In adempimento all’articolo 97 del regolamento, la Commissione dell’Unione europea ha pubblicato la prima relazione sull’esito dei suoi primi due anni di applicazione. La relazione tiene in considerazione anche i contributi dei co-legislatori europei (Consiglio e Parlamento), dell’EDPB, delle autorità di controllo, del gruppo multilaterale di esperti e di terzi. Il giudizio è sostanzialmente positivo e c’è comune condivisione sul fatto che sia troppo presto per stabilire se occorrano interventi correttivi al testo originario, anche se vengono evidenziate alcune criticità e necessità di miglioramento. La prossima relazione sarà nel 2024.

Sul versante positivo sono evidenziati i seguenti aspetti:

  1. la dimensione della protezione dei dati personali come diritto fondamentale dell’individuo
  2. l’assunzione del GDPR come regolamentazione di riferimento a livello globale
  3. il sistema di governance introdotto dal regolamento
  4. le leve dissuasive dei comportamenti non conformi.

 

Di converso, dal lato dei miglioramenti attesi si registrano principalmente:

  1. persistente frammentazione delle regole a livello di Stati membri
  2. percepita complessità della disciplina.

Protezione dei dati personali: diritto fondamentale dell’individuo

La natura della protezione dei dati personali come diritto fondamentale dell’individuo ha permesso di conseguire due risultati di particolare importanza: 

  • adeguata protezione dei dati personali
  • conseguente fiducia nell’uso degli stessi.

Protezione e fiducia sono essenziali per 

  • costituire un reale “mercato unico dei dati” all’interno della UE 
  • incrementare la disponibilità delle informazioni personali
  • consentire all’Unione il processo di transizione ecologica e digitale, in linea col suo programma di sviluppo, assicurando che la stessa sia incentrata sull’individuo.

In parallelo, il diritto fondamentale garantisce il potere di controllo all’interessato sui dati che lo riguardano; per rinforzare questo profilo, la Commissione fa affidamento ad una più spiccata applicazione del nuovo diritto alla portabilità e all’attuazione della prossima direttiva che introduce la class action anche in ambito data protection.

GDPR, disciplina di riferimento globale

L’entrata in vigore del regolamento europeo ha impresso una decisa accelerazione al processo di regolamentazione del tema a livello internazionale. Sono più di 100 i paesi al mondo che hanno una specifica normativa sulla protezione dei dati personali, «dal Cile alla Corea del Sud, dal Brasile al Giappone, dal Kenya all’India e dalla California all’Indonesia» e sembra incontestabile che il GDPR sia divenuto il punto di riferimento a livello globale per la regolamentazione dell’economia digitale. Questo fenomeno agevola il commercio internazionale entro una cornice di maggiore sicurezza e tutela.

D’altro canto, l’impostazione tecnologicamente neutra fondata su principi consente al regolamento di rispondere con flessibilità agli interrogativi sollevati da nuove tecnologie o contesti, come avvenuto nel caso dell’epidemia da COVID-19 con l’introduzione di app di tracciamento anti-contagio. 

Trasferimenti internazionali

I trasferimenti di dati oltre i confini dell’Unione richiederanno comunque un’attenta valutazione volta a evitare il rischio della perdita di garanzie godute in base al GDPR; per questo la Commissione prosegue con le verifiche finalizzate alle “decisioni di adeguatezza” (in aggiunta agli 11 paesi e territori già considerati): prossimi candidati sono Corea del Sud e Regno Unito.