Regolamento sulle procedure GDPR: La proposta della Commissione è un attacco ai diritti degli utenti nelle procedure del GDPR
Oggi il commissario europeo per la Giustizia Reynders ha presentato una proposta per risolvere la (mancanza di) cooperazione tra alcune autorità di protezione dei dati (DPA). Attualmente il GDPR si limita a dire alle autorità di protezione dei dati di cooperare, ma non fornisce dettagli su come questa cooperazione dovrebbe funzionare. Purtroppo, la proposta della Commissione sembra essere tecnicamente e materialmente difettosa e preferisce privare i cittadini dei diritti esistenti piuttosto che garantirne l'applicazione. Idealmente, un nuovo regolamento potrebbe seguire i principi consolidati di alto livello per le procedure transnazionali, riducendo le interferenze con le procedure nazionali e aumentando la certezza del diritto.
- Link alla proposta della Commissione
- Comunicato stampa della Commissione
- Trovare la proposta noyb su https://gdpr-procedure.eu/
Contesto. Finora il GDPR stabilisce che le autorità nazionali di protezione dei dati devono cooperare tra loro, ma i dettagli delle procedure sono lasciati agli Stati membri. Non esistono disposizioni chiare sul conflitto di leggi, che regolino quale legge nazionale si applichi a quale elemento della procedura. Gli elementi del diritto dell'UE sono limitati a determinate fasi della procedura di cooperazione. Ciò ha portato a molti conflitti tra le autorità di protezione dei dati, fino a una causa intentata dal DPC irlandese contro il Comitato europeo per la protezione dei dati (EDPB) per presunte violazioni eccessive da parte dell'organismo di coordinamento dell'UE.
Max Schrems:"Il GDPR dice fondamentalmente alle autorità di protezione dei dati di 'cooperare', ma tutte hanno opinioni diverse su come dovrebbero funzionare le procedure e su quale legge nazionale si applica a quale fase. Inoltre, alcuni Stati membri hanno approvato norme procedurali volte a minare le procedure del GDPR. In altri Stati membri le autorità di protezione dei dati e i tribunali hanno sviluppato prassi non conformi agli standard minimi dell'UE. Questa situazione rende le procedure transnazionali spesso estremamente lente e disordinate"
L'approccio della Commissione è sbagliato. La proposta della Commissione sembra basarsi principalmente sulle richieste di (alcune) autorità di protezione dei dati di escludere i cittadini dalle procedure per "semplificarle". Quando cerca di risolvere i problemi, la Commissione cerca solo di tappare le singole falle del sistema, che sono emerse nei primi casi più importanti tra il DPC irlandese e le sue controparti europee. A differenza dei regolamenti sulle procedure transnazionali esistenti nell'UE (come i regolamenti "Bruxelles" o "Roma"), la proposta della Commissione non adotta un approccio sistematico, delegando la giurisdizione agli Stati membri per alcune parti della procedura e garantendo l'esistenza di standard minimi europei. La proposta della Commissione sembra invece impiantare alcuni elementi europei nelle leggi esistenti, dando vita a un ibrido tra leggi e procedure comunitarie e nazionali.
Squilibrio tra utenti e aziende. Mentre mancano alcuni elementi chiave che porterebbero a procedure più rapide, come scadenze sostanziali per l'autorità di controllo principale che indaga su un caso transfrontaliero, l'approccio della Commissione farebbe addirittura pendere la bilancia già problematica dei casi di protezione dei dati verso le aziende. Mentre i cittadini saranno ascoltati solo in minima parte, la bozza prevede ampi diritti per le aziende: esse saranno ascoltate durante tutta la procedura e avranno accesso ai fascicoli. Questo potrebbe portare a consolidare i problemi esistenti di fronte a regolatori opachi come il DPC, anziché risolverli.
Max Schrems:"Speravamo in una soluzione, ma si tratta fondamentalmente di spostare una procedura sui diritti degli utenti a una procedura sui diritti delle aziende. Dobbiamo studiare la proposta in modo più approfondito, molti elementi sono chiaramente un passo indietro per i diritti degli utenti. Riteniamo che vi siano modi più tradizionali per affrontare i problemi, che allo stesso tempo interferirebbero meno con le leggi procedurali nazionali e sarebbero molto più semplici, oltre a risolvere i problemi a livello sistematico. Ciimpegneremo con i legislatori europei per vedere se la proposta può essere corretta, ma sembra che la strada da percorrere sia lunga"
Come procedere. La proposta della Commissione ha tempi molto stretti, dato che il mandato della Commissione europea termina nel 2024. La proposta deve ora passare al Parlamento europeo e agli Stati membri, che dovranno concordare la versione finale. Non è chiaro se l'attuale proposta sarà accolta dagli altri organi legislativi europei. noyb seguirà da vicino il processo.