Regolamento Privacy: stato di attuazione a due anni dall’applicazione

di lettura

La risoluzione del Parlamento europeo 25 marzo 2021 descrive e commenta lo stato di attuazione del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

Image

Il Regolamento relativo alla protezione delle persone fisiche riguarda il trattamento dei dati personali e la libera circolazione di tali dati.

Il Parlamento valuta positivamente il fatto che il GDPR sia diventato il riferimento mondiale in materia di protezione dei dati personali. Ritiene che il GDPR possa essere globalmente considerato un successo e concorda con la Commissione sul fatto che, allo stato attuale, non è necessario che sia sottoposto ad aggiornamento o riesame.

Il Parlamento è consapevole che per le piccole e medie imprese, le start- up, le organizzazioni e associazioni l’applicazione è stata complessa, ma osserva che molti diritti e obblighi previsti dal GDPR erano già prescritti dalla normativa precedente (direttiva 95/46/CE attuata, prima, con la legge 675/96 e con il Codice Privacy poi).

Tuttavia, ritiene che il GDPR e la sua applicazione non debbano comportare per le PMI conseguenze indesiderate a livello di conformità e invita i Garanti Privacy nazionali a dare maggiore assistenza e formazione.

Dal canto loro, i Garanti Privacy denunciano di non avere abbastanza personale per far fronte a tutte le richieste che, spesso, rimangono inascoltate, soprattutto nelle procedure transfrontaliere. In particolare, il Parlamento invita il Gruppo dei Garanti Privacy Europei (EDPB) a creare strumenti pratici diretti alle PMI e start-up (e altri soggetti di più piccole dimensioni) per agevolare l’attuazione del GDPR.

Armonizzazione di norme e sanzioni

Il principale obiettivo che il GDPR si prefigge è quello di uniformare la normativa in tutti i paesi dell’Unione e, su questo fronte, c’è ancora molta strada da fare. Il Parlamento esprime preoccupazione per l'attuazione disomogenea e talvolta inesistente del GDPR da parte dei Garanti Privacy nazionali a più di due anni dall'inizio dell'applicazione del regolamento. In particolare, osserva alcune incoerenze tra le linee guida degli Stati membri e quelle dell'EDPB: le autorità nazionali di protezione dei dati possono giungere a interpretazioni diverse del GDPR, con conseguenti applicazioni divergenti tra gli Stati membri. Ed osserva che tale situazione sta creando vantaggi geografici e svantaggi per le imprese più strutturate.

Il documento evidenza che nei primi 18 mesi di applicazione del GDPR sono stati presentati circa 275.000 reclami e sono state imposte 785 sanzioni amministrative per diverse violazioni, ma sottolinea che finora è stato dato seguito solo in minima parte ai reclami presentati.

L’importo delle sanzioni, prosegue il documento, essendo fissato solo nel massimo, comporta, variazioni notevoli da uno stato all’altro, risultando a volte di importo modesto per le grandi imprese.

Il Parlamento invita la Commissione e l'EDPB ad armonizzare le sanzioni mediante linee guida e criteri chiari al fine di aumentare la certezza giuridica e di evitare che le imprese si stabiliscano nelle zone che impongono le sanzioni più basse.

Indicazioni pratiche per la compliance

La relazione esamina anche alcuni aspetti della compliance che i Garanti Privacy nazionali e le imprese devono migliorare.

  • Si deve fare affidamento su una sola base giuridica per ciascuna finalità delle attività di trattamento, e specificare in che modo ciascuna base giuridica sia invocata per le singole operazioni di trattamento. Succede infatti spesso che i titolari del trattamento citino tutte le basi giuridiche del GDPR (si veda l’art. 6 appunto) nella loro informativa privacy senza un'ulteriore spiegazione e senza fare riferimento alla specifica operazione di trattamento interessata (ad es. base giuridica: consenso, specifica operazione: invio email di marketing).
  • Per "consenso" si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, e ciò si applica anche alla direttiva e-privacy (la direttiva 2002/58/CE attualmente in fase di revisione). Quindi, anche nel web, non è possibile utilizzare modelli di consenso occulti.
  • Il "legittimo interesse" (art. 6, comma 1, lett. f), GDPR) è molto spesso citato in modo improprio come base giuridica del trattamento e spesso le imprese si basano sul legittimo interesse senza effettuare il necessario esame del bilanciamento degli interessi, che comprende una valutazione dei diritti fondamentali degli interessati.

Andrea Federico Antognini

Fonte: Risoluzione del Parlamento europeo del 25 marzo 2021

Contrattualistica
Digital Services Act: proposta di Regolamento EU sui servizi digitali
Digital Services Act: proposta di Regolamento EU sui servizi digitali
Il 23 aprile il parlamento Europeo e il Consiglio d’Europa hanno raggiunto un accordo sul testo della proposta di Regolamento UE sui servizi digitali, il Digital Services Act (DSA).
Pratiche commerciali sleali nella filiera agricola e alimentare
Pratiche commerciali sleali nella filiera agricola e alimentare
Con D.lgs. dell’8 novembre 2021 n. 198 è stata data attuazione in Italia alla direttiva UE 2019/633 del 17 aprile 2019 in materia di pratiche commerciali sleali nei rapporti tra imprese nella filiera agricola e alimentare, che ha abrogato l’art.
Infoexport: Letter of authority per vendere vino negli USA
Infoexport: Letter of authority per vendere vino negli USA
Produciamo vino in Italia e ci ha contattato un importatore statunitense interessato ai nostri  vini in bottiglia (Horeca e vendita tramite e-commerce). Ci ha chiesto una Letter of authority…
Contratti con controparti aventi sede in territorio russo o bielorusso
Contratti con controparti aventi sede in territorio russo o bielorusso
Confindustria ha pubblicato alcuni consigli sui principali profili da considerare nella stipula di contratti internazionali con controparti aventi sede in territorio russo, bielorusso o in territori limitrofi.
Tempi di consegna dilatati e rischio penali: strumenti contrattuali per l’esportatore italiano
Tempi di consegna dilatati e rischio penali: strumenti contrattuali per l’esportatore italiano
L’attuale carenza e le difficoltà di reperimento delle materie prime e della componentistica possono impedire al venditore/esportatore di consegnare i prodotti ai clienti/compratori nei tempi contrattualmente pattuiti.
Brexit: riconoscimento ed esecuzione delle sentenze in materia civile e commerciale
Brexit: riconoscimento ed esecuzione delle sentenze in materia civile e commerciale
Le normative vigenti nell’Unione Europea in materia di giurisdizione, riconoscimento ed esecuzione di sentenze civili e commerciali non sono più applicabili nel Regno Unito a seguito della Brexit.
Crisi Russia - Ucraina: forza maggiore nell’esecuzione dei contratti internazionali
Crisi Russia - Ucraina: forza maggiore nell’esecuzione dei contratti internazionali
Dopo aver dominato la scena a causa dell’evento pandemico nel 2020, la questione della Forza maggiore è un tema nuovamente attuale a seguito dello scoppio della guerra tra Russia e Ucraina.
Emirati Arabi Uniti: nuova legge sul lavoro
Emirati Arabi Uniti: nuova legge sul lavoro
Il 2 febbraio 2022 è entrato in vigore negli Emirati Arabi Uniti il decreto federale n. 33 del 2021, che sostituisce la legge federale n. 8 del 1980.
Emirati Arabi Uniti: opportunità settoriali e modalità di insediamento
Emirati Arabi Uniti: opportunità settoriali e modalità di insediamento
Nel 2020, l’interscambio commerciale si è attestato su valori pari a 8,4 miliardi, consentendo all’Italia di diventare l’ottavo partner commerciale degli EAU e il secondo tra gli Stati membri UE.
Modelli contrattuali internazionali: Agenzia, Vendita,  Distribuzione in esclusiva
Modelli contrattuali internazionali: Agenzia, Vendita, Distribuzione in esclusiva
Unioncamere Lombardia ha pubblicato tre modelli contrattuali internazionali (versioni IT/ING e IT/FRA): Agenzia, Vendita e  Distribuzione in esclusiva.