capofila (sulla base del luogo in cui il titolare ha il proprio stabilimento principale).
La soluzione, in questo senso, passa o per un serio potenziamento delle autorità di controllo maggiormente sotto stress, o per una innovazione sulla disciplina GDPR (quindi parliamo di una modifica normativa che dovrebbe incidere direttamente sul GDPR, che non è possibile con il regolamento di cui parliamo oggi) che introduca maggiore flessibilità nel criterio di scelta dell’autorità competente, specie quando si ha a che fare con aziende che di fatto hanno stabilimenti in tutta l’UE ma “preferiscono” la sede irlandese o lussemburghese per mere ragioni di convenienza fiscale.
Come sottolineato da EDPB ed EDPS, inoltre, la normativa contribuirà ad aumentare il carico di lavoro anche delle autorità diverse da quella capofila e a questo aumento del carico dovrà corrispondere un adeguato irrobustimento di fondi e personale. Resta il fatto che questo irrobustimento non è utile se le autorità capofila rimangono un collo di bottiglia insuperabile in queste situazioni.
Il maggior coinvolgimento delle autorità interessate è senz’altro utile per una armonizzazione delle sanzioni (e per evitare punizioni miti nei confronti di colossi -specie stranieri- con cui le autorità capofila danno l’impressione di cercare un atteggiamento accomodante), ma non risolve il problema del sovraccarico di queste ultime.
Proprio questo aspetto permette di evidenziare che forse il regolamento proposto dalla Commissione per il trattamento di casi transfrontalieri poteva tentare di inserire una previsione di un potere supplente da parte dell’autorità non competente sulla base del meccanismo one-stop-shop, di fronte all’inerzia protratta da parte dell’autorità competente (salvo ricorrere al meccanismo d’urgenza previsto dall’art. 66 GDPR, che comunque rimane uno strumento residuale ed eccezionale, quindi non idoneo a risolvere le problematiche derivanti dalla gestione dei casi transfrontalieri).
