I negoziati a tre dell'UE per un regolamento procedurale che dovrebbe armonizzare e accelerare l'applicazione del Regolamento generale sulla protezione dei dati (GDPR) avranno probabilmente l'ultima riunione questo mercoledì (21 maggio). Tuttavia, la proposta rischia di compromettere l'applicazione del GDPR introducendo scadenze troppo lunghe e procedure troppo complesse. Nonostante la presenza di un negoziatore del Partito Verde a capo del Parlamento europeo, la proposta discrimina strutturalmente gli utenti e riserva un trattamento preferenziale alle Big Tech alle Big Tech, rinunciando alle posizioni del Parlamento. Il regolamento proposto non solo minaccia di paralizzare l'applicazione delle norme, ma può anche costituire una violazione degli elementi fondamentali del diritto a una procedura equa e a una buona amministrazione. Di conseguenza, noyb sta valutando le possibilità di avviare una procedura di annullamento se il regolamento dovesse passare nella sua forma attuale.
- Confronto tra la proposta della Commissione e gli emendamenti del Parlamento e del Consiglio
- Articolo di fondo che include una panoramica delle fasi procedurali proposte dopo i primi negoziati di trilogo
Una delle grandi promesse del nuovo regolamento procedurale GDPR era quella di accelerare le procedure. Tuttavia, il regolamento non solo è estremamente complicato, ma può anche portare a procedure più lunghe. Mentre il Parlamento europeo aveva inizialmente previsto scadenze complessive di soli 3 mesi, le scadenze concordate per alcune fasi della procedura (fase di pianificazione, diritto di essere ascoltati e fase decisionale) ammontano già a più di un anno. I negoziatori devono ancora decidere la durata della parte principale della procedura: l'indagine. Ciò significa che probabilmente ci ritroveremo con scadenze superiori ai due anni. Inoltre, il regolamento stesso sarà estremamente ritardato, poiché il periodo di transizione è fissato a 18 mesi dalla pubblicazione del regolamento - quindi intorno alla fine del 2026 o all'inizio del 2027. Sommando tutti questi elementi, è probabile che il primo caso di GDPR che potrebbe avere una scadenza sia intorno al 2029.
Max Schrems:"Per quanto ne sappiamo, non c'è un accordo definitivo sulle scadenze. Tuttavia, le scadenze già concordate ammontano a 7 mesi solo per pianificare una procedura GDPR e a 4 mesi per emettere una decisione. Considerando che è necessaria anche un'indagine, è probabile che si parli di 2-3 anni per una decisione. Il Parlamento europeo aveva inizialmente chiesto scadenze di soli 3 mesi. Molti Stati membri hanno scadenze da 3 a 6 mesi"
In contrasto con il programma di "semplificazione" dell'UE. Invece di semplificare e snellire le procedure, il nuovo regolamento fa l'esatto contrario: vengono aggiunti molti altri passaggi nella procedura, molti documenti devono essere emessi in due o tre versioni per diverse altre autorità e parti. Invece di avere un sistema digitale centrale con tutti i documenti, il sistema conterrà solo un piccolo numero di documenti, mentre la maggior parte dei fascicoli sarà conservata e distribuita tra le oltre 40 autorità di protezione dei dati dell'UE e dovrà essere scambiata manualmente. Tutto ciò comporterà decine di migliaia di ore di lavoro e probabilmente milioni di euro di costi inutili per gli Stati membri.
Max Schrems:"Questo regolamento aggiunge alle procedure esistenti tonnellate di passi in più e di pratiche burocratiche. Le autorità e le imprese avranno più lavoro con le procedure del GDPR, non meno. Ciò aumenta i costi di conformità e sovraccarica le autorità, senza alcun beneficio per gli utenti o le aziende. È l'esatto contrario di quanto promesso dalla semplificazione dell'UE"
Discriminazione strutturale degli utenti rispetto alle aziende. Nel complesso, il regolamento discrimina strutturalmente anche gli utenti. Con innumerevoli piccole differenze, il regolamento rende molto più facile per le aziende difendere i propri interessi che per gli utenti difendere il proprio diritto alla protezione dei dati. Ad esempio: le aziende possono ottenere tutti i documenti a livello locale presso la loro autorità capofila, mentre gli utenti devono farsi consegnare i documenti dall'estero, senza alcun modo realistico di scoprire l'esistenza dei documenti o di agire se questi non vengono forniti. Le imprese hanno il "diritto di essere ascoltate", mentre gli utenti hanno solo l'"opportunità di far conoscere le proprie opinioni". Mentre le aziende possono (in alcune giurisdizioni) avere diritto a un'audizione orale, in cui possono discutere con un'autorità, gli utenti hanno solo la possibilità di inviare una dichiarazione scritta. Molti elementi della procedura sono disciplinati dalla legge dello Stato membro in cui risiede l'azienda, non da quella in cui risiede l'utente.
Max Schrems: "L'intero regolamento è inclinato contro gli utenti. In quasi tutti gli articoli si privilegiano le aziende e si discriminano gli utenti. Non c'è assolutamente "parità di armi" in questa procedura. Mentre il diritto dell'UE di solito protegge la parte più debole, questo regolamento discrimina la parte più debole"
Il PE si è "venduto" alla Commissione e al Consiglio. Mentre la bozza della Commissione è stata ampiamente criticata da più parti, il Parlamento europeo ha intrapreso un sostanziale esercizio di riformulazione. Pur non essendo perfetti, i problemi strutturali fondamentali della proposta della Commissione sono stati risolti dal Parlamento. Tuttavia, nei negoziati tra la Commissione, gli Stati membri dell'UE e il Parlamento, quest'ultimo ha sostanzialmente rinunciato a quasi tutte le posizioni. Quasi tutte le disposizioni riguardanti i diritti degli utenti, le scadenze brevi o le procedure trasparenti sono state eliminate. È stata eliminata qualsiasi possibilità di applicare realisticamente le nuove norme alle autorità di protezione dei dati che non si conformano.
Max Schrems:"Il Parlamento europeo ha completamente svenduto le sue posizioni fondamentali. Della loro versione originale sono rimaste solo minuscole tracce. Questo è estremamente strano, se si considera che il negoziatore principale del Parlamento è un membro del Partito Pirata e un membro del Gruppo Verde - presumibilmente combattenti accaniti per i diritti degli utenti. Durante i negoziati degli ultimi mesi, abbiamo avuto la sensazione generale che a nessuno importasse di questo file. Il risultato riflette assolutamente questo"
noyb considera le procedure di annullamento. Il diritto dell'UE deve rispettare i principi fondamentali sanciti dalla Carta dei diritti fondamentali dell'UE. Tra questi vi sono il diritto a una buona amministrazione (articolo 41), il diritto a una procedura equa in tempi ragionevoli (articolo 47) o la parità di trattamento ai sensi della legge (articolo 20). Inoltre, l'UE deve garantire che il diritto fondamentale alla protezione dei dati di cui all'articolo 8 della Carta possa essere effettivamente applicato dagli utenti. Il nuovo regolamento sembra violare strutturalmente questi requisiti. Chiunque sia direttamente interessato può quindi avviare una cosiddetta procedura di annullamento presso i tribunali dell'UE per far dichiarare nullo il regolamento, nel suo complesso o in ampie parti. noyb sta ora esaminando le possibilità di presentare tali ricorsi.
Max Schrems:"Il regolamento è così strutturalmente difettoso che la Corte di giustizia potrebbe essere costretta ad annullarlo. L'attuale bozza probabilmente viola la Carta sotto molteplici aspetti, come l'accesso alle prove, l'equità, la parità delle armi e la tempestività delle decisioni. In teoria, il regolamento potrebbe essere annullato prima che diventi applicabile"
*Nota: in una versione precedente di questo articolo si parlava di 33 mesi, in quanto abbiamo erroneamente aggiunto un periodo di 15 e 18 mesi, che in realtà corrono in parallelo.
