A due anni dall’entrata in vigore del GDPR, il Regolamento ha dimostrato di saper rispondere adeguatamente a molte delle sfide poste dall’era digitale, ma non ha ancora realizzato appieno il proprio potenziale, soprattutto per quanto riguarda le attività di enforcement. Lo dice il bilancio della Commissione europea di fine giugno.
I rilievi della Commissione Europea
È vero: secondo la relazione della Commissione Europea sull’attuazione del GDPR dopo due anni dalla sua entrata in vigore, il Regolamento ha conseguito infatti la maggior parte dei suoi obiettivi, rafforzando la protezione dei dati nell’era digitale e dimostrandosi uno strumento flessibile anche nella gestione dell’attuale pandemia. Tuttavia, la Commissione ha sottolineato come siano necessari alcuni miglioramenti.
Il problema principale sono le attività di enforcement delle autorità Garanti, in particolare quelle legate a procedure transnazionali.
A detta della Commissione, le autorità garanti europee non hanno ancora fatto pieno uso dei poteri e degli strumenti di cui godono ai sensi del GDPR, come la possibilità di effettuare operazioni ed indagini congiunte. È inoltre necessario fare ulteriori progressi per rendere la gestione dei casi transfrontalieri più efficiente e armonizzata a livello europeo, anche da un punto di vista procedurale. Le criticità identificate dalla Commissione fanno eco ad alcuni rilievi effettuati dal Comitato europeo della protezione dei dati (EDPB), il quale aveva già sottolineato come il meccanismo di “sportello unico” (in inglese, “one-stop-shop”) richieda alcune migliorie, in particolare nella sua applicazione pratica.
Lo stato attuale delle attività di enforcement
Nei primi due anni di vigenza del GDPR, in Europa, sono state comminate complessivamente all’incirca 800 sanzioni per violazioni del Regolamento; la sanzione più alta ammonta all’incirca a 200 milioni di euro. Tuttavia, alcune autorità garanti europee non hanno ancora comminato alcuna sanzione (ad esempio, l’autorità garante del Lussemburgo).
La maggior parte delle sanzioni sono state però imposte attraverso procedure puramente nazionali; le sanzioni imposte tramite il meccanismo dello “sportello unico” sono infatti meno di dieci. Tale meccanismo si applica alle indagini che riguardano aziende che operano in più Stati membri e prevede che, al termine dell’attività investigativa, la decisione finale venga adottata dall’autorità di controllo dello Stato in cui si trova lo stabilimento principale (o lo stabilimento unico) della società sotto indagine, una volta sentite le autorità di controllo degli altri Paesi interessati.
Nella pratica, l’applicazione di questo meccanismo si è rilevata spesso complessa da un punto di vista procedurale, e oltremodo lenta. Ad esempio, svariate indagini iniziate più di due anni fa non hanno ancora superato tutti gli step procedurali che il meccanismo dello “sportello unico” prevede. Da qui l’invito rivolto della Commissione alle autorità garanti a migliorare la cooperazione tra di loro, e agli Stati Membri ad assicurarsi che le autorità garanti vengano dotate delle risorse umane e finanziare necessarie a svolgere in maniera adeguata le proprie attività di enforcement, comprese quelle di natura transnazionale. Con tutta probabilità, i rilievi effettuati dalla Commissione daranno origine ad alcuni cambiamenti per quanto riguarda l’enforcement del GDPR in Europa. Nel prosieguo di questo articolo verranno passati in rassegna alcuni dei principali.
Il registro delle decisioni come “sportello unico”
La risposta immediata dell’EDPB ai rilievi della Commissione è stata quella di pubblicare un registro in cui verranno pubblicate tutte o quasi le decisioni finali adottate secondo il meccanismo dello “sportello unico”, accompagnate da un riassunto in lingua inglese. Ciò rappresenta un chiaro segnale di voler dare più visibilità a questo tipo di procedure, garantendo al contempo maggiore trasparenza.
Il registro rappresenta uno strumento di estremo interesse per tutti quei cittadini e professionisti che intendano approfondire come funzionino nella pratica i meccanismi di enforcement a livello europeo, nonché per quelle aziende che intendano valutare e anticipare quali siano i trend europei in termini di enforcement, anche per gestire al meglio i rischi di compliance.
Più enforcement transnazionale
In risposta ai rilievi della Commissione, è probabile che si faccia un tentativo di rafforzare le attività di enforcement transnazionali e di renderle più incisive. Ciononostante, è ragionevole attendersi che problemi procedurali continueranno a persistere. Ad esempio, l’identificazione dell’autorità competente ad adottare la decisione finale nell’ambito di una procedura che segue il meccanismo dello “sportello unico” risulta spesso complessa, anche a causa dell’ambiguità della definizione di “stabilimento principale” fornita dal GDPR. Questo tipo di problemi interpretativi tendono a rallentare i processi decisionali, e potranno essere risolti solo con l’intervento della Corte di Giustizia Ue, una volta che questa verrà interpellata.
Il rafforzamento delle attività di enforcement interesserà con tutta probabilità anche le investigazioni che riguardano aziende extra-europee. Com’è noto, il GDPR ha esteso il campo di applicazione territoriale delle norme europee sulla protezione dei dati in modo da coprire anche le attività di trattamento degli operatori stranieri che sono attivi sul mercato europeo. Nonostante ciò, gli esempi di investigazioni che riguardano operatori privi di uno stabilimento in Europa sono molto limitati (qui un esempio di un’investigazione di questo tipo, condotta dal Garante norvegese). Questo tipo di investigazioni sono però destinate ad aumentare, anche alla luce del fatto che la Commissione ha sottolineato nella propria relazione che sarebbe opportuno inviare un chiaro messaggio agli operatori stranieri che la mancanza di uno stabilimento in Europa non li solleva dalle loro responsabilità ai sensi del GDPR.
Non solo sanzioni amministrative
Il GDPR attribuisce alle autorità di controllo svariati poteri correttivi, e non solo quello di imporre sanzioni amministrative. Infatti, i poteri correttivi di cui godono le autorità garanti ricomprendo tra gli altri anche quello di rivolgere ammonimenti o di imporre una limitazione provvisoria o definitiva al trattamento di dati personali, incluso il divieto di trattamento. Anche se questi poteri ulteriori sono stati già utilizzati in alcuni casi (un esempio recente è il blocco dell’app coronavirus norvegese imposto dal Garante norvegese), non tutte le autorità garanti europee hanno dimostrato di fare un pieno uso dei poteri di cui godono ai sensi del GDPR. È quindi legittimo attendersi che in futuro si farà un maggiore uso di misure alternative o complementari alle sanzioni amministrative.
Più contenzioso su questioni procedurali
Una maggiore incisività delle attività di enforcement è inevitabilmente destina a generare più contenzioso su questioni non soltanto sostanziali ma anche procedurali, anche davanti alla Corte di Giustizia Ue. I segnali già ci sono tutti: il primo caso sui poteri esercitabili dalle autorità garanti nel contesto del meccanismo dello “sportello unico” è già arrivato davanti alla Corte di Giustizia, e a breve ne arriverà un altro sulla legittimazione delle associazioni di consumatori ad agire in giudizio a tutela dell’interesse generale a far rispettare le disposizioni del GDPR. Il numero di casi di questo tipo è destinato a crescere, soprattutto alla luce del fatto che il meccanismo di “sportello unico” rappresenta un’assoluta novità nel panorama normativo europeo, e non esiste quindi una giurisprudenza consolidata sul funzionamento dello stesso.
Conclusione
In conclusione, è probabile che nei prossimi anni assisteremo ad un’evoluzione delle attività di enforcement legate all’applicazione del GDPR, e che le corti europee giocheranno un ruolo fondamentale nell’orientare questa evoluzione.
