La Commissione europea presenta il secondo rapporto sull’applicazione del GDPR, approfondisce le criticità per le imprese e cittadini e richiede interventi e azioni migliorative.
L'articolo 97 del GDPR prevede che, a partire dal 2020, ogni quattro anni, la Commissione trasmette al Parlamento europeo e al Consiglio la relazione di valutazione e sul riesame del regolamento. La prima relazione della Commissione era del 2020. La nuova relazione richiama l'attenzione sull'applicazione più rigorosa del GDPR e sottolinea l'aumento delle sanzioni pecuniarie comminate dall'autorità Garante per la protezione dei dati personali nazionali anche nei confronti di grandi imprese tecnologiche per i profili della violazione dei principi di liceità e della sicurezza del trattamento, il mancato rispetto dei diritti sui dati e le misure a garanzia di trattamenti di categorie particolari di dati. Tale relazione evidenzia come, se da un lato sono aumentate le risorse a disposizione delle autorità nazionali Garanti, dall'altro lato è aumentato anche il numero dei reclami dei cittadini. Le persone sono sempre più consapevoli dei loro diritti a norma del GDPR e gli strumenti di esercizio degli stessi. I diritti sui dati più esercitati da parte delle persone riguardano il diritto di accesso ai dati e il diritto alla cancellazione, mentre il diritto di rettifica e opposizione vengono esercitati raramente. In riferimento all'esercizio del diritto di accesso ai dati, si registrano criticità nell'interpretazione della nozione “richieste infondate o eccessive” nel rispondere all'elevato numero di richieste e nel gestire richieste presentate per finalità non connesse alla protezione dei dati personali, ad esempio allo scopo di raccogliere prove per procedimenti giudiziari. La relazione rappresenta un quadro di ancora forte frammentazione dell'applicazione del GDPR a livello nazionale, in particolare per i seguenti delicati profili l'età minima del consenso dei minori in relazione all'offerta di servizi della società dell'informazione l'introduzione, da parte degli Stati membri, di ulteriori condizioni con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute il trattamento di dati personali relativi a condanne penali e reati, che crea difficoltà in alcuni settori regolamentati. Il provvedimento si concentra sulle sfide dell'applicazione del GDPR per le piccole e medie imprese e osserva come le autorità di protezione dei dati dovrebbero raddoppiare gli sforzi volti ad affrontare tali sfide, anche dialogando proattivamente con le PMI per dissipare eventuali preoccupazioni infondate in materia di conformità. Le autorità di protezione dei dati dovrebbero concentrarsi sul fornire un sostegno su misura e strumenti pratici, quali modelli ad esempio per l'esecuzione di valutazioni d'impatto sulla protezione dei dati , linee telefoniche di assistenza, esempi illustrativi, liste di controllo e orientamenti su specifiche operazioni di trattamento ad esempio la fatturazione o l'invio di newsletter , nonché misure tecniche e organizzative. La relazione conferma il ruolo strategico del responsabile per la protezione dei dati personali e approfondisce le criticità ancora da risolvere le difficoltà nel nominare responsabili della protezione dei dati dotati delle competenze necessarie la mancanza di norme a livello dell'UE per quanto riguarda l'istruzione e la formazione del DPO l'integrazione non adeguata dei responsabili della protezione dei dati nei processi organizzativi. E richiama l'attenzione sulla mancanza di risorse sui compiti aggiuntivi che esulano dalla protezione dei dati e sull'insufficiente anzianità di servizio. Il Comitato ha osservato che è necessario che le autorità di protezione dei dati intensifichino le attività di sensibilizzazione, nonché le loro misure di informazione e di applicazione delle norme per garantire che i responsabili della protezione dei dati possano svolgere il loro ruolo a norma del GDPR. Viene anche sottolineata l'importanza del ruolo del Comitato europeo in materia di protezione dei dati personali che dovrà adottare nei prossimi mesi le nuove linee guida nei diversi ambiti descritti dalla relazione. Si approfondisce anche il profilo relativo al trasferimento di dati e si prevede l'impegno della Commissione a portare a termine le attività sulle clausole contrattuali tipo aggiuntive, in particolare per i trasferimenti di dati il cui trattamento è direttamente soggetto al GDPR agli importatori di dati e per i trasferimenti di dati da parte delle istituzioni e degli organi dell'UE a norma del Regolamento UE 2018/1725. La relazione nel suo complesso è finalizzata a stimolare opportune proposte di modifica del GDPR tenuto conto, in particolare, degli sviluppi delle tecnologie dell'informazione e dei progressi della società dell'informazione. Ed indica fra le azioni prioritarie la rigorosa applicazione del GDPR, a partire dalla rapida adozione della proposta della Commissione relativa alle norme procedurali, in modo da garantire la disponibilità di mezzi di ricorso rapidi e la certezza del diritto nei casi che interessano persone fisiche in tutta l'UE. Risultano fondamentali sia l'interpretazione e sia l''applicazione coerenti del GDPR in tutta l'UE. Occorre il sostegno proattivo da parte delle autorità di protezione dei dati agli sforzi di conformità compiuti dai portatori di interessi, in particolare dalle PMI e dai piccoli operatori. Nel testo si richiama l'attenzione sulla necessità di una cooperazione efficace tra le autorità di regolamentazione a livello sia nazionale che dell'UE per garantire un'applicazione uniforme e coerente del crescente insieme di norme dell'UE sul digitale. Il documento in esame costituisce uno strumento critico importante per riflettere sui punti di forza del GDPR e sui punti di miglioramento e sul percorso di una applicazione più efficace del regolamento e conferma come il regolamento europeo costituisca ancora la pietra angolare della transizione digitale.
Secondo report della Commissione europea sull'applicazione del GDPR