GDPR: siamo pronti ad esaminare la nuova versione?
Il 17 marzo 2021 il rappresentante della commissione LIBE ha presentato una risoluzione, in assemblea plenaria, per un aggiornamento del regolamento generale sulla protezione dei dati, a due anni dalla sua applicazione.
Le motivazioni presentate sono significative, anche alla luce delle sempre più numerose interpretazioni che vengono date di questo regolamento, che fanno venir meno il ruolo di armonizzazione e congruità delle disposizioni in materia di trattamento di dati personali, in tutta Europa.
In questo processo di rinnovamento sono ovviamente inclusi il comitato europeo per la protezione dati personali ed il supervisore europeo, oltre alla commissione ed al Consiglio europeo.
La risoluzione si apre con un apprezzamento positivo sul nuovo regolamento, ma senza dimenticare che l’esperienza è maestra di vita e quella sinora accumulata può certamente aiutare nel produrre una versione più aggiornata del regolamento stesso.
Uno dei primi punti presi in considerazione riguarda il rilascio del consenso da parte degli interessati. Purtroppo, leggiamo ogni giorno di informative oscure, lunghe molte pagine, con il preciso obiettivo di scoraggiare l’interessato coinvolto a dare un consenso sufficientemente informato. Una tecnica sempre più frequente di estorsione del consenso è legata all’applicazione di sconti, se si eroga il consenso, o di condizionare l’accesso a determinati servizi ad una obbligatoria erogazione di consenso.
La nuova versione del regolamento dovrebbe fare chiarezza su questi aspetti, ancora assai frammentati, nella loro gestione nei vari paesi europei.
Anche il concetto di interesse legittimo, che viene spesso utilizzato come motivazione per determinati trattamenti, ha bisogno di essere meglio messo a punto, in quanto gli spazi per abusi sono presenti e crescenti.
Per quanto riguarda altri diritti degli interessati, aggiornamento del regolamento dovrebbe recepire le preziose interpretazioni e linee guida pubblicate dal comitato europeo per la protezione dei dati, a chiarimento di disposizioni legislative, talvolta non sufficientemente trasparenti ed incisive.
Anche se il regolamento offre alcuni alleggerimenti alle disposizioni esecutive per le piccole e medie aziende, l’esperienza ha mostrato come questi alleggerimenti non siano sufficienti e venga imposto un onere eccessivo su strutture, che non sono certamente dimensionate, in termini umani ed economici, per dare puntuale adempimento a tutte le disposizioni del codice.
La mozione inoltre prende in esame una situazione preoccupante, che riguarda le attività svolte dalle autorità di supervisione nazionale.
Su 275.000 reclami presentati a queste autorità nazionali, sono state imposte solo 785 sanzioni, nei primi 18 mesi di applicazione del regolamento. Ciò significa che un gran numero di reclami non è stato gestito. Inoltre, come più volte in questo bollettino abbiamo segnalato, le modalità di applicazione delle sanzioni nei vari paesi sono estremamente differenziate e ciò fa venir meno il valore armonizzante, che si intendeva attribuire al nuovo regolamento.
D’altro canto, è ben vero che 21 autorità Garanti nazionali, su un totale di 31 Stati dove il regolamento è applicato, hanno più volte dichiarato di non avere sufficienti risorse umane, tecniche e finanziarie per svolgere con incisività il ruolo loro attribuito dal regolamento.
La mozione deplora anche il fatto che in molti paesi non è stato applicato l’articolo 80, comma 2, che permette di delegare a rappresentanze degli utenti e dei consumatori la possibilità di presentare reclami.
Un altro tema messo in evidenza riguarda il fatto che in molti paesi europei si ricorre al regolamento generale europeo come strumento di compressione dei diritti dei giornalisti e, più in generale, della libertà di stampa.
Un altro aspetto che viene vivamente deplorato riguarda le modalità con cui i titolari sviluppano il documento di cui all’articolo 25, afferente alla descrizione della protezione dei dati, fin dalla progettazione. Questo documento spesso viene scritto in termini formali, che non sempre corrispondono alla realtà dei fatti.
Anche la profilazione, che viene consentita dall’articolo 22 del regolamento, in condizioni oltremodo vincolanti, viene sempre più spesso utilizzata in modo incontrollato, fino a costruire profili di vita privata degli interessati, anche in assenza di esplicito consenso.
Per aggiornamento dei lettori, riporto in allegato la mozione, che quanto prima verrà esaminata dall’autorità competenti e porterà a un doveroso aggiornamento del regolamento, per renderlo sempre più aderente alle finalità per le quali venne scritto, in sostituzione del precedente regime di direttiva.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.