di Rocco Panetta
Anche per il GDPR, il regolamento europeo sulla protezione dei dati che ha da poco compiuto 5 anni, è giunto il momento di un check-up. E così, martedì 4 luglio, la Commissione europea ha presentato la sua proposta di regolamento per rendere più chiare le norme meramente procedurali, in quei casi in cui la richiesta di protezione dei dati sconfina oltre il territorio nazionale per approdare in Irlanda, il più delle volte, o comunque in un altro Paese europeo dove l’azienda contestata ha la propria sede.
Inutile nascondere che le lamentele raccolte dalla Commissione nella sua periodica revisione del GDPR, prevista per legge ogni 4 anni, hanno riguardato proprio questo collo di bottiglia che sembra essere l’Irlanda: quasi tutte le grandi aziende vi hanno stabilito la propria sede e questa circostanza comporta enormi rallentamenti, tanto nelle investigazioni quanto nelle decisioni.
Lo scopo di questo aggiornamento è proprio quello di snellire e chiarificare la procedura, nonostante il regolamento della privacy già prescrive che le autorità capofila devono collaborare e, ove possibile, delegare anche nella fase delle investigazioni, le autorità nazionali coinvolte.
Facciamo un esempio. L’Irlanda, dopo una segnalazione di Italia, Francia e Germania, dovrà, all’inizio della procedura, fornire loro un riassunto coi punti di fatto e diritto principali che saranno oggetto di investigazione e le proprie considerazioni preliminari, incluse quelle riguardanti le possibili misure correttive che si vorrebbe richiedere. In questo modo le altre autorità potranno farsi da subito un’idea e concordare o meno con la collega irlandese. Se questo consenso non si raggiunge, allora si procede davanti al Comitato dei Garanti europei (EDPB), come in passato è già accaduto per alcune vicende di Meta e Twitter, dove tutti i garanti sono chiamati a dire la loro. Nel caso dei due social network il passaggio dall’EDPB comportò un consistente aumento della sanzione.
Se la lentezza delle procedure era una lamentela che veniva sovente dalla società civile e dagli interessati, dalle aziende (i titolari del trattamento) si lamentava un mancato diritto ad essere ascoltati.
In tutti quei casi in cui un procedimento va a finire davanti al comitato dei garanti europei, le parti, tanto l’interessato, quanto l’azienda, non avevano un diritto di essere ascoltati dall’EDPB. Non si tratta di cosa di poco conto essendo, la decisione dell’EDPB, vincolante per l’autorità nazionale. Oggi, nei grandi casi delle Big Tech, una volta che la procedura finisce davanti all’EDPB, nessuna delle parti ha un vero e proprio diritto di intervenire. Per questo le aziende coinvolte lamentavano la stranezza di aver raggiunto un accordo con la propria autorità competente, che poi veniva stravolto dal provvedimento dell’EDPB, in cui però non potevano far sentire le proprie ragioni. Se è dunque sacrosanto che l’EDPB intervenga, anche per evitare storture in alcune giurisdizioni (tempi lunghi, sanzioni non appropriate) è altrettanto necessario che, prima che l’EDPB si pronunci, le parti possano essere ascoltate. Si tratta dunque di un passo avanti se non fosse che, al momento, il testo proposto dalla Commissione prevede una sola settimana di tempo per leggere il ragionamento preliminare dell’EDPB e presentare le proprie contro argomentazioni.
Tra le altre novità introdotte, oltre a procedure più certe, anche nella presentazione della denuncia da parte degli interessati, che, nei casi internazionali, dovranno seguire un modulo prestabilito, uguale per tutti, c’è anche l’esplicito ricorso a soluzioni amichevoli tra le parti. Se le parti dovessero trovare un accordo, il procedimento sarà interrotto.
La nota positiva è che non saranno toccati i poteri dei Garanti che, anzi, urge sia rafforzato quanto a organico e competenze, viste le nuove sfide dell’intelligenza artificiale in arrivo, come anche indicato nel discorso del Presidente Stanzione di giovedì.
L’articolo è comparso originariamente sull’edizione cartacea del Sole 24 Ore di domenica 09 luglio.