A poco più di due anni dalla sua piena applicazione, la Commissione europea ha pubblicato un rapporto di valutazione sul Regolamento europeo in materia di protezione dei dati personali (Gdpr). Il rapporto mostra come il Gdpr abbia raggiunto la maggior parte dei suoi obiettivi, in particolare garantendo ai cittadini Ue un solido insieme di diritti e creando un nuovo sistema europeo di governance. Il Gdpr si è peraltro dimostrato flessibile nel supportare soluzioni digitali in circostanze impreviste come la crisi dovuta al Covid-19.
Il documento della Commissione evidenzia, inoltre, che l’armonizzazione delle legislazioni nazionali è aumentata grazie al Gdpr, sebbene permanga una certa frammentazione in alcuni ambiti (per esempio, in materia di bilanciamento fra libertà di espressione e protezione dati, o in materia sanitaria) che necessita di un monitoraggio costante. Anche fra le aziende si fa strada la cultura della “responsabilizzazione” e l’idea che le misure a protezione dei dati personali possano costituire un vantaggio competitivo.
La relazione propone anche un elenco di azioni che coinvolgono i diversi stakeholder (Commissione, Stati membri, Autorità di protezione dati, soggetti pubblici e privati) per facilitare ulteriormente l’applicazione del Gdpr con particolare riguardo alle piccole e medie imprese. Gli obiettivi finali indicati dalla Commissione sono quelli di ridurre la frammentazione normativa (gli Stati membri sono invitati a fare la loro parte al riguardo, e la Commissione intende vigilare con attenzione su questi aspetti), nonché di promuovere e sviluppare ulteriormente una cultura europea della protezione dei dati e l’applicazione rigorosa delle norme. Tutto ciò richiede il supporto interpretativo, e non solo, delle Autorità di protezione dati, ma anche una maggiore e più incisiva cooperazione fra le Autorità, che sono invitate a fare pienamente uso degli strumenti messi a loro disposizione dal Regolamento.
Questi, in sintesi, alcuni aspetti di particolare interesse emersi dal riesame del Regolamento Ue.
Secondo la Commissione, il Regolamento migliora la trasparenza e aumenta la consapevolezza dei diritti di cui godono le persone nell’Ue (diritto di accesso, rettifica, cancellazione, diritto di opposizione e diritto alla portabilità dei dati). Le regole sulla protezione dei dati si sono dimostrate adeguate all’era digitale: il Gdpr ha promosso la partecipazione attiva e consapevole delle persone alla transizione digitale e favorisce un’innovazione affidabile: in particolare attraverso un approccio basato sul rischio e su principi come la protezione dei dati in base alla progettazione e per impostazione predefinita (privacy by design e privacy by default). Le Autorità per la protezione dei dati stanno utilizzando i più forti poteri correttivi previsti dal Gdpr, dagli avvertimenti e dagli ammonimenti fino alle sanzioni pecuniarie. Tuttavia, sottolinea la Commissione, esse devono essere adeguatamente supportate con le risorse umane, tecniche e finanziarie necessarie. Se è vero che, complessivamente, tra il 2016 e il 2019 si è registrato un aumento del 42% del personale e del 49% del bilancio per tutte le Autorità nazionali per la privacy nell’Ue, permangono forti differenze tra gli Stati membri.
Vi sono, rileva la Commissione, margini di miglioramento per quanto riguarda il sistema di governance europea della protezione dei dati, in particolare rispetto al funzionamento del cosiddetto meccanismo di “sportello unico”, in base al quale una società che svolge trattamenti transfrontalieri di dati ha una sola Autorità di protezione dei dati come interlocutore, vale a dire l’Autorità dello Stato membro in cui ha sede il suo stabilimento principale. Tra il 25 maggio 2018 e il 31 dicembre 2019, 141 progetti di decisione relativi a reclami transfrontalieri sono stati presentati tramite lo “sportello unico”, 79 dei quali hanno portato a decisioni definitive. Su questi temi di governance sta lavorando anche l’Edpb (il Comitato europeo per la protezione dei dati formato da rappresentanti di tutti i Garanti europei) attraverso l’elaborazione di specifiche linee-guida che affrontano anche l’interpretazione e l’attuazione di aspetti chiave del Regolamento e temi emergenti.
Relativamente alla dimensione internazionale, la Commissione intende lavorare con l’Edpb alla modernizzazione di alcuni meccanismi in atto per i trasferimenti di dati personali al di fuori dell’Ue tra cui le clausole contrattuali standard, che risultano essere lo strumento più utilizzato dalle aziende ai fini di tali trasferimenti, anche alla luce degli sviluppi della giurisprudenza della Corte di giustizia. La Commissione evidenzia, infine, la necessità di proseguire nei negoziati internazionali per valutare l’adeguatezza alle norme europee dei Paesi extra-Ue e di esplorare l’impiego di strumenti quali accordi internazionali di mutua assistenza per rendere più efficace l’applicazione del Regolamento in questi ambiti.