Il sistema europeo a protezione dei dati personali prevede due importanti verifiche periodiche su quanto il GDPR è efficace nella tutela dei diritti e delle libertà e su quanto è efficiente nei suoi ingranaggi applicativi. Queste verifiche sono affidate all’EDPB e alla Commissione UE, le due istituzioni maggiormente coinvolte nell’amministrazione, nella manutenzione e nel completamento dell’edificio del GDPR.
I primi prodotti di quest’attività di verifica, avutisi nei mesi scorsi, sono stati – con diversità di grado – deludenti. Vediamo per quale motivo.
Indice degli argomenti
I compiti di verifica dell’EDPB
In base all’art. 71 del GDPR, ogni anno l’EDPB deve redigere e trasmettere al Parlamento UE, al Consiglio e alla Commissione UE una relazione in cui esprime una valutazione sull’applicazione pratica delle linee guida, raccomandazioni e migliori prassi da esso varate, nonché di decisioni vincolanti da esso adottate a margine di eventuali controversie sull’applicazione del GDPR fra Autorità di controllo.
Stando alle parole “valutazione sull’applicazione pratica” usate dal GDPR nell’art. 71, la funzione della relazione annuale dell’EDPB dovrebbe essere quella di riesame critico della concreta applicazione delle sue linee/guida e raccomandazioni, più che di descrizione del lavoro svolto.
Ci sono tre istituti del GDPR – decisivi perché interessano trasversalmente la totalità delle organizzazioni – su cui Titolari, Responsabili e DPO avrebbero tratto vantaggio da una “valutazione sull’applicazione pratica” dei pareri/linee guida ad oggi disponibili: il DPO, il data breach e la valutazione d’impatto (DPIA). Su di essi, l’EDPB ha fornito le prime linee guida fra il 2016 e il 2018, prima di diventare EDPB, quando era ancora “Gruppo UE dei Garanti”, o “Working Party” (“WP”).
Questi documenti sono oggetto di consultazione frequentissima da parte di tutte le organizzazioni, alla ricerca di risposte pratiche sul cosa fare e in che modo in tre situazioni che fanno scattare obblighi precisi. Per quanto approfonditi, essi sono stati redatti in una fase in cui il GDPR, non ancora applicato, non si era misurato con le imprevedibili varianti della realtà. Sarebbe stato utile leggere qualche riflessione sui problemi applicativi e sulla tenuta delle precedenti opinioni, e/o qualche anticipazione di merito o di metodo sugli aspetti che saranno affrontati nelle prossime edizioni, che stavolta saranno formalmente ascrivibili all’EDPB. Tuttavia, così non è stato.
La relazione dell’EDPB è stata presentata nel maggio del 2020, ma è riferita all’anno solare 2019, primo “esercizio” di applicazione del GDPR. Forse era inevitabile che l’EDPB non si sbilanciasse a dare una “valutazione sull’applicazione pratica” di pareri formalmente non suoi e anteriori al 2019; fatto sta che ha ritenuto di potere o di dovere parlare del suo lavoro nel 2019, non già di esprimere una pur parziale “valutazione sull’applicazione pratica” dei tre documenti del 2016-2018 dell’estinto WP.
Anche se non stupisce, il taglio di questa prima relazione dell’EDPB delude un po’. Essa contiene una presentazione e illustrazione delle sue funzioni e della sua organizzazione (compresi i vari sottogruppi tematici istituiti al suo interno), dell’attività svolta (linee guida) e di quella programmata per l’anno 2020, nonché dell’attività svolta e delle sanzioni irrogate nel 2019 dalle singole Autorità.
Appare probabile che nell’immediato futuro l’EDPB consolidi questo modello di relazione come report sull’attività svolta e sui programmi futuri, più che “valutazione sull’applicazione pratica delle linee guida”, mentre quest’ultima sarà svolta nelle singole linee guida, fra cui, appunto, le attesissime seconde edizioni dei pareri emessi dal WP nel 2016-2018.
La comunicazione della Commissione UE
A sua volta, come previsto dall’art. 97 del GDPR, nel giugno 2020 la Commissione UE ha effettuato una comunicazione al Parlamento UE e al Consiglio sui primi due anni di applicazione del GDPR. In base alla norma, la Commissione UE dovrà presentare analoga relazione nel 2024, e poi ancora ogni quattro anni. È vero che l’art. 97 prevede che i due argomenti essenziali con cui la Commissione deve misurarsi periodicamente sono legati alla dimensione internazionale del GDPR (trasferimento dei dati extra UE e coerenza nell’applicazione del GDPR all’interno della UE).
Tuttavia, è anche vero che secondo la norma, la Commissione UE deve occuparsi “in particolare” di questi due argomenti, ma più in generale delle valutazioni e del riesame del GDPR. Anche qui, la formulazione usata dal GDPR lasciava sperare in un documento dallo stile e dal contenuto diversi da quelli che troviamo nella relazione prodotta.
Ad una prima lettura – fatta, forse, con l’occhio del cittadino, più che con quello dell’addetto ai lavori – colpisce il tono auto-celebrativo della relazione. Si leggono frasi come: “Nell’UE il quadro legislativo in materia di protezione dei dati e tutela della vita privata si è dimostrato uno strumento sufficientemente flessibile per consentire lo sviluppo di soluzioni pratiche (ad esempio APP di tracciamento), garantendo allo stesso tempo un livello elevato di protezione dei dati personali”, oppure “secondo l’opinione generale, due anni dopo l’inizio della sua applicazione il regolamento generale sulla protezione dei dati ha conseguito con successo i propri obiettivi di rafforzare la protezione del diritto delle persone fisiche alla protezione dei dati personali e di garantire la libera circolazione dei dati personali all’interno dell’UE”, oppure “il regolamento generale sulla protezione dei dati si è già rivelato un punto di riferimento fondamentale a livello internazionale e ha svolto un ruolo di catalizzatore per numerosi paesi in tutto il mondo al fine di prendere in considerazione l’introduzione di norme moderne sulla tutela della vita privata”. Di là dai toni, i contenuti sembrano all’insegna di tre elementi:
- convinzione di potere modellare la realtà (il mercato digitale, le relazioni commerciali internazionali, ecc.) secondo la propria visione,
- la presa d’atto un po’ vaga di qualche problema applicativo;
- il rinvio al futuro della presentazione di soluzioni. La convinzione di poter modellare la realtà emerge ad esempio nell’idea che un vero e proprio “mercato unico dei dati” possa nascere e crescere non perché ne maturano le condizioni in termini di spazio e di pratiche di mercato nella competizione globale, ma perché le istituzioni europee lo vogliono, affiancandolo con dieci spazi comuni europei di dati settoriali pertinenti per la transizione, ecologica e digitale.
Troviamo una vaga consapevolezza dei problemi (“sono stati individuati anche diversi settori da migliorare in futuro”), ma anche un rinvio delle proposte di soluzione, giustificato dicendo che sarebbe presto per affrontarli (“la Commissione ritiene che sarebbe prematuro, in questa fase, trarre conclusioni definitive in merito all’applicazione del regolamento generale sulla protezione dei dati”) e che il tempo sarà galantuomo (“è probabile che la maggior parte delle questioni individuate dagli Stati membri e dalle parti interessate trarrà beneficio da una maggiore esperienza nell’applicazione del regolamento nei prossimi anni”).
I problemi
Un esempio: è evidente a tutti che l’istituto della portabilità, fiore all’occhiello del GDPR, stenta a decollare? Nella dicitura eufemistica della Commissione UE, la portabilità ha solo un potenziale “non ancora pienamente utilizzato”. Come intervenire? Risposta: “Mediante la progettazione di strumenti adeguati e di formati e interfacce standardizzati. Tale maggiore uso potrebbe essere conseguito, in particolare, mediante l’obbligo di installare interfacce tecniche e formati leggibili da un dispositivo automatico che consentano la portabilità dei dati in tempo reale”.
Nulla di realmente diverso di quanto scritto dal WP nel suo parere del 2017 sull’argomento. Tuttavia, a distanza di tre anni, dopo l’apertura di tavoli tecnici, quali siano questi strumenti per accelerare l’interoperabilità e permettere la portabilità, la Commissione UE non lo dice.
Ancora: c’è un problema di onerosità per le PMI del sistema di compliance introdotto dal GDPR? Sì, visto che “talune parti interessate hanno riferito che l’applicazione del regolamento generale sulla protezione dei dati è complessa, in particolare per le piccole e medie imprese (PMI)”. Per ora, secondo la Commissione UE questa constatazione non è tale da giustificare a livello normativo esoneri o semplificazioni per le PMI.
Infatti, “secondo l’approccio basato sul rischio, non sarebbe opportuno prevedere deroghe in base alle dimensioni degli operatori, poiché le loro dimensioni non costituiscono di per sé un’indicazione dei rischi che il trattamento dei dati personali che essi intraprendono possa comportare per le persone fisiche”. Tocca alle Autorità di controllo, secondo la Commissione UE, facilitare le PMI nell’attuazione del GDPR; anzi, tali sforzi, già avvenuti, “dovrebbero essere intensificati e diffusi, preferibilmente nel contesto di un approccio europeo comune al fine di non creare ostacoli al mercato unico”.
Sul come farlo, silenzio totale. In vista del 2024 (quando il GDPR compirà sei anni) la Commissione UE si riserva di “valutare se, alla luce di ulteriori esperienze e della giurisprudenza pertinente, potrebbe essere opportuno proporre modifiche future mirate a talune disposizioni […], in particolare per quanto riguarda i registri delle attività di trattamento da parte delle PMI per le quali il trattamento dei dati personali non costituisce l’attività principale”.
Mentre la Commissione UE non ha dubbi – per sé stessa – nel ritenere che non è tempo per proporre al Parlamento UE e al Consiglio modifiche mirate al GDPR e che i problemi si risolveranno da soli, non riserva altrettanto cortese tempo di sedimentazione all’EDPB: “Le attività e gli orientamenti del comitato sono di fondamentale importanza […]. Le parti interessate accolgono in generale con favore gli orientamenti del comitato e ne richiedono ulteriori in merito a concetti chiave del regolamento generale sulla protezione dei dati, tuttavia rilevano anche incongruenze tra gli orientamenti nazionali e quelli del comitato. Sottolineano inoltre la necessità di una consulenza più pratica, in particolare di esempi maggiormente concreti”.
Conclusione
EDPB e Autorità di controllo sono invitati a “adottare ulteriori orientamenti pratici, di facile comprensione, e che forniscano risposte chiare nonché ad evitare ambiguità sulle questioni relative all’applicazione del regolamento generale sulla protezione dei dati, ad esempio in materia di trattamento di dati di minori e di diritti degli interessati, compreso l’esercizio del diritto di accesso e del diritto di cancellazione, consultando le parti interessate nel processo; riesaminare gli orientamenti qualora siano necessari ulteriori chiarimenti alla luce dell’esperienza e degli sviluppi, anche nella giurisprudenza della Corte di giustizia; sviluppare strumenti pratici, quali moduli armonizzati per le violazioni dei dati e registri semplificati delle attività di trattamento, in maniera da aiutare le PMI a basso rischio a soddisfare i propri obblighi”.
Al suo primo riesame, dopo due anni di cambiamenti globali su molti fronti, la Commissione UE ha deciso che fino al 2024 il GDPR dovrà andarci bene così com’è. Si occupino l’EPDB e le Autorità nazionali di spiegare meglio alle organizzazioni, soprattutto alle PMI, come lo si deve applicare. E se nel frattempo alcune PMI venissero sanzionate per non conformità a quegli obblighi di natura organizzativa che sono più difficilmente declinabili nel loro contesto? Inutile cercare risposte nella relazione della Commissione UE.
