Regolamento Privacy: stato di attuazione a due anni dall’applicazione

di lettura

La risoluzione del Parlamento europeo 25 marzo 2021 descrive e commenta lo stato di attuazione del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

Image

Il Regolamento relativo alla protezione delle persone fisiche riguarda il trattamento dei dati personali e la libera circolazione di tali dati.

Il Parlamento valuta positivamente il fatto che il GDPR sia diventato il riferimento mondiale in materia di protezione dei dati personali. Ritiene che il GDPR possa essere globalmente considerato un successo e concorda con la Commissione sul fatto che, allo stato attuale, non è necessario che sia sottoposto ad aggiornamento o riesame.

Il Parlamento è consapevole che per le piccole e medie imprese, le start- up, le organizzazioni e associazioni l’applicazione è stata complessa, ma osserva che molti diritti e obblighi previsti dal GDPR erano già prescritti dalla normativa precedente (direttiva 95/46/CE attuata, prima, con la legge 675/96 e con il Codice Privacy poi).

Tuttavia, ritiene che il GDPR e la sua applicazione non debbano comportare per le PMI conseguenze indesiderate a livello di conformità e invita i Garanti Privacy nazionali a dare maggiore assistenza e formazione.

Dal canto loro, i Garanti Privacy denunciano di non avere abbastanza personale per far fronte a tutte le richieste che, spesso, rimangono inascoltate, soprattutto nelle procedure transfrontaliere. In particolare, il Parlamento invita il Gruppo dei Garanti Privacy Europei (EDPB) a creare strumenti pratici diretti alle PMI e start-up (e altri soggetti di più piccole dimensioni) per agevolare l’attuazione del GDPR.

Armonizzazione di norme e sanzioni

Il principale obiettivo che il GDPR si prefigge è quello di uniformare la normativa in tutti i paesi dell’Unione e, su questo fronte, c’è ancora molta strada da fare. Il Parlamento esprime preoccupazione per l'attuazione disomogenea e talvolta inesistente del GDPR da parte dei Garanti Privacy nazionali a più di due anni dall'inizio dell'applicazione del regolamento. In particolare, osserva alcune incoerenze tra le linee guida degli Stati membri e quelle dell'EDPB: le autorità nazionali di protezione dei dati possono giungere a interpretazioni diverse del GDPR, con conseguenti applicazioni divergenti tra gli Stati membri. Ed osserva che tale situazione sta creando vantaggi geografici e svantaggi per le imprese più strutturate.

Il documento evidenza che nei primi 18 mesi di applicazione del GDPR sono stati presentati circa 275.000 reclami e sono state imposte 785 sanzioni amministrative per diverse violazioni, ma sottolinea che finora è stato dato seguito solo in minima parte ai reclami presentati.

L’importo delle sanzioni, prosegue il documento, essendo fissato solo nel massimo, comporta, variazioni notevoli da uno stato all’altro, risultando a volte di importo modesto per le grandi imprese.

Il Parlamento invita la Commissione e l'EDPB ad armonizzare le sanzioni mediante linee guida e criteri chiari al fine di aumentare la certezza giuridica e di evitare che le imprese si stabiliscano nelle zone che impongono le sanzioni più basse.

Indicazioni pratiche per la compliance

La relazione esamina anche alcuni aspetti della compliance che i Garanti Privacy nazionali e le imprese devono migliorare.

  • Si deve fare affidamento su una sola base giuridica per ciascuna finalità delle attività di trattamento, e specificare in che modo ciascuna base giuridica sia invocata per le singole operazioni di trattamento. Succede infatti spesso che i titolari del trattamento citino tutte le basi giuridiche del GDPR (si veda l’art. 6 appunto) nella loro informativa privacy senza un'ulteriore spiegazione e senza fare riferimento alla specifica operazione di trattamento interessata (ad es. base giuridica: consenso, specifica operazione: invio email di marketing).
  • Per "consenso" si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, e ciò si applica anche alla direttiva e-privacy (la direttiva 2002/58/CE attualmente in fase di revisione). Quindi, anche nel web, non è possibile utilizzare modelli di consenso occulti.
  • Il "legittimo interesse" (art. 6, comma 1, lett. f), GDPR) è molto spesso citato in modo improprio come base giuridica del trattamento e spesso le imprese si basano sul legittimo interesse senza effettuare il necessario esame del bilanciamento degli interessi, che comprende una valutazione dei diritti fondamentali degli interessati.

Andrea Federico Antognini

Fonte: Risoluzione del Parlamento europeo del 25 marzo 2021

Contrattualistica
Franchising internazionale "immateriale": strategia digitale per le partnership commerciali
Franchising internazionale "immateriale": strategia digitale per le partnership commerciali
Progettare il piano di internazionalizzazione dell’insegna significa rendere performante il modello di business non solo per la singola unità di vendita, ma forse ancora di più per il partner commerciale, che avrà la responsabilità di avviarne alcune e/o di sviluppare il nuovo mercato.
Giurisprudenza inglese in tema liquidated damages: questioni ricorrenti e nuove criticità
Giurisprudenza inglese in tema liquidated damages: questioni ricorrenti e nuove criticità
Il tema dei liquidated damages nei contratti internazionali continua a essere oggetto di accesi contenziosi e decisioni rilevanti rese dalle corti inglesi e in altri sistemi di common law.
Supply chain e obblighi di due diligence: nuova proposta di direttiva in materia di sostenibilità
Supply chain e obblighi di due diligence: nuova proposta di direttiva in materia di sostenibilità
Il 23 febbraio 2022 è stata pubblicata la proposta di Direttiva UE relativa al dovere di diligenza delle imprese in materia di sostenibilità.
Arabia Saudita: agenzia commerciale, distribuzione e franchising
Arabia Saudita: agenzia commerciale, distribuzione e franchising
Un'azienda straniera non ha bisogno di creare una presenza stabile in Arabia Saudita allorché le sue merci sono importate per la vendita o la rivendita attraverso un distributore, un agente commerciale, o a seguito di un contratto di franchising.
Contratto con mezzi elettronici: attenzione alla terminologia da adottare sul pulsante di inoltro dell’ordine
Contratto con mezzi elettronici: attenzione alla terminologia da adottare sul pulsante di inoltro dell’ordine
La Corte di Giustizia dell’Unione Europea, con sentenza del 7 aprile 2022 nella causa C-249/21, si è espressa circa l’importanza dell’espressione da utilizzare sui pulsanti di inoltro degli ordini, quando il contratto è concluso con mezzi elettronici dal consumatore.
Imposizione  unilaterale di aumenti di prezzo e ritardi nelle consegne dei fornitori: rinegoziare le clausole contrattuali
Imposizione unilaterale di aumenti di prezzo e ritardi nelle consegne dei fornitori: rinegoziare le clausole contrattuali
Le problematiche concernenti i ritardi nelle consegne da parte dei fornitori italiani o esteri determina, a cascata, problemi per le aziende che non riescono ad assemblare i propri impianti e a consegnare in base a contratti già stipulati, determinando problematiche che possono sfociare nell’applicazione di penali o nella risoluzione del contratto di vendita col cliente finale.
Nuovo Regolamento sulle intese verticali: cosa cambia per l’e-commerce?
Nuovo Regolamento sulle intese verticali: cosa cambia per l’e-commerce?
Il 10 maggio 2022 la Commissione europea ha adottato il nuovo Regolamento sulle intese verticali n. 2022/720 che sostituisce il Regolamento 2010/330 e le nuove Linee Guida sulle restrizioni verticali.
Limiti alla responsabilità del venditore nella vendita internazionale
Limiti alla responsabilità del venditore nella vendita internazionale
La vendita internazionale di beni mobili tra professionisti è regolata dalla Convenzione delle Nazioni Unite sulla vendita internazionale di beni mobili, adottata a Vienna nel 1980 (Convenzione di Vienna).
Digital Services Act: proposta di Regolamento EU sui servizi digitali
Digital Services Act: proposta di Regolamento EU sui servizi digitali
Il 23 aprile il parlamento Europeo e il Consiglio d’Europa hanno raggiunto un accordo sul testo della proposta di Regolamento UE sui servizi digitali, il Digital Services Act (DSA).
Pratiche commerciali sleali nella filiera agricola e alimentare
Pratiche commerciali sleali nella filiera agricola e alimentare
Con D.lgs. dell’8 novembre 2021 n. 198 è stata data attuazione in Italia alla direttiva UE 2019/633 del 17 aprile 2019 in materia di pratiche commerciali sleali nei rapporti tra imprese nella filiera agricola e alimentare, che ha abrogato l’art.