A poco più di due anni dalla sua entrata in vigore, la Commissione europea ha pubblicato una relazione di valutazione del regolamento generale sulla protezione dei dati (GDPR). Nella relazione si indica che il regolamento ha conseguito la maggior parte dei suoi obiettivi, in particolare offrendo ai cittadini “un solido nucleo di diritti azionabili” e creando un nuovo sistema europeo di governance e di contrasto.
Il regolamento si è rivelato uno strumento flessibile per sostenere l’adozione di soluzioni digitali in circostanze impreviste come la crisi della Covid-19. La relazione conclude altresì che in tutti gli Stati membri si assiste a una maggiore armonizzazione, malgrado un certo livello di frammentazione che deve essere costantemente sorvegliato. Rileva inoltre che una cultura della conformità si sta diffondendo tra le imprese, le quali vedono sempre più spesso un vantaggio competitivo in una rigorosa protezione dei dati.
Per la Commissione, i cittadini dispongono di maggiore autonomia e sono più consapevoli dei propri diritti. Il regolamento generale sulla protezione dei dati aumenta la trasparenza e assicura ai privati cittadini diritti azionabili, come ad esempio il diritto di accesso, rettifica e cancellazione, il diritto di opposizione e il diritto alla portabilità dei dati. Stando ai risultati, pubblicati la scorsa settimana, di un’indagine condotta dall’Agenzia dell’Unione europea per i diritti fondamentali, oggi nell’UE il 69 % della popolazione di età superiore ai 16 anni è a conoscenza del regolamento e il 71 % delle persone ha sentito parlare della propria autorità nazionale per la protezione dei dati. Tuttavia, si può fare di più per aiutare i cittadini a esercitare i propri diritti, in particolare il diritto alla portabilità dei dati.
La relazione evidenzia che il regolamento generale sulla protezione dei dati ha permesso ai singoli di avere maggior voce in capitolo riguardo all’utilizzo che viene fatto dei loro dati nella transizione digitale. Contribuisce inoltre a promuovere “un’innovazione attendibile”, grazie soprattutto a un approccio basato sul rischio e a principi quali la protezione dei dati fin dalla progettazione e per impostazione predefinita.
La Commissione fa sapere che continuerà a collaborare con i suoi partner in tutto il mondo nell’ambito dell’adeguatezza. Inoltre, in collaborazione con il comitato europeo per la protezione dei dati, intende ammodernare altri meccanismi di trasferimento dei dati, tra cui le clausole contrattuali tipo, lo strumento più comunemente utilizzato per il trasferimento dei dati. Il comitato sta lavorando a orientamenti specifici sull’uso della certificazione e dei codici di condotta per trasferire i dati al di fuori dell’UE. La Corte di giustizia dell’Unione europea potrebbe fornire chiarimenti in una sentenza che verrà pronunciata il 16 luglio, decisioni che potrebbero avere rilevanza per determinati elementi del principio di adeguatezza.
La Commissione ha inoltre pubblicato una comunicazione che indica dieci atti giuridici che disciplinano il trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, che è opportuno allineare alla direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie. “Tale allineamento”, riferisce la Commissione, “assicurerà la certezza del diritto e chiarirà questioni quali le finalità del trattamento dei dati personali da parte delle autorità competenti e i tipi di dati che possono essere oggetto di un siffatto trattamento”.