Protezione dei dati: la Commissione adotta nuove norme per rafforzare l’applicazione del GDPR nei casi transfrontalieri
La Commissione europea propone un nuovo atto legislativo per razionalizzare la cooperazione tra le autorità di protezione dei dati nell’applicazione del regolamento generale sulla protezione dei dati nei casi transfrontalieri. Il nuovo regolamento stabilirà norme procedurali concrete destinate alle autorità che applicano il GDPR nei casi che riguardano persone fisiche che si trovano in più di uno Stato membro. Ad esempio introdurrà l’obbligo per l’autorità di protezione dei dati capofila di inviare alle controparti interessate una “sintesi delle questioni chiave” indicante i principali elementi dell’indagine e le sue opinioni sul caso, consentendo così loro di esprimersi in una fase precoce. La proposta contribuirà a ridurre i disaccordi e a facilitare il consenso tra le autorità sin dalle fasi iniziali del processo.
Per le persone fisiche, le nuove norme chiariranno le informazioni che tali persone devono fornire quando propongono un reclamo e garantiranno che le stesse siano adeguatamente coinvolte nel processo. Per le imprese, le nuove norme chiariranno i loro diritti della difesa quando un’autorità di protezione dei dati svolge indagini su una potenziale violazione del GDPR. Le norme consentiranno pertanto una risoluzione più rapida dei casi, il che significa rimedi più rapidi per le persone fisiche e maggiore certezza del diritto per le imprese. Per le autorità di protezione dei dati, le nuove norme agevoleranno la cooperazione e rafforzeranno l’efficacia dell’applicazione.
Armonizzazione delle norme procedurali nei casi transfrontalieri
Il nuovo regolamento prevede norme dettagliate per sostenere il corretto funzionamento dei meccanismi di cooperazione e di coerenza istituiti dal GDPR, armonizzando le norme nei seguenti settori:
- Diritti dei reclamanti: la proposta armonizza i requisiti per la ricevibilità di un reclamo transfrontaliero, eliminando gli attuali ostacoli dovuti alle diverse norme seguite dalle varie autorità di protezione dei dati. Essa stabilisce diritti comuni affinché i reclamanti siano ascoltati qualora il loro reclamo sia rigettato in tutto o in parte. Nei casi in cui siano svolte indagini su un reclamo, la proposta specifica le norme per il corretto coinvolgimento dei reclamanti.
- Diritti delle parti oggetto dell’indagine (titolari del trattamento e responsabili del trattamento): la proposta conferisce alle parti oggetto dell’indagine il diritto di essere ascoltate nelle fasi chiave della procedura, incluso durante la composizione delle controversie da parte del comitato europeo per la protezione dei dati (EDPB), e chiarisce il contenuto del fascicolo amministrativo e il diritto delle parti di accedervi.
- Razionalizzare la cooperazione e la composizione delle controversie: in base alla proposta le autorità di protezione dei dati saranno in grado di esprimersi in una fase precoce delle indagini e di avvalersi di tutti gli strumenti di cooperazione previsti dal GDPR, quali le indagini congiunte e l’assistenza reciproca. Tali disposizioni rafforzeranno l’influenza delle autorità di protezione dei dati sui casi transfrontalieri, faciliteranno il rapido raggiungimento del consenso nelle indagini e ridurranno i disaccordi successivi. La proposta contiene norme dettagliate per facilitare il rapido completamento della procedura di composizione delle controversie del GDPR e prevede termini comuni per la cooperazione e la composizione delle controversie a livello transfrontaliero.
L’armonizzazione di questi aspetti procedurali favorirà il tempestivo completamento delle indagini e l’offerta di rimedi rapidi alle persone fisiche.
Contesto
Come abbiamo visto, il GDPR funziona. Il regolamento della Commissione non incide su elementi sostanziali del GDPR, quali i diritti degli interessati, gli obblighi dei titolari del trattamento e dei responsabili del trattamento o i motivi legittimi per il trattamento dei dati personali stabiliti dal GDPR. Dall’entrata in vigore del GDPR, oltre 2 000 casi nell’ambito dello “sportello unico” sono stati aperti nel registro dei casi dell’EDPB e sono state adottate 711 decisioni definitive. In alcuni casi sono state inflitte ammende per centinaia di milioni di euro. La prossima relazione sull’applicazione del GDPR è prevista per il 2024.
Il GDPR è applicato dalle autorità nazionali di protezione dei dati indipendenti e dagli organi giurisdizionali nazionali. Nei casi che riguardano un trattamento che ha luogo o che incide in modo sostanziale sugli interessati in più di uno Stato membro, si applica il sistema dello “sportello unico” previsto dal GDPR. Ciò significa che l’autorità di protezione dei dati in cui è basato il soggetto oggetto dell’indagine conduce l’indagine in cooperazione con le altre autorità di protezione dei dati interessate. Ai sensi del GDPR, le autorità di protezione dei dati cooperano nell’adoperarsi per raggiungere un consenso sull’applicazione del GDPR nei casi transfrontalieri. Qualora le autorità di protezione dei dati non riescano a raggiungere un consenso, il GDPR prevede la composizione delle controversie da parte del comitato europeo per la protezione dei dati (EDPB).
Nell’applicare il GDPR le autorità di protezione dei dati applicano le norme procedurali nazionali. Nella relazione del 2020 sull’applicazione del GDPR, la Commissione ha osservato che le differenze nelle procedure seguite dalle autorità di protezione dei dati ostacolano il corretto ed efficace funzionamento dei meccanismi di cooperazione e di composizione delle controversie del GDPR. Nell’ottobre 2022 l’EDPB ha inviato alla Commissione un “elenco” contenente suggerimenti per razionalizzare e migliorare alcuni aspetti procedurali al fine di rafforzare la cooperazione e contribuire a fornire un rimedio più rapido agli interessati.
La proposta odierna tiene conto dei contributi di un’ampia gamma di portatori di interessi, tra cui l’EDPB, rappresentanti della società civile, delle imprese, del mondo accademico, degli operatori del diritto, nonché degli Stati membri. La Commissione ha pubblicato un invito a presentare contributi da febbraio a marzo 2023 e ha ricevuto riscontri da svariati portatori di interessi, tra cui la società civile e le associazioni di settore. Ha inoltre organizzato, su richiesta, riunioni bilaterali sulla proposta con rappresentanti della società civile, autorità nazionali e organizzazioni rappresentative settoriali.
Info: https://commission.europa.eu/publications/proposal-regulation-laying-down-additional-procedural-rules-relating-enforcement-gdpr_it