Le norme sulla protezione dei dati dell’Unione Europea
A poco più di due anni dalla sua entrata in vigore, la Commissione europea ha pubblicato mercoledì scorso una relazione di valutazione del regolamento generale sulla protezione dei dati. La relazione indica che il regolamento ha conseguito la maggior parte dei suoi obiettivi, in particolare offrendo ai cittadini un solido nucleo di diritti azionabili e creando un nuovo sistema europeo di governance e di contrasto.
Il regolamento – riportano da Bruxelles – si è rivelato uno strumento “flessibile” per sostenere l’adozione di soluzioni digitali in circostanze impreviste come la crisi della Covid-19. La relazione conclude altresì che in tutti gli Stati membri si assiste a una maggiore armonizzazione, malgrado un certo livello di frammentazione che deve essere costantemente sorvegliato. Rileva inoltre che una cultura della conformità si sta diffondendo tra le imprese, le quali vedono sempre più spesso un vantaggio competitivo in una rigorosa protezione dei dati.
La relazione contiene un elenco di azioni volte ad agevolare ulteriormente l’applicazione del regolamento per tutti i portatori di interessi, in particolare per le piccole e medie imprese, nonché a promuovere e continuare a sviluppare una cultura realmente europea di protezione dei dati e un rigoroso controllo della sua applicazione.
PRINCIPALI CONCLUSIONI DEL RIESAME DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI
I CITTADINI DISPONGONO DI MAGGIORE AUTONOMIA E SONO PIÙ CONSAPEVOLI DEI PROPRI DIRITTI
Il regolamento generale sulla protezione dei dati aumenta la trasparenza e assicura ai privati cittadini diritti azionabili, come ad esempio il diritto di accesso, rettifica e cancellazione, il diritto di opposizione e il diritto alla portabilità dei dati. Stando ai risultati, pubblicati la scorsa settimana, di un’indagine condotta dall’Agenzia dell’Unione europea per i diritti fondamentali, oggi nell’UE il 69% della popolazione di età superiore ai 16 anni è a conoscenza del regolamento e il 71% delle persone ha sentito parlare della propria autorità nazionale per la protezione dei dati. Tuttavia, si può fare di più per aiutare i cittadini a esercitare i propri diritti, in particolare il diritto alla portabilità dei dati.
LE NORME IN MATERIA DI PROTEZIONE DEI DATI SONO ADEGUATE ALL’ERA DIGITALE
Il regolamento generale sulla protezione dei dati ha permesso ai singoli di avere maggior voce in capitolo riguardo all’utilizzo che viene fatto dei loro dati nella transizione digitale. Esso contribuisce inoltre a promuovere un’innovazione attendibile, grazie soprattutto a un approccio basato sul rischio e a principi quali la protezione dei dati fin dalla progettazione e per impostazione predefinita.
LE AUTORITÀ PER LA PROTEZIONE DEI DATI ESERCITANO I LORO POTERI CORRETTIVI RAFFORZATI
Dagli avvertimenti e dagli ammonimenti alle sanzioni amministrative pecuniarie, il regolamento generale sulla protezione dei dati fornisce alle autorità nazionali per la protezione dei dati gli strumenti adeguati per far rispettare le sue disposizioni. Tali autorità devono essere però opportunamente sostenute mediante le risorse umane, tecniche e finanziarie necessarie. Molti Stati membri stanno procedendo in tal senso, aumentando notevolmente le dotazioni di bilancio e di personale. Nel complesso, tra il 2016 e il 2019 il personale di tutte le autorità nazionali dell’UE per la protezione dei dati è aumentato del 42 % e il loro bilancio è cresciuto del 49 %. Si riscontrano ancora, tuttavia, differenze marcate tra gli Stati membri.
LE AUTORITÀ PER LA PROTEZIONE DEI DATI COLLABORANO IN SEDE DI COMITATO EUROPEO PER LA PROTEZIONE DEI DATI MA VI SONO MARGINI DI MIGLIORAMENTO.
Il regolamento generale sulla protezione dei dati ha istituito un sistema di governance innovativo, concepito per garantire un’applicazione coerente ed efficace del regolamento attraverso il cosiddetto “sportello unico”, il quale prevede che un’impresa che procede al trattamento transfrontaliero di dati abbia come interlocutore un’unica autorità per la protezione dei dati, ossia l’autorità dello Stato membro in cui si trova il suo stabilimento principale. Tra il 25 maggio 2018 e il 31 dicembre 2019 sono stati presentati attraverso lo “sportello unico” 141 progetti di decisione, 79 dei quali sono sfociati in decisioni definitive. Tuttavia, si può fare di più per sviluppare una vera e propria cultura comune della protezione dei dati. In particolare, il trattamento dei casi transfrontalieri esige un approccio più efficiente e armonizzato e un uso efficace di tutti gli strumenti previsti dal regolamento per consentire la collaborazione tra le autorità per la protezione dei dati.
CONSULENZA E ORIENTAMENTI DELLE AUTORITÀ PER LA PROTEZIONE DEI DATI
Il comitato europeo per la protezione dei dati pubblica linee guida riguardanti aspetti fondamentali del regolamento e nuovi temi. Diverse autorità per la protezione dei dati hanno creato nuovi strumenti, tra cui linee di assistenza telefonica destinate a privati cittadini e a imprese e strumenti per le piccole e le micro imprese. È essenziale garantire che gli orientamenti forniti a livello nazionale siano del tutto coerenti con gli orientamenti adottati dal comitato.
SFRUTTARE APPIENO IL POTENZIALE DEI TRASFERIMENTI INTERNAZIONALI DI DATI
Negli ultimi due anni l’impegno internazionale della Commissione a favore di trasferimenti liberi e sicuri di dati ha prodotto importanti risultati. Ciò riguarda anche il Giappone, paese con il quale l’UE condivide ora il più grande spazio al mondo di circolazione libera e sicura dei dati. La Commissione continuerà a collaborare con i suoi partner in tutto il mondo nell’ambito dell’adeguatezza. Inoltre, in collaborazione con il comitato europeo per la protezione dei dati, la Commissione intende ammodernare altri meccanismi di trasferimento dei dati, tra cui le clausole contrattuali tipo, lo strumento più comunemente utilizzato per il trasferimento dei dati. Il comitato sta lavorando a orientamenti specifici sull’uso della certificazione e dei codici di condotta per trasferire i dati al di fuori dell’UE, che devono essere ultimati quanto prima. Dato che la Corte di giustizia dell’Unione europea potrebbe fornire chiarimenti in una sentenza che verrà pronunciata il 16 luglio e che potrebbe avere rilevanza per determinati elementi del principio di adeguatezza, la Commissione riferirà separatamente sulle decisioni di adeguatezza esistenti dopo la pronuncia della sentenza della Corte di giustizia.
PROMOZIONE DELLA COOPERAZIONE INTERNAZIONALE
Negli ultimi due anni la Commissione ha intensificato il dialogo bilaterale, regionale e multilaterale promuovendo, da un lato, una cultura mondiale del rispetto della vita privata e, dall’altro, la convergenza tra i diversi sistemi di tutela della vita privata a vantaggio sia dei cittadini che delle imprese. La Commissione è determinata a proseguire questi lavori nel quadro della sua più ampia azione esterna, ad esempio nell’ambito del partenariato Africa-UE e attraverso il sostegno a iniziative internazionali quali il “Data Free Flow with Trust”. Poiché oggigiorno le violazioni delle norme sulla tutela della vita privata possono interessare contemporaneamente numerosissime persone in diverse parti del mondo, è giunto il momento di intensificare la cooperazione internazionale tra le autorità incaricate di far rispettare le norme in materia di protezione dei dati. È per questo che la Commissione chiederà al Consiglio di autorizzarla ad avviare con i paesi terzi interessati i negoziati per la conclusione di accordi di assistenza reciproca e di cooperazione tra autorità di contrasto.
ALLINEAMENTO DEL DIRITTO DELL’UE ALLA DIRETTIVA SULLA PROTEZIONE DEI DATI NELLE ATTIVITÀ DI POLIZIA E GIUDIZIARIE
La Commissione ha inoltre pubblicato una comunicazione che indica dieci atti giuridici che disciplinano il trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, che è opportuno allineare alla direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie. Tale allineamento assicurerà la certezza del diritto e chiarirà questioni quali le finalità del trattamento dei dati personali da parte delle autorità competenti e i tipi di dati che possono essere oggetto di un siffatto trattamento.