Stronger protection, new opportunities: le Linee Guida della Commissione europea per l’applicazione del GDPR

Stronger protection, new opportunities: le Linee Guida della Commissione europea per l’applicazione del GDPR

di Manuela Bianchi

Lo scorso 24 gennaio, la Commissione europea ha pubblicato un documento – di cui in questo intervento si descrivono i tratti essenziali – in cui rende noti i propri orientamenti e i provvedimenti che essa stessa, le autorità e le amministrazioni nazionali competenti devono adottare al fine di una completa integrazione del GDPR.

In via preliminare, la Commissione riconosce il diverso livello del lavoro preparatorio a cui sono arrivati i singoli Stati a poco più di tre mesi e mezzo dall’applicazione in toto del Regolamento e chiede di velocizzare gli interventi affinché si arrivi pronti e tutto sia conforme alle disposizioni europee, il cui scopo, ricordiamo, è anche quello di armonizzare le varie legislazioni nazionali.

In breve, il documento:

• ricapitola le principali innovazioni e opportunità aperte dal GDPR;
• fa il punto sul lavoro preparatorio intrapreso a livello europeo;
• delinea gli interventi che la Commissione, le autorità nazionali per la protezione dei dati e le singole amministrazioni nazionali devono realizzare per una completa integrazione del Regolamento;
• stabilisce le misure che la Commissione intende adottare nei prossimi mesi.

1. Il GDPR introduce una serie di elementi che rafforzano la protezione dei diritti individuali, offrendo nuove opportunità per le società, in particolare:

• un’unica serie di norme in tutta la UE, per cittadini e imprese, garantita, tra l’altro, dall’introduzione del meccanismo “one-stop-shop” (principio in base al quale le imprese avranno a che fare solo con il Garante Privacy dello Stato in cui hanno stabilito la sede);
• applicazione delle stesse norme a tutte le imprese che offrono servizi all’interno del mercato europeo, anche se con sede fuori dalla UE;
• i principi di privacy by design e privacy by default, che spingono a cercare soluzioni innovative per conformarsi alla normativa;
• diritti più forti per i cittadini, mediante il rafforzamento del diritto di accesso, diritto all’informazione e diritto all’oblio, e l’introduzione del diritto alla portabilità dei dati;
• rafforzamento della protezione in caso di data breach;
• potere in capo ai Garanti Privacy dei singoli Stati di applicare sanzioni fino a 20 milioni di Euro o, in caso di un’impresa, fino al 4% del fatturato annuo a livello mondiale;
• rafforzamento del livello di protezione in caso di trasferimento dei dati verso Paesi terzi.

2. Premesso che il successo dell’applicazione del Regolamento richiede la cooperazione di tutti i soggetti competenti del singoli stati, la Commissione porrà in essere una serie di azioni al fine di agevolare tale cooperazione e i relativi risultati. Tra le varie azioni, la Commissione: (i) supporta gli stati membri anche attraverso un gruppo di esperti; (ii) supporta il Gruppo di Lavoro articolo 29 anche nella costituzione del European Data Protection Board; (iii) incoraggia il riconoscimento e l’adozione dei principi del GDPR, riconosciuti tra i più alti standard per la protezione dei dati personali a livello mondiale, ai paesi extraeuropei; (iv) coinvolge tutti i portatori di interessi, costituendo gruppi di lavoro coi rappresentanti degli imprenditori, accademici e professionisti.
3. Fermo restando che il Regolamento è direttamente applicabile agli stati membri, i singoli legislatori possono intervenire in alcuni campi, ad esempio il settore pubblico, la salute pubblica, l’accesso pubblico a documenti ufficiali, obblighi di segretezza, date genetici, biometrici e relativi alla salute etc. Tali interventi nazionali non devono in alcun modo creare ostacolo all’applicazione del GDPR e il legislatore non deve interpretare la norma europea, attività in capo solo ed esclusivamente alle corti nazionali e, in ultima istanza, alla Corte di Giustizia europea.
4. Gli Stati membri devono assicurare alle autorità nazionali per la protezione dei dati il necessario supporto finanziario e di risorse umane.
5. Le imprese, le pubbliche amministrazioni e le organizzazioni devono porre in essere le azioni necessarie ad arrivare in regola con quanto richiesto dal Regolamento, modificando, integrando o realizzando ex novo tutta la documentazione e le attività necessarie. Per ogni singola entità, questa, a detta della Commissione, si rivela un’opportunità per fare il punto su quali dati personali vengono raccolti e come vengono trattati, per stabilire una nuova relazione con i consumatori basata su trasparenza e fiducia, per stabilire una relazione con le autorità garanti attraverso la responsabilizzazione e la proattività.
6. I Garanti di ogni stato devono organizzare seminari, workshops, incontri con i soggetti interessati al fine di informarli, confrontarsi e dare strumenti applicativi per conformarsi alle nuove regole.
7. I prossimi passi della Commissione si possono così riassumere: (i) lavoro a stretto contatto con i singoli stati e, da maggio 2018 in avanti, monitoraggio sull’applicazione da parte di questi delle norme del GDPR; (ii) realizzazione e messa a disposizione in rete di linee guida in tutte le lingue dell’UE; (iii) destinazione di 1,7 milioni di Euro a finanziamento delle autorità di protezione dei dati e ai fini della formazione di professionisti in area privacy, oltre a 2 milioni di Euro per sostenere le autorità nazionali nella sensibilizzazione delle imprese, con particolare attenzione alle PMI; (iv) rendere il Regolamento elemento interno all’EEA Agreement, nonché renderlo applicabile al UK.

Autore:

<h4>Autore:</h4>
<script src=”//platform.linkedin.com/in.js” type=”text/javascript”></script>
<script type=”IN/MemberProfile” data-id=”https://www.linkedin.com/in/manuela-bianchi-01538a4/” data-format=”inline” data-related=”false”></script>

&nbsp;