A partire dal 2018, il GDPR dovrebbe garantire ai cittadini europei il diritto alla privacy in tutta l'UE. Tuttavia, quando i diritti delle persone vengono violati da aziende con sede in un altro Stato membro dell'UE/SEE, i reclami vengono gestiti attraverso un complesso "meccanismo di cooperazione" tra l'Autorità per la protezione dei dati (DPA) dello Stato membro degli utenti e la DPA dello Stato membro dell'azienda. Questo meccanismo di applicazione è il fulcro del fallimento generalmente riconosciuto dell'applicazione del GDPR. Le denunce vanno perse, le decisioni richiedono anni e non c'è praticamente alcuna possibilità di agire contro le autorità di protezione dei dati inattive. L'UE ha cercato di risolvere questo problema con un "regolamento procedurale GDPR". Ma ora è chiaro che sta per fallire miseramente. I negoziati finali del cosiddetto "trilogo" tra il Parlamento europeo, gli Stati membri e la Commissione europea hanno portato a un pasticcio legislativo che probabilmente renderà le procedure più complesse, lente e soggette a contestazioni legali. noyb ha seguito da vicino il dossier e ora lancia un avvertimento pubblico. Il dossier necessita di un intenso lavoro supplementare. L'approccio attuale sembra peggiorare le cose nel complesso.
- Osservatorio legislativo dell'UE con tutte le informazioni sulla procedura legislativa
- Elenco degli attori principali (PDF)
- Panoramica della procedura prevista (PDF)
"Più semplice e più veloce" è diventato "Complesso e instabile". Finora il GDPR prevede che le autorità di protezione dei dati (DPA) di 30 Paesi dell'UE/SEE debbano "cooperare", ma non chiarisce nel dettaglio come questa cooperazione debba essere condotta. Le procedure nazionali sono molto diverse. I requisiti per l'audizione delle parti, la condivisione delle prove o l'emissione formale di una decisione valida sono diversi in ogni Stato membro. Nella pratica, non funzionano elementi fondamentali come la condivisione delle informazioni su un caso con tutte le autorità. Nel complesso, ciò ha portato a procedure GDPR estremamente lente, documenti persi e azioni di enforcement fallite. Anche casi semplici, come una richiesta di accesso alle informazioni da parte di una persona interessata, possono richiedere 5 o più anni. Quando la Commissione europea ha annunciato che avrebbe risolto questo problema con un "regolamento procedurale GDPR", la promessa principale era quella di ottenere finalmente un'applicazione efficace attraverso procedure più rapide, snelle e semplici.
Tuttavia, allo stato attuale, le istituzioni dell'UE stanno per produrre l'esatto contrario: un incubo procedurale ancora più complesso, inflessibile e incoerente che non migliorerà ma diminuirà l'applicazione del GDPR.
La Commissione europea non ha mai effettuato un'adeguata valutazione d'impatto e il coinvolgimento delle parti interessate prima di presentare la sua proposta, mancando chiaramente di un know-how procedurale di base. Dopo la proposta della Commissione, il Consiglio ha presentato una posizione a metà, perché la Presidenza belga dell'UE voleva "chiudere" rapidamente il dossier entro l'estate del 2024. Il Parlamento europeo, contrariamente ai primi promettenti passi compiuti per riformare radicalmente la proposta della Commissione nella precedente legislatura, sembra aver rinunciato a quasi tutte le ambizioni sotto la sua nuova leadership.
Nel complesso, questa iniziativa legislativa è destinata a diventare un imbarazzo per l'UE, soprattutto dopo le recenti promesse di prendere finalmente sul serio i diritti fondamentali degli europei alla protezione dei dati e alla privacy e di dimostrare al mondo che il GDPR è il gold standard - non solo sulla carta. Il risultato atteso sarebbe anche in contraddizione con l'aspirazione dell'UE di ridurre le norme complesse e migliorare la qualità giuridica della legislazione europea. Invece di semplificare la procedura principale, le bozze di testo in fase di negoziazione porterebbero a circa dieci tipi di possibili procedure GDPR - con diverse sotto-varianti, colpi di scena e svolte.
Max Schrems, presidente di noyb.eu: "Inizialmente eravamo molto favorevoli ad avere regole procedurali chiare. Ma questa proposta rischia di diventare il più grande pasticcio legislativo che abbia mai visto da molto tempo a questa parte. Sebbene il Consiglio e il Parlamento europeo sembrino generalmente d'accordo sul fatto che la proposta della Commissione necessiti di modifiche sostanziali, sembra che non siano riusciti a risolvere i problemi strutturali, ma piuttosto abbiano aggiunto elementi ancora più complessi. Il Parlamento europeo ha completamente rinunciato a introdurre approcci procedurali consolidati. Il risultato è un sistema sovraccarico che renderà le procedure ancora più complesse e lente. Molti elementi sono di qualità giuridica talmente scarsa che questa legge non risolverà i problemi, ma genererà ulteriori controversie"
Felici, se tutti sono scontenti? Mentre molte battaglie politiche europee si svolgono tra due gruppi di interesse, questo dossier sembra essere una lotta tra una legislazione di qualità e un approccio che non è né praticabile né in linea con i più elementari principi procedurali. Nonostante gli avvertimenti degli esperti, il dossier viene semplicemente fatto passare più volte attraverso il processo. Molti hanno commentato a porte chiuse che il testo è una "spettacolo di merda" o che i negoziati di trilogo sono tristemente giunti a un punto in cui il processo legislativo è una "fabbrica di salsicce che produce una salsiccia"una fabbrica di salsicce che produce una salsiccia - a prescindere dal contenuto". Nonostante il fatto che molti attori sembrino essersi resi conto del problema, sono state intraprese poche azioni. Il tema comune sembra essere "passate in un modo o nell'altro - basta che sia fuori dal mio tavolo."
Max Schrems: " Questo regolamento avrebbe potuto cambiare le carte in tavola per l'esercizio dei diritti fondamentali delle persone. Invece, sembra che farà sprecare migliaia di ore ad autorità già sovraccariche di lavoro, prescrivendo vari passaggi procedurali inutili ed eccessivamente complessi, che si traducono in milioni di soldi dei contribuenti. Allo stesso tempo, le procedure saranno più lente e complesse sia per le imprese che per i cittadini. L'applicazione dei diritti del GDPR per le persone normali sarà ancora più difficile da raggiungere. Le imprese probabilmente vedranno aumentare l'incertezza giuridica, le decisioni imprecise e i costi legali per le pratiche aggiuntive e i ricorsi necessari"
Approcci procedurali medievali - invece dei diritti delle parti. La proposta originaria della Commissione europea seguiva uno spirito autoritario. Le autorità di protezione dei dati "capofila" nello stesso Paese dell'azienda (come il famigerato DPC irlandese) sono state tenute il più possibile al riparo dalla necessità di cooperare con altre autorità di protezione dei dati e di ascoltare le parti interessate. In questo modo, si supponeva che potessero condurre la procedura da soli, senza essere disturbati da nessuno. Ma questo approccio è l'opposto di un'amministrazione moderna, efficiente e trasparente. È fondamentale coinvolgere le parti in una fase iniziale per arrivare a decisioni corrette e ampiamente accettate. Dopo tutto, le aziende sanno meglio di chiunque altro come funzionano i loro sistemi e i denuncianti sanno meglio di chiunque altro qual è il loro problema con il GDPR. Invece, la Commissione ha costruito la procedura su un sistema puramente "inquisitorio"sistema inquisitorio"-, letteralmente un approccio medievale risalente al 12° secolo. Molti documenti e decisioni della procedura vengono emessi prima che siano state condotte indagini o audizioni delle parti. Sembra che molti concetti siano stati mutuati dalla prassi del Data Protection Commissioner irlandese, la DPA che ha prodotto il maggior numero di controversie con altre DPA e che è nota per le sue procedure estremamente lente e disordinate. Non è chiaro come gli elementi rilevanti della legge proposta (in particolare gli articoli da 9 a 17) interagiranno con procedure nazionali molto più moderne. Il regolamento non definisce adeguatamente l'interazione tra il diritto dell'UE e quello nazionale.
Max Schrems: "L'approccio della Commissione UE è stato quello di presumere che le autorità di protezione dei dati sappiano tutto. Invece di ascoltare le parti, come avviene in quasi tutti gli Stati membri dell'UE, la Commissione prevedeva che le parti sarebbero state ascoltate solo alla fine dell'indagine attraverso una "decisione preliminare". I diritti delle parti sarebbero quindi estremamente limitati. Questo approccio rischia di produrre un numero enorme di decisioni imprecise. Dopo tutto, le aziende sanno meglio di chiunque altro come funzionano i loro sistemi e i denuncianti sanno meglio di chiunque altro qual è il loro problema. Non è assolutamente chiaro come questi concetti interagiscano con le norme procedurali nazionali. Anche l'articolo che avrebbe dovuto chiarire questo aspetto è stato cancellato"
procedure "veloci": 3 o 33 mesi? Una delle ultime questioni irrisolte nei negoziati in corso sembra essere quella dei termini per le procedure. Finora, le autorità di protezione dei dati riferiscono di una media di circa 8 mesi per una decisione. Negli Stati membri che già dispongono di tale termine, la media è di circa 4,5 mesi. Pertanto, non è irrazionale che il Parlamento europeo abbia proposto un termine di 3 mesi nei casi semplici e fino a 9 mesi negli altri casi. Tuttavia, il Consiglio avrebbe proposto un termine per la decisione fino a 33 mesi. Finora non è stato concordato se gli utenti possano intentare una causa nel loro Paese d'origine. Al contrario, potrebbero essere costretti a citare in giudizio una DPA straniera in un'altra giurisdizione dell'UE per i ritardi. Questo renderebbe la cosa praticamente impossibile per la maggior parte delle persone.
Max Schrems: "In media, le autorità riferiscono una durata di circa 8 mesi per le procedure. Alcune proposte degli Stati membri parlano di 33 mesi. Sarebbe la prima volta che si potrebbe anche solo sollevare un ritardo presso una Corte, che a sua volta può impiegare anni per decidere in merito a un'azione legale per un ritardo. In pratica si tratta di un lasciapassare per le DPA per trascinare le procedure all'infinito..."
Mancanza di know-how procedurale. Una ragione strutturale del risultato discutibile di questo processo potrebbe essere il fatto che la Commissione europea, il Parlamento e il Consiglio non si sono quasi mai occupati di legislazione in materia di diritto procedurale. Il diritto procedurale è attualmente di competenza degli Stati membri. Finora, l'UE non ha emanato alcun diritto processuale amministrativo rilevante a livello nazionale. Anche all'interno degli Stati membri, il diritto processuale è solitamente trattato da giuristi esperti in dipartimenti separati presso le università e unità specializzate nei ministeri della giustizia nazionali. Nel complesso, sembra che questa proposta avrebbe avuto bisogno di una preparazione e di investimenti molto più consistenti per evitare l'attuale situazione in cui i legislatori dell'UE sembrano solo prendere a calci il barattolo.
Max Schrems: "C'è una razza speciale di avvocati che si occupa di diritto processuale. Questo know-how mancava chiaramente in questo dossier. È come se domani iniziassi a praticare l'astrofisica: il risultato probabilmente non sarebbe di alcun beneficio per l'umanità".
