La portata del GDPR nel rafforzare la tutela dei diritti dei cittadini UE in tema di protezione dei dati personali è stata di grande impatto, incidendo sulla vita di cittadini e imprese e creando nuovi standard nella protezione dei dati personali ormai interiorizzati dalla più parte degli operatori.
Tra i meccanismi introdotti dal Regolamento però quello del c.d. one-stop-shop, fortemente voluto dalle grandi imprese tecnologiche che operano a livello comunitario per razionalizzare i rapporti con le autorità di controllo, che assegna all’autorità dello stabilimento principale del titolare il ruolo di “autorità capofila” nel trattare i ricorsi e nel comminare sanzioni.
Di fatto però le grandi aziende tech (specie quelle extraeuropee) hanno la tendenza a stabilirsi in massa presso pochi selezionati stati UE, ovvero quelli che offrono la tassazione inferiore, come Lussemburgo e soprattutto Irlanda.
Questo crea due ordini di problemi, in primo luogo le autorità di questi paesi particolarmente lievi per la pressione fiscale sono sovraccariche di ricorsi e costituiscono così un collo di bottiglia nella gestione efficiente e tempestiva della applicazione della normativa e, in secondo luogo, le autorità di questi stati subiscono una maggiore pressione rispetto alle altre autorità nel trattare con maggiore tenuità i preziosi contribuenti stranieri.
È la stessa Commissione a diffondere il dato per cui dall’entrata in vigore del GDPR, sono stati trattati oltre 2.000 casi nell’ambito del c.d. one-stop-shop, ma solo 711 decisioni definitive sono state adottate.
Nel raccogliere informazioni, la Commissione ha inoltre ricavato che sono proprio le piccole ma significative differenze nelle procedure adottate dalle varie autorità di protezione dei dati ad ostacolare il corretto ed efficace funzionamento dei meccanismi di cooperazione previsti dal GDPR.
Indice degli argomenti
La proposta della Commissione
Per affrontare questa difficile situazione, la Commissione ha recentemente proposto un nuovo atto legislativo per razionalizzare la cooperazione tra le autorità di protezione dei dati nei casi transfrontalieri.
Di fatto la Commissione si propone di introdurre regole procedurali chiare da applicare in caso di cooperazione fra autorità di controllo, da aggiungersi a quelle, molto scarne, che già sono contenute agli artt. 56 e 60 del GDPR.
Tra le novità più rilevanti nella proposta della Commissione c’è l’obbligo per l’autorità capofila di inviare alle altre autorità interessate una “sintesi delle questioni chiave” indicante i principali elementi dell’indagine e le sue opinioni sul caso, consentendo quindi alle varie autorità coinvolte di esprimersi sin dalle fasi iniziali della procedura amministrativa e da ridurre i disaccordi fra le varie autorità.
Le nuove norme proposte dalla Commissione si propongono anche di facilitare alle persone fisiche l’attività di segnalazione e reclamo transfrontaliera, garantendo un adeguato coinvolgimento nella procedura.
La sfida più difficile è costituita invece dalla necessità di far funzionare in maniera più efficiente i meccanismi di cooperazione e di coerenza fra le autorità istituiti dal GDPR, armonizzando le seguenti discipline:
- disciplina sui requisiti per la ricevibilità di un reclamo transfrontaliero, affinché sia uniforme a livello europeo consentendo così un più facile accesso alle autorità. Inoltre, la Commissione intende introdurre la possibilità di audizione dei reclamanti in caso di rigetto del reclamo;
- diritti delle parti (titolari e responsabili): la proposta della Commissione conferisce ai titolari/responsabili il diritto di essere ascoltati e di accedere al fascicolo;
- diritti delle autorità coinvolte: la proposta include una disciplina tesa a facilitare la cooperazione fra le autorità, assicurando una più rapida emersione e gestione dei contrasti e una gestione dell’istruttoria condivisa.
Secondo la Commissione l’armonizzazione delle procedure consentirà una più agile gestione delle procedure di cui al GDPR, consentendo di oliare un meccanismo che già funziona ma necessita di una messa a punto.
Prospettive sui trasferimenti transfrontalieri di dati
Lo sforzo della Commissione è senz’altro lodevole e contribuirà verosimilmente a migliorare la gestione delle procedure delle autorità di controllo a livello transfrontaliero, resta però il problema di fondo, che la Commissione non riesce a intaccare nemmeno con questa nuova proposta normativa, ovvero il fatto che le autorità di controllo degli stati membri più “popolati” da titolari ingombranti non sono attrezzate per né naturalmente portate ad un’applicazione rigorosa del GDPR.
Sul punto, l’unica soluzione passa per un potenziamento delle autorità di controllo maggiormente sotto stress.
Ad esempio, l’autorità garante irlandese (DPC), nonostante una decuplicazione dei fondi a disposizione dal 2014 al 2021, fatica ancora ad affrontare tempestivamente i casi che le sono assegnati, probabilmente più complessi di tutta l’Unione.
A ciò si aggiunge un ambiente politico che, sempre in Irlanda, non risulta particolarmente in linea con gli obiettivi del GDPR, come testimoniato da una legge pubblicata il 21 giugno scorso, con cui si rafforza la riservatezza delle procedure avanti all’autorità garante, arrivando a criminalizzare i responsabili di eventuali fughe di dati, normativa che per la sua vaghezza secondo alcuni potrebbe estendersi ai soggetti reclamanti impedendo così ad attivisti e associazioni di condividere lo sviluppo delle procedure avanti alla DPC.
