Il GDPR è un successo. Parola dell’EDPB.
È quanto pensa del GDPR lo European Data Protection Board a distanza di 5 anni e mezzo dall’entrata in vigore del Regolamento europeo.
Come noto, il Comitato Europeo per la Protezione dei Dati Personali può ritenersi il massimo esperto in materia, essendo l’organismo indipendente dell’Unione europea il cui scopo principale è proprio quello di garantire una coerente applicazione del GDPR e di promuovere la cooperazione tra le autorità di protezione dei dati dell’Unione.
Il contributo al rapporto della Commissione Europea
Nella riunione plenaria dello scorso 15 dicembre a Bruxelles, l’EDPB ha adottato il suo contributo al rapporto della Commissione Europea sull’applicazione del GDPR, riconoscendo che la strada è ancora lunga, e che sul percorso si paventano diverse sfide da affrontare, ma che ad oggi il sistema in essere deve ritenersi efficiente e funzionante.
Ciò anche grazie al prezioso contributo di linee guida e indirizzo fornito dallo stesso Comitato. La Presidente dell’EDPB, Anu Talus, ha infatti dichiarato:
Il GDPR ha rafforzato, modernizzato e armonizzato i principi di protezione dei dati in tutta l’UE. Le linee guida dell’EDPB hanno svolto un ruolo chiave nel rendere gli individui e le imprese consapevoli dei loro diritti e responsabilità ai sensi del GDPR. Continueremo a sostenere l’attuazione del GDPR, in particolare da parte delle PMI, e, più in generale, a sensibilizzare l’opinione pubblica sul GDPR. Inoltre, la cooperazione tra le autorità di protezione dei dati e l’applicazione del GDPR hanno acquisito slancio. Più che mai, l’EDPB è impegnato a garantire un’applicazione efficace e coerente del GDPR.
Il meccanismo di cooperazione
Nel contributo pubblicato, l’EDPB ha evidenziato di come, dal 2018, il Comitato abbia costantemente lavorato per incrementare il più possibile la cooperazione con e tra gli Stati membri, al fine di garantire l’efficienza del quadro giuridico dei singoli Stati. Ciò anche attraverso un aumento dell’esperienza delle autorità di controllo nazionali, nel tentativo di uniformare altresì l’interpretazione dei concetti e dei principi del GDPR nei casi pratici.
Questo processo di armonizzazione è agevolato (e incrementato) da una cospicua pubblicazione di linee guida e documenti di indirizzo in tema di meccanismi di cooperazione. in questa sede è doveroso citare: le linee guida 09/2020 sull’obiezione pertinente e motivata; le linee guida 2/2022 sull’applicazione dell’art. 60 GDPR; linee guida 8/2022 sull’individuazione dell’autorità di controllo capofila in relazione a uno specifico titolare del trattamento o responsabile del trattamento.
Il “primato” dell’Italia nelle misure provvisionali d’urgenza
Nel suo contributo l’EDPB ha dato atto che, ad oggi, soltanto 4 autorità di controllo hanno adottato misure provvisionali d’urgenza tramite lo strumento di cui all’art. 66 GDPR: i Garanti di Germania, Finlandia, Norvegia e Italia.
La disposizione citata prevede che
in circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un’autorità di controllo interessata può, in deroga al meccanismo di coerenza di cui agli articoli 63, 64 e 65, o alla procedura di cui all’articolo 60, adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un
periodo di validità determinato che non supera i tre mesi.
L’autorità di controllo comunica senza ritardo tali misure e la motivazione della loro adozione alle altre autorità di controllo interessate, al comitato e alla Commissione.
Il nostro Garante, tra l’altro, conquista il primato, avendo adottato in ben quattro casi le misure provvisionali d’urgenza, richiamando espressamente nel relativo provvedimento il potere di cui al citato articolo.
Tra i casi, merita citazione il provvedimento di limitazione di Tik Tok al trattamento dei dati personali dei minori, che ha vietato – l’ulteriore – trattamento dei dati degli utenti che si trovano sul territorio italiano per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico.
Simile sorte che è stata riservata, in tempi più recenti, per ChatGPT (come avevamo parlato qui), sebbene in quel caso l’Autorità non avesse richiamato il potere conferitogli dalla norma in questione.
Si può sempre migliorare
Il GDPR è un successo, ma si può sempre migliorare. Dall’esame del contributo emanato dall’EDPB, nonché dall’abstract della riunione plenaria, emerge con chiarezza la necessità di porsi nuovi obiettivi per implementare e rendere sempre più coesa ed efficiente un’armonizzata applicazione del Regolamento.
L’impegno, non troppo celato, è quello di arrivare a maggiori livelli di cooperazione, soprattutto su temi che, anche soltanto in 5 anni e mezzo dal battesimo del GDPR, hanno subìto un’evoluzione esponenziale (primo fra tutti, l’Intelligenza Artificiale).