Protezione dati transfrontaliera

Dopo un’intensa valutazione degli ultimi due anni di applicazione del GDPR, la Commissione ha riconosciuto la necessità di migliorare la gestione dei casi transfrontalieri. Per questo, ha presentato una proposta di regolamento al fine di razionalizzare la cooperazione tra le Autorità nell’applicazione del Regolamento. Ecco i punti chiave

La Commissione Europea ha riconosciuto la necessità di ulteriori progressi nel trattamento dei casi transfrontalieri nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR) al fine di garantire efficienza ed armonizzazione.

Il rapporto della Commissione e la successiva proposta sottolineano l’importanza di affrontare le differenze nelle procedure amministrative nazionali, nelle interpretazioni dei concetti legati al meccanismo di cooperazione e nell’approccio alla fase di avvio della cooperazione, coinvolgimento delle Autorità di Protezione dei Dati (DPA) interessate e comunicazione di informazioni a tali autorità.

“Questa proposta mira a stabilire norme procedurali concrete per le autorità coinvolte in casi che riguardano persone fisiche in più di uno Stato membro”, è il commento dell’avvocato Anna Cataleta, Senior Partner P4I – Partners4Innovation. “Una delle principali novità introdotte dal regolamento infatti è l’obbligo per l’autorità di protezione dei dati capofila di inviare una “sintesi delle questioni chiave” alle altre autorità coinvolte, fornendo loro una visione completa dell’indagine e delle opinioni dell’autorità capofila sul caso. Tale processo contribuirà a facilitare la cooperazione e a raggiungere un consenso sin dalle fasi iniziali del processo”.

“Le nuove norme proposte”, continua ancora la Cataleta, “chiariranno anche quali informazioni devono essere fornite dalle persone fisiche quando presentano un reclamo e garantiranno il loro coinvolgimento attivo nel processo. Per le imprese invece, le norme stabiliranno i loro diritti di difesa durante le indagini sulle possibili violazioni del GDPR il che consentirà una risoluzione più rapida dei casi, garantendo rimedi tempestivi per le persone fisiche e maggiore certezza giuridica per le imprese“.

“È chiaro”, conclude la Cataleta, “come l’obiettivo principale del regolamento proposto sia quello di armonizzare le norme procedurali nei casi transfrontalieri attraverso regole comuni per la ricevibilità dei reclami transfrontalieri, garantendo che i reclamanti siano adeguatamente ascoltati anche nel caso in cui il loro reclamo venga respinto, e fornendo alle parti coinvolte nel processo il diritto di essere ascoltate nelle fasi chiave dell’indagine. Saranno inoltre previste disposizioni dettagliate per facilitare la cooperazione e la composizione delle controversie, consentendo alle autorità di esprimere le proprie opinioni in modo tempestivo attraverso strumenti come le indagini congiunte e l’assistenza reciproca. Così come indicato dalla Commissione stessa, l’armonizzazione di queste norme procedurali non potrà che contribuire a garantire un completamento rapido delle indagini e a offrire soluzioni pronte alle persone fisiche coinvolte nei casi transfrontalieri”.

Rafforzamento della protezione dati transfrontaliera: la proposta

La nuova procedura proposta arriva dopo una intensa valutazione degli ultimi due anni di applicazione del GDPR, in quanto la Commissione ha riconosciuto la necessità di migliorare la gestione dei casi transfrontalieri.

Le differenze nelle procedure amministrative nazionali, nelle interpretazioni dei concetti di cooperazione e nell’approccio all’avvio delle procedure di cooperazione sono state identificate come ostacoli a una cooperazione efficace.

Il Parlamento europeo ha esortato la Commissione a valutare gli ostacoli causati dalle procedure amministrative nazionali e ha incoraggiato l’istituzione di una procedura amministrativa comune per la gestione dei reclami transfrontalieri.

In risposta, il Consiglio, attraverso un processo di riflessione, ha fornito alla Commissione un elenco di aspetti procedurali che potrebbero essere armonizzati a livello europeo.

Affrontare le sfide nella gestione delle denunce

Le denunce costituiscono una fonte essenziale di informazioni per individuare violazioni delle norme sulla protezione dei dati.

Tuttavia, le divergenze nell’interpretazione dei requisiti delle denunce, del coinvolgimento dei denuncianti nelle procedure e del rigetto delle denunce da parte delle DPA creano ostacoli nel processo investigativo.

Pratiche divergenti, come il rigetto delle denunce per informazioni insufficienti o differenze nell’inclusione e coinvolgimento dei denuncianti, comportano ritardi nella conclusione delle indagini e nell’offerta di rimedi ai soggetti interessati.

Riconoscendo la necessità di chiarire la posizione dei denuncianti nei casi transfrontalieri, il Parlamento Europeo ha sottolineato l’importanza di affrontare tali sfide.

Nell’ambito della proposta di regolamento, saranno stabiliti regole procedurali per standardizzare i moduli di denuncia, garantire il coinvolgimento dei denuncianti e definire i ruoli delle DPA principali e delle DPA a cui viene presentata la denuncia.

Potenziamento dei diritti procedurali delle parti sottoposte a indagine

Il rispetto dei diritti di difesa delle parti sottoposte a indagine rappresenta un principio fondamentale del diritto dell’Unione da rispettare in ogni circostanza, in particolare nei procedimenti che possono comportare sanzioni elevate.

Data la gravità potenziale delle sanzioni che possono essere inflitte, le parti sottoposte a indagine per violazioni del GDPR devono godere di garanzie simili a quelle previste nei procedimenti di carattere penale.

I diritti procedurali delle parti sottoposte a indagine, come l’entità del diritto di essere ascoltate e il diritto di accesso al fascicolo, variano notevolmente tra gli Stati membri.

Le differenze nel grado di ascolto delle parti, nella tempistica dell’udienza e nella documentazione fornita alle parti per consentire loro di esercitare il diritto di essere ascoltate sono elementi su cui gli Stati membri adottano approcci diversi.

Tali approcci non sono sempre compatibili con la procedura prevista dall’articolo 60 del GDPR, che si basa sul presupposto che le parti sottoposte a indagine abbiano esercitato i loro diritti di giusto processo prima che la DPA principale presenti una decisione preliminare.

Quando un caso viene sottoposto alla Board per la risoluzione delle controversie, varia l’entità in cui le parti sono state ascoltate sulle questioni sollevate nella decisione preliminare e sulle obiezioni sollevate dalle DPA interessate. Inoltre, manca chiarezza sull’entità in cui le parti sottoposte a indagine dovrebbero essere ascoltate durante la risoluzione delle controversie da parte della Board ai sensi dell’articolo 65 del GDPR.

La mancata garanzia del diritto di essere ascoltate può rendere le decisioni delle DPA che riscontrano violazioni del GDPR più vulnerabili a contestazioni legali.

Per affrontare queste incongruenze, la proposta di regolamento rafforza i diritti di difesa delle parti sottoposte a indagine, assicura un’osservanza coerente di tali diritti indipendentemente dalla DPA principale e chiarisce l’accesso al fascicolo amministrativo.

Ottimizzazione della cooperazione e della risoluzione delle controversie

La procedura di cooperazione prevista nell’articolo 60 del GDPR è delineata in modo generale. Nei casi transfrontalieri, le DPA sono tenute a scambiare “informazioni rilevanti” nel tentativo di raggiungere un consenso.

Una volta che la DPA principale presenta una decisione preliminare nel caso, le altre DPA hanno l’opportunità di sollevare “obiezioni rilevanti e motivate”. Tali obiezioni possono dare luogo alla risoluzione delle controversie (quando non vengono seguite dalla DPA principale).

Sebbene la procedura di risoluzione delle controversie prevista dall’articolo 65 del GDPR rappresenti un elemento essenziale per garantire un’interpretazione coerente del regolamento, dovrebbe essere riservata a casi eccezionali in cui la cooperazione sincera tra le DPA non ha portato a un consenso.

L’esperienza nell’applicazione del GDPR nei casi transfrontalieri dimostra che vi è una cooperazione insufficiente tra le DPA prima che la DPA principale presenti una decisione preliminare. La mancanza di una sufficiente cooperazione e di un consenso sugli aspetti chiave dell’indagine in questa fase iniziale ha comportato la presentazione di numerosi casi per la risoluzione delle controversie.

Inoltre, vi sono disparità nella forma e nella struttura delle obiezioni rilevanti e motivate presentate dalle DPA interessate durante la procedura di cooperazione transfrontaliera.

Tali differenze ostacolano la conclusione efficiente della procedura di risoluzione delle controversie e l’inclusione di tutte le DPA interessate nella procedura, in particolare delle DPA dei Paesi membri più piccoli, che dispongono di minori risorse rispetto alle DPA dei Paesi membri più grandi.

La proposta di regolamento dota le DPA degli strumenti necessari per raggiungere un consenso, conferendo maggior sostanza all’obbligo delle DPA di cooperare e condividere “informazioni rilevanti” previsto dall’articolo 60 del GDPR.

Questa regolamentazione stabilisce un quadro in cui tutte le DPA possono influire in modo significativo su un caso transfrontaliero fornendo le loro opinioni sin dalle prime fasi dell’indagine e facendo uso di tutti gli strumenti previsti dal GDPR.

Ciò faciliterà la costruzione del consenso e ridurrà la probabilità di disaccordi successivi che richiederebbero l’utilizzo del meccanismo di risoluzione delle controversie. In caso di disaccordo tra le DPA sull’ambito dell’indagine nei casi basati su denunce, la proposta prevede un ruolo per la Board nella risoluzione del disaccordo mediante l’adozione di una decisione urgente e vincolante.

Il coinvolgimento della Board su questa specifica questione fornisce alla DPA principale la chiarezza necessaria per procedere con l’indagine e garantisce che il disaccordo sull’ambito dell’indagine non richieda l’utilizzo del meccanismo di risoluzione delle controversie previsto dall’articolo 65.

La proposta stabilisce inoltre requisiti dettagliati per la forma e la struttura delle obiezioni rilevanti e motivate sollevate dalle DPA interessate, facilitando così la partecipazione efficace di tutte le DPA e la risoluzione mirata e tempestiva del caso.

Introduzione di scadenze procedurali

Sebbene il GDPR non preveda scadenze specifiche per le diverse fasi della procedura di cooperazione e risoluzione delle controversie, l’imposizione di scadenze appropriate può evitare ritardi ingiustificati.

Riconoscendo la complessità variabile delle indagini e la discrezionalità delle DPA nell’indagare violazioni del GDPR, non è auspicabile prescrivere scadenze per ogni fase della procedura.

Tuttavia, l’imposizione di scadenze appropriate contribuirà a prevenire ritardi indebiti nella conclusione dei casi.

La proposta di regolamento cerca di conciliare flessibilità e tempestività, promuovendo l’efficienza senza compromettere l’approfondimento delle indagini.

Coerenza e conformità

La proposta di regolamento si propone di integrare il GDPR e si allinea alle politiche e alle disposizioni dell’Unione Europea esistenti.

Essa non influenza i diritti dei soggetti interessati, gli obblighi dei titolari e dei responsabili del trattamento dei dati né le basi giuridiche per il trattamento dei dati personali come stabilito dal GDPR.

Piuttosto, la proposta di regolamento si basa sui principi fondamentali del GDPR relativi alle denunce, alla cooperazione e alla risoluzione delle controversie, integrandoli con aggiunte mirate per migliorare l’efficacia e l’efficienza dell’applicazione del GDPR nei casi transfrontalieri.

Mantenendo la coerenza con le altre politiche dell’Unione Europea, la proposta di regolamento contribuisce ad un approccio coeso e completo alla protezione dei dati all’interno dell’UE.

Conclusioni

La proposta di regolamento della Commissione Europea affronta le sfide incontrate nella gestione dei casi transfrontalieri di protezione dei dati nel contesto del GDPR.

Specificando regole procedurali per le fasi chiave del processo investigativo, la proposta di regolamento mira a migliorare l’efficienza e l’armonizzazione.

Essa affronta le questioni relative alle denunce, ai diritti procedurali delle parti sottoposte a indagine, alla cooperazione e alla risoluzione delle controversie, nonché all’assenza di scadenze procedurali.

Attraverso queste misure, la proposta di regolamento mira a sostenere il corretto funzionamento dei meccanismi di cooperazione e risoluzione delle controversie previsti dal GDPR, migliorando l’applicazione della protezione dei dati in tutta l’UE.

Promuovendo la coerenza, l’efficacia e l’efficienza, la proposta di regolamento rafforza i diritti dei soggetti interessati e fornisce certezza giuridica alle imprese che operano in contesti transfrontalieri.