La seconda relazione sull'applicazione del GDPR della Commissione Europea

La Commissione ha inteso, in primo luogo, evidenziare un notevole miglioramento dell'attività di applicazione delle norme da parte delle autorità di protezione dei dati. Questo ha inevitabilmente comportato una maggiore sensibilità dei Titolari, i quali hanno, con il tempo, costruito e adeguato i loro sistemi interni nell’ottica del rispetto delle norme in materia di protezione dei dati personali.  

L’Italia e la sua Autorità si attestano al terzo posto per ammontare complessivo di sanzioni pecuniarie irrogate (circa 197 milioni di euro).  
La Commissione riporta dei dati circa la conoscibilità del GDPR e dei suoi principi tra gli interessati, che meritano attenzione: in 19 Stati membri oltre il 70 % dei rispondenti afferma di essere a conoscenza del GDPR. Questi dati fanno emergere come gli interessati siano sempre più consapevoli dei diritti loro riconosciuti dalla normativa in materia di protezione dei dati; d’altro canto, il dato, seppur confortante, dovrebbe costituire altresì un incentivo per i Titolari e per i Responsabili a definire e a migliorare l’attuazione delle regole privacy all’interno delle loro organizzazioni nonché a rendere più semplice e agevole l’esercizio dei diritti da parte degli interessati, onde scongiurare possibili reclami alle Autorità di controllo competenti. 

Un intero paragrafo è dedicato al trasferimento di dati al di fuori dello Spazio Economico Europeo. La Commissione evidenzia come l’adozione delle decisioni di adeguatezza abbia reso più agevole il trasferimento di dati al di fuori dello SEE ed anticipa che sono in corso negoziati con Brasile e Kenya in questa direzione.  

La Commissione, nel riferire delle difficoltà riscontrate dagli esportatori nell’adempimento degli obblighi imposti dal Capo V del GDPR in materia di trasferimenti, evidenzia una criticità che “gli operatori del settore” avevano già avuto modo di riscontrare: condurre i transfer impact assessments. 

Gli esportatori, come riferito dalla Commissione, chiedono ulteriori orientamenti (ad esempio sulle responsabilità delle parti coinvolte e sul livello di dettaglio richiesto nelle valutazioni d'impatto sui trasferimenti) e strumenti supplementari che li assistano nell'esecuzione delle valutazioni (ad esempio modelli, valutazioni generali per paese, elenchi dei rischi).  

La Commissione esorta, pertanto, il Comitato Europeo a prendere in considerazione la possibilità di esaminare modalità/strumenti per agevolare ulteriormente gli sforzi compiuti dagli esportatori di dati ai fini della conformità. 
La Commissione anticipa che è in corso l’elaborazione di ulteriori insiemi di clausole contrattuali tipo a integrazione delle clausole esistenti, nell'ottica di offrire agli esportatori di dati dell'UE un pacchetto completo e coerente.  

Altra criticità riscontrata riguarda i tempi e la complessità del processo di approvazione delle binding corporate rules da parte delle autorità nazionali di protezione dei dati; tali fattori impediscono una più ampia diffusione delle norme vincolanti d'impresa. La Commissione sollecita, pertanto, le Autorità ad adoperarsi per razionalizzare e abbreviare il processo di approvazione.