Il rapporto pubblicato dalla Commissione europea relativo ai primi due anni del GDPR evidenzia come gli Stati membri e le autorità per la protezione dei dati debbano ancora adottare un approccio più uniforme.
La Commissione europea ha pubblicato un rapporto sui primi due anni di vita del Regolamento UE 2016/679 (“GDPR”) rilevando come, sebbene grazie al GDPR sia aumentata l’armonizzazione delle legislazioni nazionali, gli Stati membri e le autorità per la protezione dei dati debbano ancora adottare un approccio più uniforme e sfruttare tutte le potenzialità messe a disposizione dalla normativa europea per la protezione dei dati personali.
Il rapporto della Commissione europea è piuttosto ampio, ma i suoi principali risultati possono essere riassunti come segue:
- il meccanismo dello sportello unico (c.d. “one-stop-shop”) verrà utilizzato per diverse decisioni transfrontaliere rilevanti, che spesso coinvolgono grandi imprese tecnologiche, e produrrà un significativo impatto sui diritti dei singoli in diversi Stati dell’Unione;
- le autorità di protezione dei dati non hanno ancora fatto pienamente uso degli strumenti loro forniti dal GDPR, come ad esempio le operazioni congiunte dalle quali potrebbero scaturire indagini congiunte;
- sono necessari ulteriori passi in avanti al fine di pervenire ad una gestione dei casi transfrontalieri più efficiente ed armonizzata, in termini di procedure, criteri di ammissibilità e durata dei procedimenti;
- le divergenze esistenti tra gli orientamenti nazionali e le linee guida dell’European Data Protection Board costituiscono una problematica significativa ed è stato riscontrato come alle imprese debbano essere forniti consigli più pratici per affrontare e gestire le questioni relative alla protezione dei dati personali;
- esiste ancora un certo grado di frammentazione tra le diverse normative nazionali adottate dagli Stati membri dell’UE in fase di recepimento del GDPR, dovuto in particolare all’ampio utilizzo di clausole di specificazione facoltative;
- la conciliazione tra il diritto alla protezione dei dati personali e la libertà di espressione e di informazione e il corretto bilanciamento tra questi diritti costituisce una sfida cruciale per le legislazioni nazionali;
- il diritto alla portabilità dei dati presenta importanti potenzialità ancora non pienamente sfruttate, ponendo gli individui al centro dell’economia dei dati consentendo loro di poter passare da un fornitore di servizi ad un altro e di combinare vari servizi tra loro, aumentando il livello di concorrenza sul mercato; e
- la Commissione sta lavorando alla modernizzazione delle clausole contrattuali standard al fine di aggiornarle alla luce dei nuovi requisiti introdotti dal GDPR. Si tratta di una questione piuttosto urgente, anche alla luce dell’imminente decisione della Corte di Giustizia europea sul caso Schrems II, che dovrebbe essere emessa il 16 luglio 2020.
Dal bilancio di questi primi due anni a partire dall’entrata in vigore della nuova normativa europea, emerge in modo evidente come la principale debolezza del GDPR sia la mancanza di un approccio uniforme tra le varie autorità nazionali preposte alla protezione dei dati personali e, pertanto, sebbene il GDPR abbia sensibilmente rafforzato i diritti degli individui nell’UE, risultano ancora necessari notevoli miglioramenti. D’altra parte, uno dei banchi di prova principali sarà l’imminente decisione della Corte di giustizia dell’UE sul caso Schrems II, la quale potrebbe portare alla dichiarazione di invalidità delle clausole contrattuali standard attualmente adottate, ricreando la stessa situazione di emergenza già verificatasi cinque anni fa a seguito dell’invalidazione del Safe Harbor.