5 anni di GDPR: Le autorità nazionali deludono il legislatore europeo

5 anni di GDPR: Le autorità nazionali deludono il legislatore europeo. l'85% dei casi noyb non decisi.

Il 25 maggio 2018 è entrato in vigore il GDPR. Mentre il contenuto delle norme UE sulla protezione dei dati è rimasto in gran parte invariato, il presunto grande cambiamento è stata la rigorosa applicazione del GDPR. 5 anni dopo, le autorità e i tribunali nazionali lasciano in gran parte il legislatore europeo nei guai, nonostante un budget di oltre 330 milioni di euro nel 2022.

noyb fornisce le seguenti risorse in occasione dell'anniversario dei 5 anni:

• Dati dettagliati dati sugli oltre 800 casi GDPR di noybche mostrano che più dell'85% di tutti i casi noyb non sono stati decisi - 470 reclami sono in attesa di una decisione da più di 1,5 anni
• noyb's "Mappa delle trappole del GDPR"con molti dei problemi procedurali nazionali su cui fare clic
• "Profili dei Paesi" con questioni specifiche in Austria, Belgio, Francia, Germania, Grecia (IT/ GR), Irlanda, Italia, Lussemburgo, Paesi Bassi (IT/ NL), Polonia e Spagna
• Il nostro sito web con una proposta di regolamento sulle procedure GDPR che potrebbe superare molti dei problemi di applicazione del GDPR

Meta 1,2 miliardi di euro di multa è un esempio di applicazione non funzionante. Sebbene una multa da 1,2 miliardi di euro (che è stata strategicamente ritardata fino alla settimana dei "cinque anni del GDPR") possa attirare i titoli dei giornali, in realtà riflette il fatto che l'applicazione della normativa non funziona. Non solo ci sono voluti più di dieci anni prima che il DPC raggiungesse una prima decisione (che ora verrà appellata), ma il caso ha anche richiesto a Max Schrems di intraprendere tre serie di azioni legali contro il DPC irlandese per costringerlo a fare il suo lavoro. Tra queste, la Corte di giustizia dell'UE (CJEU) e l'EDPB hanno intimato tre volte al DPC irlandese di gestire efficacemente il caso. Il costo di questo contenzioso è stimato in oltre 10 milioni di euro.

Scontro tra la legislazione dell'UE e le pratiche nazionali. Il GDPR è stato approvato dal Parlamento europeo con una maggioranza del 96% e tutti gli Stati membri, tranne uno, hanno appoggiato la legge. Tuttavia, i legislatori nazionali e le prassi nazionali si sono scontrati subito dopo. Quasi tutti gli Stati membri hanno qualche trucco o problema procedurale per minare il GDPR. Si va dall'aggiunta di concetti come una "soglia" per le violazioni della privacy all'idea che "gestire" un reclamo possa anche significare cestinarlo. Altri esempi sono rappresentati dal fatto che le autorità francesi o svedesi ritengono che un denunciante non sia parte della loro procedura, mentre in Polonia l'autorità richiede che l'utente si rechi a Varsavia per scattare le foto del suo file con il cellulare. Abbiamo curato una panoramica nella nostra "Mappa delle trappole del GDPR" per mostrare alcune delle trappole in cui finiscono i cittadini medi.

Max Schrems, presidente di noyb.eu: "Il GDPR ha avuto un sostegno politico molto forte. A cinque anni dall'entrata in vigore del GDPR, vediamo una forte resistenza da parte delle autorità e dei tribunali ad applicare la legge. Il legislatore ha parlato, ma i tribunali e le autorità nazionali trovano sempre nuovi modi per non ascoltare. Spesso si ha l'impressione che si spendano più energie per minare il GDPR che per rispettarlo. Mentre le aziende sanno che l'Irlanda è la giurisdizione "a cui rivolgersi" per la mancata applicazione della legge, non esiste una giurisdizione "a cui rivolgersi" per i cittadini, in quanto vi sono problemi di applicazione praticamente in tutti gli Stati membri "

Ritardi sistematici. Mentre una multa eccezionale fa notizia a livello internazionale, il database di casi di noyb, molto più ampio, mostra che le autorità di protezione dei dati (DPA) in gran parte non applicano il GDPR a tempo debito. Degli oltre 800 casi che noyb ha presentato nell'ultimo annol'85,9% non è stato deciso e oltre il 58% è in attesa di una decisione da più di 18 mesi. Il GDPR richiede tuttavia alle aziende di soddisfare le richieste entro un mese, mentre le leggi nazionali spesso richiedono decisioni entro 3-6 mesi.

Max Schrems: "In molte giurisdizioni si ottiene una decisione nel migliore dei casi dopo due anni, sempre che la si ottenga. Questa pratica è semplicemente lontana dall'intenzione del legislatore di avere un modo libero e semplice di presentare un reclamo. Perdiamo la maggior parte del nostro tempo a rincorrere case manager, dossier e autorità"

Mancanza di procedure e decisioni legali adeguate. Oltre ai lunghi ritardi, i casi chiusi sono stati in gran parte risolti o ritirati dalle parti (circa il 6% nel caso di noyb) o hanno avuto un altro esito (3,4%), come l'uscita dell'azienda dal mercato dell'UE. Solo nel 3,9% di tutti i casi c'è stata una decisione legale da parte della DPA.

Max Schrems: "Molte autorità fanno di tutto per evitare una decisione. Spesso si limitano a 'chiudere' i casi senza una decisione o a negoziare con le aziende, pregandole di essere così gentili da rispettare la legge. Non c'è quasi mai una sanzione diretta per una violazione diretta della legge "

Le aziende hanno imparato a ignorare il GDPR. Se inizialmente il settore aveva fatto i capricci per il GDPR e le sue multe elevate, gli ultimi anni hanno dimostrato che questo effetto deterrente si è rapidamente esaurito. La realtà dimostra che il legislatore non è stato in grado di legiferare semplicemente una cultura dell'applicazione. Il GDPR è spesso diventato una mera tigre di carta.

Max Schrems: "La realtà ha dimostrato che l'UE non è stata in grado di legiferare una "cultura dell'applicazione". Le aziende più aggressive hanno capito subito che le conseguenze esistono in gran parte solo sulla carta e hanno continuato con i loro modelli di business. A porte chiuse, le aziende sono molto aperte sul fatto che non temono affatto le autorità. Sono soprattutto le aziende già ragionevoli ad aver investito nella compliance"

Appello all'armonizzazione e all'applicazione. In occasione del quinto anniversario del GDPR, è urgente che le autorità cambino marcia e passino a una seria cultura dell'applicazione. Ciò potrebbe essere favorito anche dall'idea della Commissione europea di approvare un regolamento procedurale dell'UE. Tuttavia, una soluzione legislativa di questo tipo dovrebbe essere completa per superare i numerosi problemi delle procedure attuali. Anche molti Stati membri possono migliorare le loro procedure. Abbiamo elencato i problemi più comuni in alcuni Paesi: Austria, Belgio, Francia, Germania, Grecia (IT/ GR), Irlanda, Italia, Lussemburgo, Paesi Bassi (IT/ NL), Polonia e Spagna.

Max Schrems: "Dopo cinque anni, il tempo della guida e dei periodi di grazia è chiaramente finito. Se non c'è un deterrente generale, è probabile che le autorità perdano nuovamente il controllo della situazione". La Commissione europea ha proposto un nuovo regolamento per risolvere le questioni procedurali. Norme procedurali chiare sono una buona idea, ma devono essere complete per risolvere effettivamente il problema"

Azioni civili necessarie e ricorsi collettivi. Solo nel 2023, a Meta sono state inflitte multe per quasi 2 miliardi di euro come risultato degli sforzi diligenti e delle azioni legali della noyb, rendendo l'azione civile più importante che mai. Con l'imminente introduzione della direttiva UE sui ricorsi collettivi, gli utenti avranno l'opportunità di raggruppare le loro azioni legali attraverso azioni collettive. Questo approccio non solo elude l'affidamento alle DPA, ma possiede anche il potenziale per un effetto deterrente più incisivo rispetto alle multe del GDPR, che sono in gran parte teoriche Multe del GDPR, che sono in gran parte teoriche.