Bilancio di 2 anni di GDPR

Il Regolamento relativo alla protezione delle persone fisiche riguarda il trattamento dei dati personali e la libera circolazione di tali dati.

Il Parlamento valuta positivamente il fatto che il GDPR sia diventato il riferimento mondiale in materia di protezione dei dati personali. Ritiene che il GDPR possa essere globalmente considerato un successo e concorda con la Commissione sul fatto che, allo stato attuale, non è necessario che sia sottoposto ad aggiornamento o riesame.

Il Parlamento è consapevole che per le piccole e medie imprese, le start- up, le organizzazioni e associazioni l’applicazione è stata complessa, ma osserva che molti diritti e obblighi previsti dal GDPR erano già prescritti dalla normativa precedente (direttiva 95/46/CE attuata, prima, con la legge 675/96 e con il Codice Privacy poi).

Tuttavia, ritiene che il GDPR e la sua applicazione non debbano comportare per le PMI conseguenze indesiderate a livello di conformità e invita i Garanti Privacy nazionali a dare maggiore assistenza e formazione.

Dal canto loro, i Garanti Privacy denunciano di non avere abbastanza personale per far fronte a tutte le richieste che, spesso, rimangono inascoltate, soprattutto nelle procedure transfrontaliere. In particolare, il Parlamento invita il Gruppo dei Garanti Privacy Europei (EDPB) a creare strumenti pratici diretti alle PMI e start-up (e altri soggetti di più piccole dimensioni) per agevolare l’attuazione del GDPR.

Armonizzazione di norme e sanzioni

Il principale obiettivo che il GDPR si prefigge è quello di uniformare la normativa in tutti i paesi dell’Unione e, su questo fronte, c’è ancora molta strada da fare. Il Parlamento esprime preoccupazione per l'attuazione disomogenea e talvolta inesistente del GDPR da parte dei Garanti Privacy nazionali a più di due anni dall'inizio dell'applicazione del regolamento. In particolare, osserva alcune incoerenze tra le linee guida degli Stati membri e quelle dell'EDPB: le autorità nazionali di protezione dei dati possono giungere a interpretazioni diverse del GDPR, con conseguenti applicazioni divergenti tra gli Stati membri. Ed osserva che tale situazione sta creando vantaggi geografici e svantaggi per le imprese più strutturate.

Il documento evidenza che nei primi 18 mesi di applicazione del GDPR sono stati presentati circa 275.000 reclami e sono state imposte 785 sanzioni amministrative per diverse violazioni, ma sottolinea che finora è stato dato seguito solo in minima parte ai reclami presentati.

L’importo delle sanzioni, prosegue il documento, essendo fissato solo nel massimo, comporta, variazioni notevoli da uno stato all’altro, risultando a volte di importo modesto per le grandi imprese.

Il Parlamento invita la Commissione e l'EDPB ad armonizzare le sanzioni mediante linee guida e criteri chiari al fine di aumentare la certezza giuridica e di evitare che le imprese si stabiliscano nelle zone che impongono le sanzioni più basse.

Indicazioni pratiche per la compliance

La relazione esamina anche alcuni aspetti della compliance che i Garanti Privacy nazionali e le imprese devono migliorare.

Si deve fare affidamento su una sola base giuridica per ciascuna finalità delle attività di trattamento, e specificare in che modo ciascuna base giuridica sia invocata per le singole operazioni di trattamento. Succede infatti spesso che i titolari del trattamento citino tutte le basi giuridiche del GDPR (si veda l’art. 6 appunto) nella loro informativa privacy senza un'ulteriore spiegazione e senza fare riferimento alla specifica operazione di trattamento interessata (ad es. base giuridica: consenso, specifica operazione: invio email di marketing).
Per "consenso" si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, e ciò si applica anche alla direttiva e-privacy (la direttiva 2002/58/CE attualmente in fase di revisione). Quindi, anche nel web, non è possibile utilizzare modelli di consenso occulti.
Il "legittimo interesse" (art. 6, comma 1, lett. f), GDPR) è molto spesso citato in modo improprio come base giuridica del trattamento e spesso le imprese si basano sul legittimo interesse senza effettuare il necessario esame del bilanciamento degli interessi, che comprende una valutazione dei diritti fondamentali degli interessati.

Andrea Federico Antognini

Fonte: Risoluzione del Parlamento europeo del 25 marzo 2021

Dichiarato invalido l’accordo “Privacy Shield” per il trasferimento dei dati personali dalla UE agli USA

Digital Services Act: proposta di Regolamento EU sui servizi digitali

Modello di condizioni generali d’uso / navigazione sito web

18 settembre 2023 Ordinanza Cassazione 11346/2023: clausole Ex Works determinanti per la giurisdizione

La sentenza pubblicata il 2 maggio 2023 afferma che la scelta di un termine di resa Incoterms® che preveda la consegna dei beni in Italia (ad esempio EXW), ove accettata dall’acquirente, è determinante per radicare la giurisdizione davanti al giudice italiano.

13 settembre 2023 Emirati Arabi Uniti: nuova legge sulle agenzie commerciali

La Legge Federale n. 23 del 2022 sulle agenzie commerciali - che introduce importanti cambiamenti al regime delle agenzie commerciali degli Emirati Arabi Uniti - è entrata in vigore il 15 giugno 2023.

21 luglio 2023 Sanzioni contro la Russia: suggerimenti contrattuali

Come gestire il rapporto contrattuale dal punto di vista dell’esportatore italiano a fronte del continuo inasprimento delle misure restrittive e delle sanzioni contro la Russia?

13 giugno 2023 L’Italia attua la direttiva Omnibus: D.Lgs n. 26 del 7 marzo 2023

Il 18 marzo 2023 è stato pubblicato in Gazzetta il D.lgs n. 26 del 7 marzo 2023 che dà attuazione alla direttiva UE Omnibus volta a migliorare e modernizzare le norme a tutela dei consumatori.

13 giugno 2023 Sentenza Corte di giustizia europea 13 ottobre 2022: subagente e indennità fine rapporto

Nel procedimento C-593/21, NY c. Herios Sarl la Corte di giustizia europea ha deciso in merito al diritto di un subagente di ricevere l'indennità di fine rapporto dal suo preponente.

15 maggio 2023 Novità in arrivo per trasformazioni, fusioni e scissioni transfrontaliere

Con il Decreto Legislativo 2 marzo 2023 n.19, il legislatore italiano ha dato attuazione alla Direttiva UE 2019/2121 che modifica la Direttiva UE 2017/1132 per quanto riguarda le trasformazioni, le fusioni e le scissioni transfrontaliere.

11 aprile 2023 Vendite Italia-Germania di prodotti tessili: tre criticità

Le esportazioni delle imprese tessili italiane in Germania spesso sottendono contratti di vendita conclusi con imprese acquirenti con sede in quel Paese. Purtroppo, in alcuni casi, sorgono controversie che vengono sottoposte al giudice.

13 marzo 2023 Franchising internazionale immateriale: strategia digitale per le partnership commerciali

Progettare il piano di internazionalizzazione dell’insegna significa innanzitutto rendere performante il modello di business non solo per la singola unità di vendita, ma forse ancora di più, per il partner commerciale che avrà la responsabilità di avviarne alcune e/o di sviluppare il nuovo mercato.

24 febbraio 2023 Giurisprudenza inglese in tema liquidated damages: questioni ricorrenti e nuove criticità

Il tema dei liquidated damages nei contratti internazionali continua a essere oggetto di accesi contenziosi e decisioni rilevanti rese dalle corti inglesi e in altri sistemi di common law.

4 novembre 2022 Supply chain e obblighi di due diligence: nuova proposta di direttiva in materia di sostenibilità

Il 23 febbraio 2022 è stata pubblicata la proposta di Direttiva UE relativa al dovere di diligenza delle imprese in materia di sostenibilità.

Altre

Regolamento Privacy: stato di attuazione a due anni dall’applicazione

Armonizzazione di norme e sanzioni

Indicazioni pratiche per la compliance

Un sito di