Verso un'Europa della protezione dei dati: la strada è lunga.

Osservatorio Legale n. 36 – Giugno 2021

Verso un’Europa della protezione dei dati: la strada è lungaAl momento della sua entrata in vigore, il Regolamento generale sulla protezione dei dati ha suscitato molte speranze in termini di chiarezza ed efficacia.

Mentre la direttiva europea da esso sostituita forniva già un quadro giuridico relativamente preciso e vincolante, il GDPR intendeva consentire un'attuazione armonizzata di tali principi, ovunque le aziende interessate si trovino nell'Unione europea.

Anche le sanzioni applicabili, riviste al rialzo, dovevano essere valutate dalle autorità di vigilanza mediante una griglia di analisi coerente.

In realtà, sembrano esserci ancora molte insidie che limitano questa armonizzazione tanto attesa.

Il commissario tedesco Johannes Caspar, che giunge al termine del suo mandato dopo dodici anni alla guida dell'autorità di vigilanza del Land di Amburgo, insiste e firma questo giugno denunciando le carenze nell'attuazione del GDPR.

La causa sono le lunghe e complesse procedure necessarie affinché tutte le autorità riunite nell'ambito del Comitato europeo per la protezione dei dati (EDPB) possano trovare una posizione comune.

Il GDPR ha istituito una procedura cosiddetta "one-stop shop", che prevede la competenza di un'autorità capofila, quella del Paese in cui ha sede principale la società interessata dall'indagine.

Tuttavia, tale autorità capofila deve collaborare con le altre autorità nazionali interessate nelle varie fasi della procedura.

In pratica, le indagini sono accentrate presso l'autorità irlandese, che è competente a guidare la maggior parte dei casi contro il GAFAM istituito sul suo territorio. Sono in corso ventotto procedimenti presso tale autorità, criticata per la lentezza e la permissività delle sue procedure nei confronti di grandi aziende tecnologiche come Facebook e Twitter, che a quanto pare stanno dando luogo a lunghe e difficili discussioni con le sue controparti all'interno del GEPD.

Il Commissario dell'Autorità di Amburgo chiede che le autorità di controllo trasmettano tempestivamente segnali chiari e dissuasivi affinché i titolari del trattamento dei dati si conformino in modo analogo ovunque si trovino nell'Unione europea e senza distorsioni della concorrenza.

È opportuno sottolineare che tale questione è stata individuata dallo stesso Comitato nella sua relazione annuale del 2020 e che il miglioramento della cooperazione tra le autorità è una delle sue priorità per il 2021-2022.

Aggiungiamo che, pur presentando una certa pesantezza procedurale, il sistema dello "sportello unico" presenta comunque il vantaggio che qualsiasi cittadino dell'Unione europea può presentare un reclamo alla propria autorità di controllo nazionale, anche se il titolare del trattamento è stabilito in un altro Paese, e che le autorità competenti sono tenute a collaborare alla gestione del reclamo.

Se il ricorrente non è soddisfatto dell'esito dell'indagine, può anche chiedere un risarcimento nel proprio Paese.

Anche la Corte di giustizia europea, in una sentenza del 15 giugno, ha ricordato il margine di manovra delle autorità che non sono le principali autorità nella gestione di un reclamo transfrontaliero.

Nel contesto di una controversia tra Facebook (con sede in Irlanda) e l'autorità belga per la protezione dei dati, la Corte ha quindi ritenuto che l'autorità belga, pur non essendo l'autorità principale, potesse sottoporre ai tribunali belgi determinate violazioni del GDPR da parte di Facebook.

Tali condizioni sono tuttavia limitate ai casi di urgenza (articolo 66 del GDPR) o ai casi locali (articolo 56.2 del GDPR). Questa sentenza non sancisce quindi la fine dello sportello unico, ma tende a precisare le eccezioni alla sua applicazione. Il principio di cooperazione tra autorità rimane quindi la norma.

E anche

Francia:

Il 30 giugno la CNIL ha pubblicato la terza versione del suo software progettato per facilitare le analisi di impatto sulla privacy.

Questa nuova versione guida i manager nell'esecuzione delle loro analisi d'impatto e consente lo sviluppo di basi di conoscenza parallele a quelle fornite dalla CNIL.

La commissione ristretta della CNIL ha imposto alla società una multa di 500.000 euro Bricoprivé per

• Inviare e-mail di ricerca clienti senza il consenso degli interessati e non rispettare diversi altri obblighi del GDPR:
  • Il mancato rispetto dei periodi di conservazione dei dati che la società si era prefissata,
  • Inosservanza degli obblighi informativi e del diritto alla cancellazione dei dati, e
  • Mancanza di password complesse per quanto riguarda gli aspetti di sicurezza dei dati.

La CNIL ha inoltre segnalato l'utilizzo di cookie senza il consenso dell'utente.

Europa:

Il 4 giugno la Commissione europea ha pubblicato una nuova versione delle clausole contrattuali standard, volte a facilitare i trasferimenti internazionali di dati.

Tali clausole tengono conto delle conseguenze della sentenza Schrems II della Corte di giustizia europea in merito ai rischi di accesso ai dati da parte delle autorità di paesi terzi, in particolare in un contesto di sicurezza nazionale.

Allo stesso tempo, il 18 giugno il Comitato europeo per la protezione dei dati ha pubblicato delle raccomandazioni volte a guidare i titolari del trattamento nell'analisi di tali rischi di intercettazione dei dati e a consentire loro di adottare ulteriori misure di protezione.

Intelligenza artificiale:

Il Garante europeo della protezione dei dati e il Comitato europeo per la protezione dei dati hanno pubblicato congiuntamente un appello per vietare l'uso dell'intelligenza artificiale per

• Riconoscimento automatico dei dati biometrici negli spazi pubblici,
• Punteggio sociale, anche attraverso i social media, e
• L'uso dell'intelligenza artificiale per identificare lo stato emotivo delle persone.

Questa posizione riecheggia la pubblicazione della proposta della Commissione europea sull'intelligenza artificiale del 21 aprile.

Trasferimenti internazionali di dati:

La Commissione europea ha pubblicato le sue raccomandazioni il 28 giugno decisioni di adeguatezza riguardanti il Regno Unito.

Una riguarda i requisiti del GDPR e l'altra la direttiva europea sul trattamento dei dati da parte della polizia.

Un elemento nuovo è che la Commissione sta inserendo un "clausola di decadenza" che limita il periodo di validità delle decisioni a quattro anni.

Le decisioni potranno essere rinnovate se il livello di protezione nel Regno Unito continuerà a soddisfare i requisiti europei.

Tra i temi di interesse rientrano i piani della Gran Bretagna per nuovi accordi commerciali e di libero scambio di dati con le economie emergenti.

Belgio è nel mirino della Commissione Europea, che ha avviato una procedura di infrazione del GDPR in merito all'indipendenza della sua autorità di protezione dei dati.

Il motivo è l'appartenenza di molti dei suoi membri a enti governativi.

Internazionale:

Una coalizione internazionale di oltre 55 organizzazioni per la tutela dei consumatori, delle libertà civili e non governative chiede il divieto di pubblicità basata sul tracciamento e sulla profilazione degli individui.

La motivazione di questa posizione è stata un rapporto del Consiglio norvegese dei consumatori, che ha evidenziato le conseguenze per la società delle pratiche di sorveglianza in ambito commerciale.

Il 16 giugno la Commissione Europea ha avviato una procedura volta a riconoscere l’ adeguatezza della protezione dei dati in Corea del Sud.

Le autorità cinesi hanno annunciato il 10 giugno l'adozione di una legge sulla sicurezza dei dati, che mira anche a tutelare i diritti e gli interessi delle persone i cui dati vengono trattati.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.