Regolamento Privacy: stato di attuazione a due anni dall’applicazione

di lettura

La risoluzione del Parlamento europeo 25 marzo 2021 descrive e commenta lo stato di attuazione del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

Image

Il Regolamento relativo alla protezione delle persone fisiche riguarda il trattamento dei dati personali e la libera circolazione di tali dati.

Il Parlamento valuta positivamente il fatto che il GDPR sia diventato il riferimento mondiale in materia di protezione dei dati personali. Ritiene che il GDPR possa essere globalmente considerato un successo e concorda con la Commissione sul fatto che, allo stato attuale, non è necessario che sia sottoposto ad aggiornamento o riesame.

Il Parlamento è consapevole che per le piccole e medie imprese, le start- up, le organizzazioni e associazioni l’applicazione è stata complessa, ma osserva che molti diritti e obblighi previsti dal GDPR erano già prescritti dalla normativa precedente (direttiva 95/46/CE attuata, prima, con la legge 675/96 e con il Codice Privacy poi).

Tuttavia, ritiene che il GDPR e la sua applicazione non debbano comportare per le PMI conseguenze indesiderate a livello di conformità e invita i Garanti Privacy nazionali a dare maggiore assistenza e formazione.

Dal canto loro, i Garanti Privacy denunciano di non avere abbastanza personale per far fronte a tutte le richieste che, spesso, rimangono inascoltate, soprattutto nelle procedure transfrontaliere. In particolare, il Parlamento invita il Gruppo dei Garanti Privacy Europei (EDPB) a creare strumenti pratici diretti alle PMI e start-up (e altri soggetti di più piccole dimensioni) per agevolare l’attuazione del GDPR.

Armonizzazione di norme e sanzioni

Il principale obiettivo che il GDPR si prefigge è quello di uniformare la normativa in tutti i paesi dell’Unione e, su questo fronte, c’è ancora molta strada da fare. Il Parlamento esprime preoccupazione per l'attuazione disomogenea e talvolta inesistente del GDPR da parte dei Garanti Privacy nazionali a più di due anni dall'inizio dell'applicazione del regolamento. In particolare, osserva alcune incoerenze tra le linee guida degli Stati membri e quelle dell'EDPB: le autorità nazionali di protezione dei dati possono giungere a interpretazioni diverse del GDPR, con conseguenti applicazioni divergenti tra gli Stati membri. Ed osserva che tale situazione sta creando vantaggi geografici e svantaggi per le imprese più strutturate.

Il documento evidenza che nei primi 18 mesi di applicazione del GDPR sono stati presentati circa 275.000 reclami e sono state imposte 785 sanzioni amministrative per diverse violazioni, ma sottolinea che finora è stato dato seguito solo in minima parte ai reclami presentati.

L’importo delle sanzioni, prosegue il documento, essendo fissato solo nel massimo, comporta, variazioni notevoli da uno stato all’altro, risultando a volte di importo modesto per le grandi imprese.

Il Parlamento invita la Commissione e l'EDPB ad armonizzare le sanzioni mediante linee guida e criteri chiari al fine di aumentare la certezza giuridica e di evitare che le imprese si stabiliscano nelle zone che impongono le sanzioni più basse.

Indicazioni pratiche per la compliance

La relazione esamina anche alcuni aspetti della compliance che i Garanti Privacy nazionali e le imprese devono migliorare.

  • Si deve fare affidamento su una sola base giuridica per ciascuna finalità delle attività di trattamento, e specificare in che modo ciascuna base giuridica sia invocata per le singole operazioni di trattamento. Succede infatti spesso che i titolari del trattamento citino tutte le basi giuridiche del GDPR (si veda l’art. 6 appunto) nella loro informativa privacy senza un'ulteriore spiegazione e senza fare riferimento alla specifica operazione di trattamento interessata (ad es. base giuridica: consenso, specifica operazione: invio email di marketing).
  • Per "consenso" si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, e ciò si applica anche alla direttiva e-privacy (la direttiva 2002/58/CE attualmente in fase di revisione). Quindi, anche nel web, non è possibile utilizzare modelli di consenso occulti.
  • Il "legittimo interesse" (art. 6, comma 1, lett. f), GDPR) è molto spesso citato in modo improprio come base giuridica del trattamento e spesso le imprese si basano sul legittimo interesse senza effettuare il necessario esame del bilanciamento degli interessi, che comprende una valutazione dei diritti fondamentali degli interessati.

Andrea Federico Antognini

Fonte: Risoluzione del Parlamento europeo del 25 marzo 2021

Contrattualistica
Brexit e accordi di scelta del foro
Brexit e accordi di scelta del foro
Considerate le complicazioni derivanti dalla Brexit, è importante valutare attentamente, caso per caso, quale tipo di clausola di scelta del foro adottare.
Emirati Arabi Uniti: eliminato l’obbligo di sponsor locale per le società onshore
Emirati Arabi Uniti: eliminato l’obbligo di sponsor locale per le società onshore
Dal 1° giugno sono in vigore le nuove regole che consentono la piena proprietà straniera delle società onshore, ossia quelle costituite sul territorio emiratino, fissate nel Decreto Legge Federale n. 26 del 2020.
Codice civile Repubblica Popolare Cinese
Codice civile Repubblica Popolare Cinese
Una svolta storica per il diritto cinese: il 28 maggio è stato approvato il primo Codice Civile della Repubblica Popolare Cinese, che è entrato in vigore il 1° gennaio 2021.
Regolamento Privacy: stato di attuazione a due anni dall’applicazione
Regolamento Privacy: stato di attuazione a due anni dall’applicazione
La risoluzione del Parlamento europeo 25 marzo 2021 descrive e commenta lo stato di attuazione del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.
Compravendita internazionale e garanzia dei vizi: profili critici
Compravendita internazionale e garanzia dei vizi: profili critici
La garanzia dei vizi nell’ambito di un contratto di vendita internazionale alla luce della recente sentenza della Corte di Cassazione e dei principali aspetti disciplinati dalla Convenzione di Vienna.
Vendita internazionale di beni: efficacia degli Incoterms per determinare la giurisdizione
Vendita internazionale di beni: efficacia degli Incoterms per determinare la giurisdizione
L’individuazione del giudice competente rappresenta un passaggio imprescindibile e talvolta dirimente per le sorti del giudizio nelle controversie internazionali.
Nozione di agente commerciale: confronto tra giurisprudenza francese ed europea
Nozione di agente commerciale: confronto tra giurisprudenza francese ed europea
Sentenza della Corte di Giustizia europea del 4 giugno 2020 (causa C-828/2018).
Brexit e risvolti operativi sui contratti commerciali
Brexit e risvolti operativi sui contratti commerciali
Il Regno Unito non è più parte dell’Unione Europea e questo comporta cambiamenti dal punto di vista della movimentazione delle persone, doganale, tariffario e commerciale.
Brexit e contratti commerciali
Brexit e contratti commerciali
Sintesi del Tascabile Brexit realizzato da Agenzia ICE che analizza gli effetti della Brexit sugli accordi commerciali tra imprese.
Le procedure di référé in Francia
Le procedure di référé in Francia
Quando le controversie richiedono una soluzione rapida, in alcuni casi è possibile ricorrere alle procedure di référé , che vengono affidate a un giudice unico.