Bozza di posizione del Consiglio dell’Unione Europea sull’applicazione del GDPR

Recentemente i membri delle Rappresentanze permanenti degli Stati membri dell’UE presso il Consiglio dell’Unione europea (il “Consiglio”) hanno pubblicato una bozza di posizione sull'applicazione del Regolamento UE 679/2016 (il “GDPR”). Dopo che tale progetto sarà stato formalmente adottato dal Consiglio, sarà trasmesso alla Commissione Europea (la “Commissione”). Ciò fa parte del processo di valutazione del GDPR ai sensi dell'articolo 97 dello stesso, che prevede che la Commissione pubblichi una relazione sulla valutazione e la revisione del GDPR entro il 25 maggio 2020.

La bozza di posizione riconosce che il GDPR ha rafforzato la protezione dei dati personali, ma ritiene che vi siano ancora alcune questioni che richiedono un miglioramento, anche nei seguenti settori:

• ambito di applicazione della revisione del GDPR: sebbene l'articolo 97, paragrafo 2, del GDPR imponga alla Commissione di esaminare in particolare le questioni GDPR relative ai trasferimenti internazionali di dati e al meccanismo di cooperazione e coerenza tra le autorità di controllo, il Consiglio invita la Commissione a condurre una revisione più completa del GDPR al di là di quanto specificamente menzionato nell'articolo 97;
• consenso dei minori: il margine lasciato agli Stati membri dell’UE per stabilire le proprie norme in relazione all'età del consenso dei minori ha portato a una frammentazione delle norme giuridiche applicabili;
• trasferimenti di dati: i Rappresentanti Permanenti chiedono alla Commissione di aggiornare le clausole contrattuali standard per allinearle al GDPR. Inoltre, essi affermano che sono necessarie ulteriori indicazioni da parte dal Comitato Europeo per la protezione dei dati (l’”EDPB”) in merito alle garanzie adeguate per i trasferimenti di dati ai sensi dell’articolo 46 del GDPR;
• cooperazione e coerenza: secondo il Consiglio, è ancora presto per valutare il funzionamento dei meccanismi di cooperazione e di coerenza, dato il breve periodo della loro applicazione. Tuttavia, poiché tali meccanismi presentano problemi amministrativi, l’EDPB dovrebbe sviluppare un efficiente meccanismo di lavoro delle autorità di controllo nei casi in cui sono coinvolte diverse giurisdizioni. Inoltre, il Consiglio afferma che la cooperazione tra le autorità di controllo dovrebbe essere ulteriormente rafforzata, in quanto è particolarmente importante per la supervisione dei trattamenti inerenti più giurisdizioni da parte delle grandi imprese tecnologiche.
• rappresentanti: i Rappresentanti Permanenti auspicano una maggiore chiarezza in merito a quanto possa spingersi l’applicazione extraterritoriale laddove le organizzazioni non europee soggette al GDPR non abbiano rispettato l’obbligo di nominare un rappresentante nell’UE;
• nuove tecnologie: il Consiglio sottolinea che il GDPR è stato redatto in modo da essere tecnologicamente neutrale. Tuttavia, poiché le nuove tecnologie (come l’intelligenza artificiale, il riconoscimento facciale, la blockchain, quantum computing, ecc.) comportano dei benefici pur mettendo in discussione i diritti fondamentali, il Consiglio chiede ulteriori chiarimenti su come il GDPR si applica alle nuove tecnologie;
• codici di condotta: l’adozione di codici di condotta specifici per settore dovrebbe essere ulteriormente incoraggiata in quanto contribuiscono all'applicazione del GDPR, in particolare per quanto riguarda questioni quali la protezione dei dati personali dei minori o il trattamento dei dati sanitari;
• PMI: pur riconoscendo che l’approccio basato sul rischio del GDPR è stata una scelta del legislatore, il Consiglio ritiene tuttavia importante cercare di valutare come funziona, nella pratica, il previsto equilibrio tra l’approccio basato sul rischio degli obblighi del GDPR, da un lato, e la necessità di tenere conto delle esigenze specifiche delle PMI, dall’altro;
• leggi nazionali: il GDPR lascia un margine al legislatore nazionale per mantenere o introdurre disposizioni più specifiche per adattare l’applicazione di alcune norme del GDPR. Mentre un certo grado di frammentazione causato da questo margine era previsto ed è giustificato, alcuni Stati membri hanno sottolineato che il margine nazionale ha probabilmente comportato conseguenze indesiderate, in quanto ha contribuito, in una certa misura, a creare un panorama giuridico ancora più frammentato di quanto inizialmente previsto. I Rappresentanti Permanenti affermano inoltre che sono necessari più tempo ed esperienza per comprendere la questione della sovrapposizione degli ambiti territoriali delle leggi degli Stati membri dell’UE che attuano il GDPR.