Ogni quattro anni il GDPR deve passare, metaforicamente, dai box. A stabilirlo è l’art. 97 dello stesso Regolamento che prevede, come ricorderemo, dopo i primi due anni dalla piena applicazione e poi ogni quattro, una valutazione e un riesame da parte della Commissione, ponendo particolare attenzione su come è stato applicato e il suo funzionamento.
Ed ecco che, allo scadere dei quattro anni, considerando che la prima relazione è avvenuta, come previsione, nel 2020, ne giunge un’altra. Vediamo che dice in generale, per poi soffermarci sugli aspetti più rilevanti.
Indice degli argomenti
I punti salienti della relazione sul GDPR
A distanzi di anni, ecco che riemerge un concetto fondamentale: il GDPR come “pietra angolare” della politica della UE per una società (sempre più) digitale.
Già dalla Relazione del 2020, nonostante il momento di estrema emergenza pandemico-sanitaria, con la sensazione che il mondo non fosse solo recluso ma anche apparentemente fermato, ecco che la Commissione si preoccupava, tra gli altri, di fare il punto sul GDPR, come imposto per legge.
L’obiettivo permane costante: un’applicazione coerente del quadro regolatorio per la protezione dei dati in relazione alle nuove tecnologie, a sostegno all’innovazione e agli sviluppi tecnologici.
Di qui, il via alla proliferazione normativa cui ancora oggi assistiamo con i cd “sette nani”: DSA, DMA, DGA, DORA, AI Act, NIS 2, CRA, e l’elenco sicuramente aumenterà.
In linea di principio, come evidenzia bene la Commissione, qualsiasi nuova normativa europea contenente disposizioni sul trattamento dei dati personali, va necessariamente coordinata con il GDPR, dovendo essere coerente con quest’ultimo e, non di meno, con la giurisprudenza della Corte di giustizia.
Quadro giuridico per una migliore condivisione di dati
La strategia e la direzione sono chiare: creare un “mercato unico dei dati” creando “spazi comuni europei di dati” che agevolino la messa in comune, l’accesso e la condivisione dei dati. Il tutto, nell’ottica di potenziare la “libera circolazione dei dati” nella UE.
Il DGA, ad esempio, è un pilastro per la strategia per i dati, stabilendo dice la Commissione, “norme concrete sul riutilizzo dei dati del settore pubblico contenenti dati personali e predispone un quadro legislativo per i servizi di intermediazione dei dati, compresi i servizi di gestione di informazioni personali o i cloud di dati personali offerti al fine di consentire agli interessati di esercitare i loro diritti a norma del GDPR”.
Non solo, definisce poi le “condizioni quadro per l’utilizzo dei dati a fini altruistici”.
Idem, lo “spazio europeo dei dati sanitari” di recente elaborazione il quale riflette esigenze più specifiche, con riferimento ai dati sanitari, basandosi nel contempo anche sul GDPR.
In pratica, sarà possibile accedere più agilmente ai propri dati sanitari in formato elettronico e condividerli con gli operatori sanitari, anche in altri Stati membri, migliorando in tal modo l’assistenza sanitaria con un controllo maggiore sui propri dati personali (ex) sensibili/sensibilissimi da parte dei pazienti.
Oltre a predisporre un “quadro giuridico comune per il riutilizzo dei dati sanitari per finalità quali la ricerca, l’innovazione e la salute pubblica, sulla base di un’autorizzazione rilasciata da un organismo responsabile dell’accesso ai dati sanitari”, sì fornendo “un contesto affidabile” per l’accesso sicuro ai dati sanitari e per il loro trattamento.
La governance delle nuove norme sul digitale
È chiaro ed evidente che il proliferarsi normativo richieda una stretta cooperazione in tutti i settori normativi. Tale cooperazione è tanto più necessaria quanto le questioni pertinenti alla protezione dei dati si intersecano ad altre questioni come, ad esempio, in materia di concorrenza, diritto dei consumatori, sul codice delle comunicazioni elettroniche e non da ultimo con riferimento alla cybersicurezza.
Non a caso le Autorità garanti privacy adottano sempre più misure volte a garantire che le azioni tra loro siano “complementari e coerenti” con altri settori normativi, partecipando a seminari congiunti con la rete di cooperazione per la tutela dei consumatori.
Di qui, l’istituzione nel 2023 della task force sull’interazione tra protezione dei dati, concorrenza e tutela dei consumatori. Il tutto al fine di garantire un’adeguata cooperazione a livello nazionale, e non solo.
La seconda relazione sul GDPR nella sua struttura
La relazione in questione si articola in diverse parti, come peraltro richiesto dal dettato normativo dell’art. 97 – GDPR.
Il meccanismo di cooperazione e coerenza
Partendo dal meccanismo di cooperazione e coerenza trattato dal paragrafo 2, ponendosi dopo una parte introduttiva, e che tratta della “applicazione del GDPR e il funzionamento dei meccanismi di cooperazione e coerenza”, a sua volta suddiviso in due sottoparagrafi inerenti a una proposta di come “Rendere più efficiente la gestione dei casi transfrontalieri: la proposta relativa alle norme procedurali” nonché “una maggiore cooperazione tra le autorità di protezione dei dati e il ricorso al meccanismo di coerenza”.
In sintesi, si tratta del tema/sistema di applicazione di tipo “sportello unico” del GDPR che ricorderemo essere volto a “garantire un’interpretazione e un’applicazione armonizzate da parte delle autorità indipendenti di protezione dei dati”. Ciò per cooperare tra Autorità in caso di trattamento transfrontaliero.
A oggi la Commissione rende noto sul punto che occorrerebbe fare un “Maggiore ricorso agli strumenti di cooperazione da parte dei Garanti privacy” dal momento che:
- Nel sistema di scambio di informazioni del comitato sono registrati quasi 2 400 casi.
- Le autorità di protezione dei dati capofila hanno adottato circa 1 500 progetti di decisione, 990 dei quali si sono tradotti in decisioni definitive che hanno accertato una violazione del GDPR.
- Le autorità di protezione dei dati hanno presentato quasi 1 000 richieste “formali” di assistenza reciproca e circa 12 300 richieste “informali”.
- Sono state avviate cinque operazioni congiunte alle quali hanno partecipato le autorità di protezione dei dati di sette Stati membri.
Circa il meccanismo di coerenza, è emerso testualmente che:
- “Il comitato ha adottato 190 pareri in materia di coerenza.
- Nove decisioni vincolanti sono state adottate nell’ambito della composizione delle controversie. Tutte hanno imposto all’autorità di protezione dei dati capofila di modificare il suo progetto di decisione e molte hanno comportato l’irrogazione di sanzioni pecuniarie significative.
- Cinque autorità di protezione dei dati hanno adottato misure provvisorie nell’ambito della procedura d’urgenza (Germania, Finlandia, Italia, Norvegia e Spagna).
- Due autorità di protezione dei dati hanno chiesto l’emissione di una decisione vincolante d’urgenza del comitato e quest’ultimo ha disposto l’adozione di misure definitive urgenti in un caso”.
Di qui un’applicazione più rigorosa secondo la Commissione come indicato nei seguenti punti:
- Le autorità di protezione dei dati hanno avviato oltre 20 000 indagini di propria iniziativa.
- Collettivamente, ricevono oltre 100 000 reclami all’anno.
- Il tempo mediano di trattamento dei reclami da parte delle autorità di protezione dei dati (dal ricevimento alla chiusura del caso) varia da 1 a 12 mesi ed è pari o inferiore a 3 mesi in cinque Stati membri (Danimarca (1 mese), Spagna (1,5 mesi), Estonia (3 mesi), Grecia (3 mesi) e Irlanda (3 mesi)).
- Oltre 20 000 reclami sono stati risolti mediante composizione amichevole. Tale meccanismo viene più comunemente utilizzato in Austria, Ungheria, Lussemburgo e Irlanda.
- Nel 2022 le autorità tedesche di protezione dei dati hanno adottato il maggior numero di decisioni che impongono una misura correttiva (3 261), seguite dalle autorità spagnole (774), lituane (308) ed estoni (332).
Ancora, la Commissione si occupa di capire lo stato dell’arte circa l’attuazione di Comitati, e di come le varie Autorità di protezione dati si comportano in termini di “indipendenza e risorse” lamentando una sostanziale “difficoltà di gestione in considerazione dell’elevato numero dei reclami”. Non solo, si esprime anche sui problemi interpretativi del GDPR riscontrati e sempre da parte delle Autorità Garanti; così concludendo con un focus sulle interazioni tra titolari e responsabili del trattamento.
L’attuazione del GDPR da parte degli Stati membri
Sebbene il GDPR, essendo un regolamento, fosse direttamente applicabile, ha imposto nel tempo agli Stati membri di legiferare in determinati settori, offrendo loro “la possibilità di precisarne ulteriormente l’applicazione in un numero limitato di ambiti”.
Quando legiferano a livello nazionale, si legge nella relazione in questione, gli Stati membri devono farlo nel rispetto delle condizioni e dei limiti stabiliti dal GDPR.
Di qui, (il rischio di) una “frammentazione” dell’applicazione a livello nazionale da un lato, e il necessario monitoraggio della Commissione dall’altro.
I diritti degli interessati
Altro tema a cuore della Commissione nel pieno spirito del GDPR il quale mette da sempre al centro l’interessato con i suoi diritti (accesso, portabilità, di proporre reclamo ecc.) per poi concludere con la protezione dei dati dei minori.
Tutti temi importanti per i quali si rinvia direttamente alla relazione per ulteriori interessanti dettagli.
I trasferimenti internazionali e la cooperazione globale
Per completezza, occorre ancora segnalare che la Commissione, sempre in virtù dell’art. 97 GDPR fa anche il punto sui “trasferimenti internazionali e la cooperazione globale”, soffermandosi non di meno sul tema delle decisioni di adeguatezza ovvero si richiama a quegli strumenti che forniscono “garanzie adeguate”.
Per il vero, la Commissione non si limita solo a questi aspetti, ma accenna altresì al tema della “cooperazione internazionale in materia di protezione dati”, rifacendosi alla “dimensione bilaterale” nonché “multilaterale”, cui si rinvia.
Applicazione del GDPR: focus sulle imprese
Da un certo punto di vista il cuore della Relazione in parola è dato, con la lente pratica e relative ricadute in concreto, dalle “opportunità e le sfide” per le imprese sub specie PMI.
Al riguardo, la Commissione tiene a soffermarsi sul “pacchetto di strumenti” e sulle specifiche “sfide”. Certo, senza dimenticarsi del DPO/RPD. Ma analizziamoli separatamente.
Gli strumenti per le imprese
Il GDPR fornisce un “pacchetto di strumenti” che consentono alle organizzazioni di gestire in modo flessibile e dimostrare la loro compliance, grazie al ricorso a codici di condotta, meccanismi di certificazione e clausole contrattuali tipo – CCT.
Come ricorderemo, nel 2021 la Commissione ha adottato clausole contrattuali tipo con la decisione di esecuzione n. 915 che vede la possibilità – altamente suggerita – di conformarsi alle CCT nel disciplinare il rapporto tra titolare del trattamento e responsabile del trattamento.
Infatti, come leggiamo nella relazione la Commissione bene dice che “tali clausole contrattuali tipo forniscono uno strumento volontario di conformità pronto all’uso e di facile attuazione, che è particolarmente utile per le PMI o le organizzazioni che potrebbero non disporre delle risorse per negoziare contratti individuali con i loro partner commerciali”.
Tuttavia, da un attento ascolto e monitoraggio, sono emersi segnali/riscontri contrastanti sull’uso di tali CCT, nel senso che “alcune imprese (principalmente le PMI) le utilizzano in tutto o in parte, mentre altre (per lo più imprese di maggiori dimensioni) tendono a non utilizzarle perché preferiscono ricorrere alle proprie clausole”.
Sul fronte dei codici di condotta è emerso che le imprese abbiano visto le grandi potenzialità delle stesse, quale strumento di conformità settoriale ed efficace sotto il profilo dei costi.
Tuttavia, si legge nella relazione, “l’elaborazione di codici di condotta è limitata”, e specifica che finora “a livello della UE sono stati approvati solo due codici (entrambi nel settore del cloud), mentre a livello nazionale sono stati approvati sei codici” pensiamo a quelli approvati dal GPDP.
Ciò anche a causa di “prescrizioni gravose (tra cui la necessità di istituire un organismo di monitoraggio accreditato), la mancanza di impegno da parte delle autorità di protezione dei dati e un processo di approvazione lungo quali fattori principali che limitano l’adozione di codici di condotta”.
Per non parlare delle certificazioni, di fatto, non ancora partite.
Le specifiche “sfide” per le PMI
Negli ultimi anni, i Garanti insieme al Comitato hanno continuato a sviluppare strumenti di compliance per le PMI. Nell’aprile 2023 il Comitato ha pubblicato una guida alla protezione dei dati per le piccole imprese, con l’intendo di fornire alle PMI informazioni pratiche in un formato accessibile e facilmente comprensibile.
In generale, molte PMI di fatto e la Commissione come si legge chiaramente nella relazione in disamina, percepiscono la compliance come una questione complessa, a maggior ragione che la maggior parte delle PMI non dispone al proprio interno di competenze in materia, le Autorità di controllo debbono “fornire un sostegno su misura e strumenti pratici, quali modelli (ad esempio per l’esecuzione di valutazioni d’impatto sulla protezione dei dati), linee telefoniche di assistenza, esempi illustrativi, liste di controllo e orientamenti su specifiche operazioni di trattamento (ad esempio la fatturazione o l’invio di newsletter), nonché misure tecniche e organizzative”.
Ancora, sull’onere della tenuta del registro, in linea con l’approccio del risk based di cui al GDPR, le PMI che svolgono attività di trattamento a basso rischio, non sarebbero soggette a un onere del genere.
Tuttavia, si ritiene da sempre che sia un obbligo generalizzato, con la conseguenza che in concreto è bene che anche le PMI lo redigano anche grazie all’uso di “registri semplificati” basati su modelli forniti dalle Autorità di protezione dei dati, come quello messo a disposizione dalla nostra Autorità Garante.
Il punto sulla figura del DPO
Non poteva certo mancare un punto sullo stato dell’arte del (ruolo da) DPO.
I Responsabili della Protezione dei Dati – RPD o meglio conosciuti come Data Protection Officer – DPO svolgono un ruolo importante nel garantire il rispetto del GDPR in seno alle organizzazioni in cui operano. In generale, i DPO che operano nella UE dispongono di conoscenze e competenze necessarie per svolgere i loro compiti, nel rispetto della loro indipendenza e autonomia, stabilite per legge (artt. 37-39 GDPR).
Tuttavia, non mancano difficoltà in concreto nonché alcune sfide quali:
- difficoltà nel nominare responsabili della protezione dei dati dotati delle competenze necessarie;
- mancanza di norme a livello dell’UE per quanto riguarda l’istruzione e la formazione;
- integrazione non adeguata dei responsabili della protezione dei dati nei processi organizzativi;
- mancanza di risorse;
- compiti aggiuntivi che esulano dalla protezione dei dati;
- insufficiente anzianità di servizio.
Su questi punti, il Comitato ha osservato che è necessario che le Autorità intensifichino le attività di “sensibilizzazione” o meglio di consapevolezza, oltre alle misure di informazione e applicazione delle norme al fine di garantire che i DPO svolgano con cognizione di causa il proprio ruolo e non si improvvisino.
GDPR al vaglio della Commissione europea: le conclusioni
Interessanti, da ultimo, appaiono le conclusioni cui la Commissione giunge.
Atteso il sostegno proattivo da parte delle Autorità garanti privacy, grazie agli sforzi ermeneutici coerenti con la normativa in tutta la UE, a vantaggio di una cooperazione efficace tra le Autorità per garantire un’applicazione uniforme del crescente insieme di norme dell’UE sul digitale, attesi anche i progressi ulteriori nella strategia internazionale in materia, ecco che per sostenere un’efficace applicazione del GDPR e orientare le riflessioni future sulla protezione dei dati, occorrono azioni ben mirate attinenti in particolare:
- uno sviluppo di efficaci strutture di cooperazione, se da un lato gli Stati membri devono garantire indipendenza, risorse effettive, strumenti di indagine, dall’altro la Commissione sarà chiamata a sostenere “attivamente la rapida adozione della proposta relativa alle norme procedurali del GDPR da parte dei colegislatori”, pur continuando a “monitorare attentamente l’indipendenza effettiva e completa delle autorità nazionali di protezione dei dati”. Sono fondamentali le sinergie e la coerenza tra GDPR e tutta la normativa inerente al trattamento dei dati personali;
- un’attuazione e integrazione del quadro giuridico, con gli Stati membri obbligati a a “garantire che le autorità di protezione dei dati vengano consultate tempestivamente prima dell’adozione della normativa sul trattamento dei dati personali”, mentre la Commissione dovrà continuare “a utilizzare tutti gli strumenti a sua disposizione, comprese le procedure di infrazione, per garantire che gli Stati membri rispettino il GDPR”, favorendo scambi di opinioni e prassi nazionali tra gli Stati membri, anche attraverso il gruppo di esperti degli Stati membri sul GDPR, e non di meno provvedendo affinché i minori siano (più) protetti, responsabilizzati e rispettati nell’ambiente online;
- sostegno ai portatori di interessi, con riferimento ai quali il comitato e le autorità garanti privacy dovranno “avviare un dialogo costruttivo con i titolari del trattamento e i responsabili del trattamento sulla conformità al GDPR; intensificare ulteriormente gli sforzi volti a favorire la conformità delle PMI […], sostenere l’attuazione di efficaci misure di conformità da parte delle imprese, garantire che gli orientamenti nazionali e l’applicazione del GDPR a livello nazionale, siano coerenti con gli orientamenti del comitato e la giurisprudenza della Corte di giustizia, risolvere i conflitti interpretativi tra Autorità rispetto all’applicazione del GDPR anche grazie a orientamenti “concisi, pratici e accessibili”, intensificare le attività di sensibilizzazione, di informazione e di applicazione delle norme per garantire che i DPO svolgano il loro ruolo a norma del GDPR. Al contempo, la Commissione, si legge testualmente nella relazione “continuerà a fornire sostegno finanziario alle attività delle autorità di protezione dei dati che agevolano l’assolvimento degli obblighi previsti dal GDPR da parte delle PMI”, utilizzando tutti i mezzi messi a disposizione per fornire chiarimenti rapidi su questioni importanti per i portatori di interessi, comprese le PMI, in particolare richiedendo il parere del Comitato;
- ulteriore sviluppo del pacchetto di strumenti per i trasferimenti di dati e la cooperazione internazionale al fine di finalizzare le attività iniziate in merito, abbreviando ad esempio il processo di approvazione delle norme vincolanti d’impresa BCR (ex art. 47 GDPR), esaminare modalità/strumenti per assistere ulteriormente gli esportatori di dati nei loro sforzi di conformità in relazione alle prescrizioni della sentenza Schrems II, così come ulteriori modalità per garantire un’applicazione efficace delle norme nei confronti degli operatori stabiliti in paesi terzi che rientrano nell’ambito di applicazione territoriale del GDPR, e per ulteriori approfondimenti si rinvia direttamente al testo ufficiale.
Aspettiamoci infine, forse nel 2025, un “GDPR 2.0”, si parla già da tempo di un restyling del famoso (primo) GDPR che ha ormai più di 8 anni.