Documento senza titolo
GDPR: la Commissione traccia la rotta verso una cultura europea della protezione dati. Tra privacy, innovazione e concorrenza


26/06/2020

PRIVACY, INNOVAZIONE E CONCORRENZA. La Commissione UE ha recentemente delineato il quadro dei primi due anni di applicazione del GDPR, valutando i risultati conseguiti nel rafforzamento della tutela dei dati personali e individuando le aree in cui risulta opportuno un ulteriore intervento. A fare da sfondo alla relazione, il Digital Single Market, contesto naturale in cui il GDPR si muove e teatro d’incontro tra privacy, innovazione e concorrenza. La privacy, si legge nella Comunicazione (2020) 264 del 24.06.2020 [1], è infatti un diritto che permea l’ecosistema digitale e i servizi della società dell’informazione, con importanti ricadute sui diritti dei consumatori, sulla libertà di espressione e perfino sul processo democratico.

IL CONTESTO VIRTUOSO DEL GDPR. La Commissione rileva, in primo luogo, che il GDPR ha introdotto un sistema di diritti certi e facilmente azionabili, tra i quali è possibile ricordare l’accesso ai dati, la rettifica, la cancellazione, l’opposizione e, soprattutto, la portabilità. Quest’ultimo diritto, come si dirà, rappresenta peraltro uno dei principali snodi tra privacy e diritto dei consumatori. 



Ad affiancare il solido nucleo di diritti in favore dell’interessato, vi sono poi il nuovo sistema europeo di governance privacy, fondato in particolare sulla cooperazione tra autorità di controllo e sui rafforzati poteri di enforcement a loro disposizione. [2] Inoltre, sottolinea la Comunicazione, grazie ai principi di privacy by design e by default, il GDPR ha favorito una transizione digitale che, senza scoraggiare l’innovazione, ha tuttavia garantito la piena sicurezza dei dati personali. [3]

RESILIENZA E CULTURA DELLE CONFORMITA’. Ancora, il GDPR ha provato di essere uno strumento giuridico resiliente, anche in casi di imprevisti drammatici, come l’epidemia da Covid-19: in questo contesto, ad esempio, la flessibilità del Regolamento ha consentito di contemperare le esigenze del digital contact tracing con un rigoroso rispetto della privacy degli utenti.



Inoltre, la trasversalità del GDPR ha finito col rendere la compliance un vero e proprio strumento di concorrenza: non a caso, la cultura della conformità al Regolamento, che si sta sviluppando tra le imprese, deriva anche dal fatto che tutelare al meglio la privacy degli utenti è diventato un vero e proprio vantaggio competitivo, anche grazie alla presenza di consumatori sempre più informati (la Commissione stima che circa il 70% della popolazione europea sia a conoscenza del GDPR).

IL PERCORSO VERSO UNA CULTURA EUROPEA DELLA PROTEZIONE DATI.Two years after it started to apply” afferma la Commissione, “the GDPR has successfully met its objectives of strengthening the protection of the individual’s right to personal data protection and guaranteeing the free flow of personal data within the EU”.

Nonostante la valutazione positiva che emerge dalla Comunicazione, esistono tuttavia alcune possibili aree di intervento, al fine ultimo di favorire una vera e propria cultura europea della protezione dei dati personali. Tra queste, innanzitutto, la cooperazione euro-unitaria, l’implementazione del diritto alla portabilità dei dati e i meccanismi per il trasferimento internazionale dei dati.

COOPERAZIONE ED ARMONIZZAZIONE. Sotto il profilo della cooperazione, la Commissione UE valuta positivamente i meccanismi di one-stop-shop, che consentono semplificazione e trasparenza. Ritiene tuttavia necessario un approccio ancor più efficiente ed armonizzato: e questo tanto in relazione alla frammentazione normativa - talvolta derivante dalle integrazioni nazionali al GDPR [4], che possono creare incertezza nei consumatori e nelle imprese  - quanto nella uniformità richiesta in relazione all’assegnazione delle risorse alle autorità nazionali di controllo.

PORTABILITA’ E CONCORRENZA. Per quanto riguarda i diritti degli interessati, fra i quali spicca come detto il diritto alla portabilità dei dati, l’obiettivo della Commissione è facilitarne ulteriormente l’esercizio. Proprio la portabilità, non sempre sfruttata appieno, è un diritto capace di porre l’utente al centro della data economy, consentendogli di scegliere e di combinare con facilità i servizi più conformi al GDPR, con ricadute positive su innovazione e concorrenza.

Il discorso si lega peraltro anche alle nuove opportunità che il Regolamento garantisce alle piccole e medie imprese: una piena portabilità dei dati è infatti uno degli elementi in grado di abbattere le barriere all’ingresso dei mercati digitali, incentivando una crescita delle imprese basata su fiducia e innovazione. Tutto questo richiede però implementazioni di dettaglio ben precise: lato utenti, una possibile soluzione è la standardizzazione di format e interfacce di portabilità dei dati, mentre lato imprese la Commissione sottolinea (come si vedrà a breve) il ruolo dei codici di condotta, dei meccanismi di certificazione e delle clausole contrattuali standard, strumenti che si trovano peraltro in fase di revisione e aggiornamento.

TRASFERIMENTI INTERNAZIONALI DI DATI. L’ammodernamento dei codici di condotta e delle certificazioni rileva soprattutto in relazione al trasferimento di dati fuori dai confini europei. Sebbene la Commissione sottolinei che il GDPR abbia posto le basi per trasferimenti sicuri e caratterizzati da un alto livello di protezione [5], c’è ancora spazio per orientamenti specifici sull’uso delle certificazioni e dei codici di condotta. Inoltre, in merito alle decisioni di adeguatezza, che rappresentano forse il principale e più agevole strumento per il trasferimento dei dati, è attesa per il 16 luglio una sentenza della Corte di Giustizia che potrebbe fornire alcuni chiarimenti su tale principio.

I PROSSIMI PASSI IN SINTESI. Alla luce di quanto finora esposto, è possibile sintetizzare come segue i principali obiettivi perseguiti dall’UE nel miglioramento e nell’ulteriore implementazione delle practices relative al trattamento dei dati personali:

1. Implementare e completare la normativa, sia a livello nazionale (in armonia col GDPR) sia a livello euro-unitario.

2. Far funzionare a pieno regime il nuovo sistema di governance privacy: più cooperazione tra autorità di controllo, armonizzazione nell’enforcement, garanzia di indipendenza e di sufficienti risorse operative alle autorità.

3. Supportare gli stakeholders: fornire linee guida di facile comprensione, volte a chiarire eventuali dubbi sulle norme del GDPR, oltre a strumenti pratici (es. modelli per il data breach) e a clausole contrattuali standard ammodernate.

4. Incoraggiare l’innovazione: monitorare e fornire linee guida in merito all’applicazione del GDPR alle nuove tecnologie (es. Internet of Things, Artificial Intelligence).

5. Rendere i trasferimenti di dati ancor più semplici e sicuri: decisioni di adeguatezza, modernizzazione clausole standard, enforcement nei confronti di imprese stabilite in Paesi terzi ma che ricadono nel campo di applicazione del GDPR.


© Graziadei Studio Legale


[1] “Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation”.
[2] Un esempio è la procedura dello “sportello unico”, vale a dire il meccanismo in base al quale il titolare del trattamento che sia operativo in più Paesi UE ha come interlocutore un’unica autorità di controllo, quella del Paese in cui si trova il suo stabilimento principale.
[3] Ad esempio, le disposizioni del GDPR hanno assunto un determinante ruolo di garanzia del corretto svolgimento del processo democratico, in relazione ai servizi della società dell’informazione (es. social media): ciò è risultato lampante in occasione delle ultime elezioni europee, occasione in cui la normativa del GDPR ha contribuito a prevenire la manipolazione delle scelte dei cittadini basate su profilazione online.
[4] Un esempio particolarmente rilevante di frammentazione normativa è l’età minima richiesta in relazione ai servizi della società dell’informazione.
[5] La Commissione ricorda ad esempio gli accordi presi con alcuni paesi terzi, come l’EU-Japan Mutual Adequacy Decision: con il Giappone “l’UE divide ora il più grande spazio al mondo di circolazione libera e sicura dei dati”.


ULTERIORI INFORMAZIONI: dal link sottostante è possibile raggiungere la pagina ufficiale della Comunicazione “Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition - two years of application of the General Data Protection Regulation”.

Disclaimer & Privacy
P.IVA 07340781009