Il Regolamento relativo alla protezione delle persone fisiche riguarda il trattamento dei dati personali e la libera circolazione di tali dati.
Il Parlamento valuta positivamente il fatto che il GDPR sia diventato il riferimento mondiale in materia di protezione dei dati personali. Ritiene che il GDPR possa essere globalmente considerato un successo e concorda con la Commissione sul fatto che, allo stato attuale, non è necessario che sia sottoposto ad aggiornamento o riesame.
Il Parlamento è consapevole che per le piccole e medie imprese, le start- up, le organizzazioni e associazioni l’applicazione è stata complessa, ma osserva che molti diritti e obblighi previsti dal GDPR erano già prescritti dalla normativa precedente (direttiva 95/46/CE attuata, prima, con la legge 675/96 e con il Codice Privacy poi).
Tuttavia, ritiene che il GDPR e la sua applicazione non debbano comportare per le PMI conseguenze indesiderate a livello di conformità e invita i Garanti Privacy nazionali a dare maggiore assistenza e formazione.
Dal canto loro, i Garanti Privacy denunciano di non avere abbastanza personale per far fronte a tutte le richieste che, spesso, rimangono inascoltate, soprattutto nelle procedure transfrontaliere. In particolare, il Parlamento invita il Gruppo dei Garanti Privacy Europei (EDPB) a creare strumenti pratici diretti alle PMI e start-up (e altri soggetti di più piccole dimensioni) per agevolare l’attuazione del GDPR.
Armonizzazione di norme e sanzioni
Il principale obiettivo che il GDPR si prefigge è quello di uniformare la normativa in tutti i paesi dell’Unione e, su questo fronte, c’è ancora molta strada da fare. Il Parlamento esprime preoccupazione per l'attuazione disomogenea e talvolta inesistente del GDPR da parte dei Garanti Privacy nazionali a più di due anni dall'inizio dell'applicazione del regolamento. In particolare, osserva alcune incoerenze tra le linee guida degli Stati membri e quelle dell'EDPB: le autorità nazionali di protezione dei dati possono giungere a interpretazioni diverse del GDPR, con conseguenti applicazioni divergenti tra gli Stati membri. Ed osserva che tale situazione sta creando vantaggi geografici e svantaggi per le imprese più strutturate.
Il documento evidenza che nei primi 18 mesi di applicazione del GDPR sono stati presentati circa 275.000 reclami e sono state imposte 785 sanzioni amministrative per diverse violazioni, ma sottolinea che finora è stato dato seguito solo in minima parte ai reclami presentati.
L’importo delle sanzioni, prosegue il documento, essendo fissato solo nel massimo, comporta, variazioni notevoli da uno stato all’altro, risultando a volte di importo modesto per le grandi imprese.
Il Parlamento invita la Commissione e l'EDPB ad armonizzare le sanzioni mediante linee guida e criteri chiari al fine di aumentare la certezza giuridica e di evitare che le imprese si stabiliscano nelle zone che impongono le sanzioni più basse.
Indicazioni pratiche per la compliance
La relazione esamina anche alcuni aspetti della compliance che i Garanti Privacy nazionali e le imprese devono migliorare.
- Si deve fare affidamento su una sola base giuridica per ciascuna finalità delle attività di trattamento, e specificare in che modo ciascuna base giuridica sia invocata per le singole operazioni di trattamento. Succede infatti spesso che i titolari del trattamento citino tutte le basi giuridiche del GDPR (si veda l’art. 6 appunto) nella loro informativa privacy senza un'ulteriore spiegazione e senza fare riferimento alla specifica operazione di trattamento interessata (ad es. base giuridica: consenso, specifica operazione: invio email di marketing).
- Per "consenso" si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, e ciò si applica anche alla direttiva e-privacy (la direttiva 2002/58/CE attualmente in fase di revisione). Quindi, anche nel web, non è possibile utilizzare modelli di consenso occulti.
- Il "legittimo interesse" (art. 6, comma 1, lett. f), GDPR) è molto spesso citato in modo improprio come base giuridica del trattamento e spesso le imprese si basano sul legittimo interesse senza effettuare il necessario esame del bilanciamento degli interessi, che comprende una valutazione dei diritti fondamentali degli interessati.
Andrea Federico Antognini
Fonte: Risoluzione del Parlamento europeo del 25 marzo 2021