Adottata la seconda relazione della Commissione sullo stato di applicazione del GDPR

Legal Tech Italy

Introduzione

 

Il 25 luglio 2024, a Bruxelles, la Commissione europea ha adottato la seconda relazione sull’applicazione del regolamento generale sulla protezione dei dati (il “GDPR”). 
Le relazioni vengono adottate a norma dell’articolo 97 di detto regolamento, rubricato “Relazioni della Commissione”, il quale stabilisce che la Commissione ogni quattro anni trasmetta al Parlamento europeo e al Consiglio relazioni di valutazione e sul riesame del regolamento. 

 

Nel contesto delle valutazioni e del riesame, la Commissione esamina, in particolare, l’applicazione e il funzionamento del capo V del GDPR sul trasferimento di dati personali verso paesi terzi o organizzazioni internazionali e del capo VII su cooperazione e coerenza e sulle modalità armonizzate di applicazione del regolamento. Tuttavia, analogamente alla relazione del 2020, la presente relazione fornisce una valutazione generale dell’applicazione del GDPR che va oltre i suddetti due elementi: essa individua anche una serie di azioni necessarie a sostenere l’applicazione efficace del GDPR in settori prioritari fondamentali. 

 

Ai fini della stesura della relazione, la Commissione può richiedere informazioni agli Stati membri e alle autorità di controllo. Se, analizzate le circostanze e i dati in suo possesso, la Commissione ritiene opportuno, può presentare proposte di modifica del presente regolamento, tenuto conto, in particolare, degli sviluppi delle tecnologie digitali e dei progressi della società dell’informazione. 

 

La relazione del 2024

 

La presente relazione si basa sulle seguenti fonti: i) la posizione e le conclusioni del Consiglio adottate a dicembre 2023; ii) i contributi dei portatori di interesse, raccolti principalmente tramite il gruppo multilaterale sul GDPR e un invito pubblico a presentare osservazioni; iii) i contributi delle autorità di protezione dei dati, inclusi il parere fornito dal Comitato Europeo per la Protezione dei Dati (EDPB) e una relazione elaborata dall’Agenzia per i Diritti Fondamentali (FRA) basata su interviste con singole autorità di protezione dei dati.

 

La relazione trae inoltre supporto dal monitoraggio continuo dell’applicazione del GDPR da parte della Commissione, che comprende dialoghi bilaterali con gli Stati membri sulla conformità della legislazione nazionale, la partecipazione attiva alle attività del Comitato e un’interazione costante con una vasta gamma di portatori di interesse riguardo agli aspetti pratici dell’attuazione del regolamento. 

La relazione trae inoltre supporto dal monitoraggio continuo dell’applicazione del GDPR da parte della Commissione, che comprende dialoghi bilaterali con gli Stati membri sulla conformità della legislazione nazionale, la partecipazione attiva alle attività del Comitato e un’interazione costante con una vasta gamma di portatori di interesse riguardo agli aspetti pratici dell’attuazione del regolamento. 

 

Uno dei primi punti su cui si è soffermata la relazione riguarda la necessità, sorta nel 2020, di rendere più efficiente e armonizzato il trattamento dei casi transfrontalieri in tutta l’UE.
Nel luglio 2023, la Commissione ha presentato una proposta di regolamento sulle norme procedurali, elaborata sulla base di diversi elementi, tra cui un elenco di questioni segnalate dal Comitato Europeo per la Protezione dei Dati (EDPB), nonché i contributi forniti dai portatori di interesse e dagli Stati membri. La proposta mira a integrare il GDPR definendo regole dettagliate in ambiti quali la gestione dei reclami transfrontalieri, il coinvolgimento dei reclamanti, i diritti di difesa delle parti coinvolte nell’indagine (titolari e responsabili del trattamento) e la cooperazione tra le autorità di protezione dei dati. L’armonizzazione di questi aspetti procedurali punta a garantire la conclusione tempestiva delle indagini e a offrire soluzioni rapide alle persone interessate. Attualmente, la proposta è in fase di negoziazione presso il Parlamento Europeo e il Consiglio. 

 

Un secondo aspetto di notevole importanza è rappresentato dall’attuazione del regolamento da parte degli stati membri. In particolare, sebbene il GDPR, in quanto regolamento, sia direttamente applicabile, richiede agli stati membri di legiferare in determinati ambiti e consente loro di precisarne ulteriormente l’applicazione in alcune aree specifiche. Quando adottano norme nazionali, gli stati membri devono operare nel rispetto delle condizioni e dei limiti stabiliti dal regolamento 
Analogamente al 2020, i portatori di interesse continuano a segnalare difficoltà derivanti dalla frammentazione normativa a livello nazionale nei settori in cui gli stati membri possono intervenire per definire l’applicazione del regolamento, in particolare riguardo a: l’età minima per il consenso dei minori nell’accesso ai servizi della società dell’informazione; l’introduzione di condizioni aggiuntive da parte degli Stati membri per il trattamento di dati genetici, biometrici o relativi alla salute; il trattamento di dati personali relativi a condanne penali e reati, che comporta criticità in alcuni contesti regolamentati. 

 

È significativo notare che molti portatori di interesse attribuiscono i problemi di frammentazione più alle interpretazioni divergenti del GDPR da parte delle autorità di protezione dei dati che all’adozione, da parte degli stati membri, di norme di specificazione opzionali. Gli stati membri considerano accettabile un livello moderato di frammentazione e ritengono che le possibilità di specificazione offerte dal GDPR siano comunque utili, specialmente per quanto riguarda il trattamento dei dati da parte delle autorità pubbliche. 

 

Nella relazione del 2020, la Commissione si era impegnata a promuovere un’ applicazione coerente del quadro normativo per la protezione dei dati, in modo da supportare l’innovazione e lo sviluppo tecnologico. Da allora, l’UE ha adottato diverse iniziative che, in alcuni casi, integrano il GDPR o ne specificano le modalità di applicazione in ambiti specifici, perseguendo obiettivi mirati. Di seguito sono riportati alcuni esempi: 

 
  • Regolamento sui servizi digitali: volto a creare un ambiente online sicuro per persone e imprese, vieta alle piattaforme online di mostrare pubblicità basata sulla profilazione che utilizzi le “categorie particolari di dati personali” definite dal GDPR
 
  • Regolamento sui mercati digitali: per rendere i mercati digitali più equi e competitivi, vieta ai “gatekeeper” di combinare e utilizzare in modo incrociato i dati personali tra i loro servizi di piattaforma di base e altri servizi, salvo consenso esplicito fornito dall’utente ai sensi del GDPR
 
  • Regolamento sull’intelligenza artificiale: chiarisce le norme UE in materia di protezione dei dati in settori specifici legati all’uso dell’intelligenza artificiale, come i sistemi di identificazione biometrica remota, il trattamento di categorie particolari di dati per rilevare bias, e l’ulteriore trattamento dei dati personali in contesti di sperimentazione normativa. 
 
  • Direttiva sul lavoro tramite piattaforme digitali: integra il GDPR nel contesto lavorativo regolando l’uso di sistemi decisionali e di monitoraggio automatizzati da parte delle piattaforme digitali, con particolare attenzione alle limitazioni sul trattamento dei dati personali, alla trasparenza, al controllo umano, alla revisione e alla portabilità. 
 
  • Regolamento sulla pubblicità politica: proibisce l’uso di categorie particolari di dati personali nella pubblicità politica e impone maggiori requisiti di trasparenza riguardo alle tecniche di targeting e amplificazione adottate. 
 
  • Il regolamento sull’identità digitale europea introduce un portafoglio digitale universale, sicuro e affidabile, che permetterà alle persone di dimostrare attributi personali come età, patenti di guida, diplomi e conti bancari. Questo strumento garantirà agli utenti il pieno controllo sui propri dati personali, evitando condivisioni di informazioni superflue. 
 

Il quadro che emerge dalla relazione è innovativo ed è volto a migliorare la condivisione dei dati, la governance delle nuove norme sul digitale e rendere sempre meno difficili i trasferimenti internazionali di dati in vista di una cooperazione globale, puntando su una visione non bilaterale ma multilaterale.

Riferimenti

https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52024DC0357

CORSO ACCREDITATO SU LEGAL TECH ACADEMY

Data Protection

Il termine Data Protection identifica quella serie di operazioni volte a preservare la sicurezza delle informazioni di un’organizzazione e dei suoi membri. Il corso permette di acquisire competenze su come tutelarsi contro fenomeni lesivi come la compromissione, la perdita o la diffusione illecita di dati personali e come intervenire in caso di incidenti.

SCOPRI IL CORSO SU LEGAL TECH ACADEMY

Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.

SCRIVI PER NOI

Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.

SEGUICI
  • LinkedIn
  • Facebook
  • X (Twitter)