I negoziati a tre dell'UE su un regolamento di procedura che dovrebbe armonizzare e accelerare l'applicazione del Regolamento generale sulla protezione dei dati (GDPR) avranno probabilmente l'ultima riunione questo mercoledì (21 maggio). Tuttavia, la proposta rischia di compromettere l'applicazione del GDPR introducendo scadenze troppo lunghe e procedure troppo complesse. Nonostante la presenza di un negoziatore del Partito Verde a capo del Parlamento europeo, la proposta discrimina strutturalmente gli utenti e riserva un trattamento preferenziale alle Big Tech alle Big Tech, rinunciando alle posizioni del Parlamento. Il regolamento proposto non solo minaccia di paralizzare l'applicazione delle norme, ma può anche costituire una violazione degli elementi fondamentali del diritto a una procedura equa e a una buona amministrazione. Di conseguenza, noyb sta valutando le possibilità di avviare una procedura di annullamento se il regolamento dovesse passare nella sua forma attuale.
- Confronto tra la proposta della Commissione e gli emendamenti del Parlamento e del Consiglio
- Articolo di fondo che include una panoramica delle fasi procedurali proposte dopo i primi negoziati a tre
Scadenze fissate per la prima volta nel 2030. Una delle grandi promesse del nuovo regolamento sulle procedure GDPR era quella di accelerare le procedure. Tuttavia, il regolamento non è stato solo estremamente complicato, ma potrebbe anche portare a procedure più lunghe. Mentre il Parlamento europeo aveva inizialmente previsto scadenze complessive di soli 3 mesi, le scadenze concordate per alcune fasi della procedura (fase di pianificazione, diritto di essere ascoltati e fase decisionale) ammontano già a più di un anno. I negoziatori devono ancora decidere la durata della parte principale della procedura: l'indagine. Ciò significa che probabilmente ci ritroveremo con scadenze superiori ai due anni. Inoltre, il regolamento stesso è estremamente in ritardo, poiché il periodo di transizione è fissato a 33 mesi dalla pubblicazione del regolamento - quindi intorno al 2028. Se si aggiunge tutto questo, è probabile che il primo caso di GDPR che potrebbe avere una scadenza sia intorno al 2030.
Max Schrems:"Per quanto ne sappiamo, non c'è un accordo definitivo sulle scadenze. Tuttavia, le scadenze già concordate ammontano a 7 mesi solo per pianificare una procedura GDPR e a 4 mesi per emettere una decisione. Considerando che è necessaria anche un'indagine, è probabile che si parli di 2-3 anni per una decisione. Inizialmente il Parlamento europeo aveva chiesto addirittura 3 mesi. Molti Stati membri hanno scadenze da 3 a 6 mesi"
In contrasto con l'agenda di "semplificazione" dell'UE. Invece di semplificare e snellire le procedure, il nuovo regolamento fa l'esatto contrario: vengono aggiunti molti altri passaggi nella procedura, molti documenti devono essere emessi in due o tre versioni per diverse altre autorità e parti. Invece di avere un sistema digitale centrale con tutti i documenti, il sistema conterrà solo un piccolo numero di documenti, mentre la maggior parte dei fascicoli sarà archiviata tra le oltre 40 autorità di protezione dei dati dell'UE e dovrà essere scambiata manualmente. Tutto ciò comporterà decine di migliaia di ore di lavoro, che probabilmente si tradurranno in milioni di costi inutili per gli Stati membri.
Max Schrems:"Questo regolamento aggiunge alle procedure esistenti tonnellate di passi e pratiche supplementari. Le autorità e le imprese avranno più lavoro con le procedure del GDPR, non meno. Stiamo aumentando i costi di conformità e sovraccaricando le autorità, senza alcun beneficio per gli utenti o le aziende. L'esatto contrario di ciò che promette la semplificazione dell'UE"
Discriminazione strutturale degli utenti rispetto alle aziende. Nel complesso, il regolamento discrimina strutturalmente anche gli utenti. Con innumerevoli piccole differenze, il regolamento rende molto più facile per le aziende difendere i propri interessi che per gli utenti difendere il proprio diritto alla protezione dei dati. Ad esempio: le aziende possono ottenere tutti i documenti a livello locale con la loro "autorità capofila", mentre gli utenti devono farsi consegnare i documenti a bordo, senza alcun modo realistico di scoprire l'esistenza dei documenti o di agire se questi non vengono forniti. Le aziende hanno il "diritto di essere ascoltate", mentre gli utenti hanno solo l'"opportunità di far conoscere le proprie opinioni". Mentre le aziende possono (in alcune giurisdizioni) avere diritto a un'audizione orale, in cui possono discutere con un'autorità, gli utenti hanno solo la possibilità di inviare una dichiarazione scritta. Molti elementi della procedura sono disciplinati dalla legge dello Stato membro in cui risiede l'azienda, non da quella in cui risiede l'utente.
Max Schrems: "L'intero regolamento è inclinato contro gli utenti. In quasi tutti gli articoli si privilegiano le aziende e si discriminano gli utenti. Non c'è assolutamente "parità di armi" in questa procedura. Mentre il diritto dell'UE di solito protegge la parte più debole, questo regolamento discrimina la parte più debole"
Il PE si è "venduto" alla Commissione e al Consiglio. Mentre la bozza della Commissione è stata ampiamente criticata da più parti, il Parlamento europeo ha intrapreso un sostanziale esercizio di riformulazione. Pur non essendo perfetto, il Parlamento ha posto rimedio ai problemi strutturali fondamentali della proposta della Commissione. Tuttavia, nei negoziati tra la Commissione, gli Stati membri dell'UE e il Parlamento, quest'ultimo ha sostanzialmente rinunciato a quasi tutte le posizioni che aveva. Sono state eliminate quasi tutte le disposizioni relative ai diritti degli utenti, alle scadenze brevi o alle procedure trasparenti. È stata eliminata qualsiasi possibilità di applicare realisticamente le nuove norme contro le autorità di protezione dei dati che non le rispettano.
Max Schrems:"Il Parlamento europeo ha completamente svenduto le sue posizioni fondamentali. Della loro versione originale sono rimaste solo minuscole tracce. Questo è estremamente strano, considerando che il negoziatore principale del Parlamento è un membro del Partito Pirata e un membro del Gruppo Verde - presumibilmente i più accaniti combattenti per i diritti degli utenti. Durante i negoziati degli ultimi mesi abbiamo avuto la sensazione generale che nessuno si preoccupasse di questo file. Il risultato riflette assolutamente questo"
noyb ritiene che le procedure di annullamento. Il diritto dell'UE deve rispettare i principi fondamentali sanciti dalla Carta dei diritti fondamentali dell'UE. Tra questi vi sono il diritto a una buona amministrazione (articolo 41), il diritto a una procedura equa in tempi ragionevoli (articolo 47) o la parità di trattamento ai sensi della legge (articolo 20). Inoltre, l'UE deve garantire che il diritto fondamentale alla protezione dei dati di cui all'articolo 8 della Carta possa essere effettivamente applicato dagli utenti. Il nuovo regolamento sembra violare strutturalmente questi requisiti. Chiunque sia direttamente interessato può quindi avviare una cosiddetta procedura di annullamento presso i tribunali dell'UE per far dichiarare nullo il regolamento, nel suo complesso o in ampie parti. noyb sta ora esaminando le opzioni per presentare tali sfide.
Max Schrems:"Il regolamento è così strutturalmente difettoso che la Corte di giustizia potrebbe essere costretta ad annullarlo. L'attuale bozza probabilmente viola la Carta sotto molteplici aspetti, come l'accesso alle prove, l'equità, la parità delle armi e la tempestività delle decisioni. In teoria, il regolamento potrebbe essere annullato prima che diventi applicabile"
