Giornata della protezione dei dati: 41 anni di "conformità su carta"?!
La Giornata della protezione dei dati di oggi segna la firma del primo quadro paneuropeo di protezione dei dati (Convenzione 108) nel 1981. Andando avanti di 41 anni, il GDPR è diventato il pilastro principale della protezione dei dati in Europa. Adottato nel 2016 con grandi speranze, il GDPR è ora sul punto di soccombere a una morte simile a molte regole di protezione dei dati prima. Esistevano sulla carta, ma erano difficilmente applicate nella realtà.
La teoria dell'applicazione europea. Secondo il GDPR ogni persona in Europa ha il diritto di presentare un reclamo alla propria autorità di protezione dei dati (DPA), che dovrebbe a sua volta far rispettare il diritto fondamentale dei cittadini alla privacy. Il sito "meccanismo di cooperazione "one-stop-shop per i casi transnazionali dovrebbe garantire che i clienti vedano i loro diritti applicati con la stessa efficacia quando i loro dati sono trattati da una società in un altro Stato membro.
Il vuoto di applicazione del GDPR. Molti cittadini che hanno cercato di esercitare i loro diritti ai sensi del GDPR sono delusi. Alcune DPA non trattano affatto i reclami. Le procedure vengono "dimenticate" o si perdono nel sistema che collega le DPA nazionali. In molti casi, c'è solo silenzio radio per anni. Anche se le prestazioni differiscono molto tra le ATD, noyb riceve messaggi simili da cittadini frustrati in tutta l'UE. Dopo tutto, il sistema è forte solo quanto il suo anello più debole.
Solo il 15% dei casi di noyb è stato deciso entro un anno - nessun caso paneuropeo. Finora, noyb ha presentato 51 casi individuali alle DPA in Europa. Solo sei di questi casi sono stati decisi, altri tre sono stati decisi parzialmente. Tutti erano casi puramente nazionali, dove non c'era bisogno di cooperazione europea. Non un solo caso paneuropeo è stato deciso sotto il meccanismo dello "sportello unico" fino ad oggi. Mentre alcuni casi sono stati depositati di recente e potrebbero aver bisogno di più tempo, altri sono stati depositati più di un anno fa. Ad oggi, solo cinque di questi 34 casi di più lunga data sono completamente decisi. Questo significa che l'85% di tutti i casi più vecchi di un anno sono ancora in attesa di una decisione. Alcuni casi si sono persi tra le autorità. In altri casi, le autorità non hanno nemmeno risposto alle e-mail o alle telefonate. I vincitori ingloriosi per la durata più lunga sono quattro casi presentati il 25.5.2018 sul "consenso forzato". Dopo 3 anni e 8 mesi, l'autorità irlandese "capofila" non ha ancora emesso una decisione finale.
"Si vede chiaramente che di solito siamo lasciati senza alcuna risposta. Alcune autorità sono scatole nere. È impossibile capire cosa succede alle nostre denunce. Mentre i casi nazionali mostrano alcuni risultati, non abbiamo visto una sola decisione una volta che diversi Stati membri hanno dovuto lavorare insieme sotto il meccanismo dello "sportello unico". La panoramica mostra quanto frustrante, inefficace e complicata possa essere l'applicazione dei diritti fondamentali europei"- romain Robert, direttore del programma al noyb.
Nella "giornata della privacy" di oggi, noyb ha pubblicato una lista di tutti i 51 reclami "individuali" che ha presentato dall'entrata in vigore del GDPR:
Due ondate, 523 reclami, una decisione. noyb ha presentato due serie di "reclami paralleli" che possono essere più impegnativi per le DPA, ma anche consentire loro di snellire il processo decisionale. Dei 101 reclami dell'agosto 2020 sui trasferimenti di dati UE-USA, dopo 1,5 anni, un caso su Google Analytics è stato parzialmente deciso (1%). Altri 422 reclami dell'agosto 2021 sui cookie banner non hanno visto finora una sola decisione. In molti casi sembra esserci poco più di una conferma della ricezione del reclamo.
Le istituzioni europee sollevano preoccupazioni simili. Il Parlamento europeo ha espresso le sue preoccupazioni per il livello insufficiente di applicazione del GDPR e la Commissione ha anche avvertito di spingere per un approccio più centralizzato se non saranno apportati miglioramenti. Una conferenza del GEPD sulla questione nominata per giugno non lascia dubbi che il 2022 avrà un focus sull'applicazione del GDPR
"Speriamo che questa panoramica sui nostri reclami favorisca le discussioni previste per quest'anno. Pensiamo che l'inclusione di casi concreti nell'analisi possa aggiungersi alla lista dei problemi già identificati con l'applicazione" - Romain Robert, direttore del programma al noyb
Focus sull'applicazione e sui diritti procedurali L'esperienza degli ultimi 3,5 anni significa che il ruolo di noyb come organizzazione per l'applicazione del GDPR è diventato ancora più rilevante. Oltre a concentrarsi su azioni legali contro le autorità di regolamentazione che non gestiscono i reclami in tempi ragionevoli, noyb si impegnerà anche in azioni dirette contro le aziende, anche attraverso azioni collettive - anche se questo è di solito molto più costoso. Mentre la direttiva sui ricorsi collettivi sarà attuata in tutti gli Stati membri entro la fine del 2022, noyb è già ufficialmente qualificato per iniziare azioni rappresentative in Belgio. Insieme a PrivacyFirst, abbiamo anche finanziato la fondazione "CUIC" (Consumers United In Court) nei Paesi Bassi per presentare azioni simili.
"Nonostante la nostra insoddisfazione con l'applicazione, noyb rimane dedicata a sostenere le DPA e i denuncianti interessati ad una migliore applicazione della legge. 41 anni dopo la convenzione, dobbiamo lavorare tutti insieme per rendere la privacy una realtà" - Romain Robert, direttore del programma di noyb.
Con questo in mente,noyb augura a tutti voi un felice Data Protection Day!