Commissione Europea, pubblicata la seconda relazione sullo Stato di Applicazione del GDPR

Lo scorso 24 luglio, la Commissione Europea ha pubblicato la seconda relazione sullo stato di applicazione del GDPR, una relazione che sottolinea diversi aspetti cruciali e sfide che i responsabili della protezione dei dati (DPO) e le organizzazioni sono tenuti ad affrontare.

I punti salienti:

Ruolo e Sfide per i DPO - Queste figure svolgono un ruolo fondamentale nel garantire la conformità al GDPR. La relazione sottolinea che, anche se la maggior parte dei DPO nell'UE possiede le competenze necessarie e la loro indipendenza sia generalmente rispettata, vi sono ancora sfide aperte, come la difficoltà nel nominare DPO qualificati che siano in possesso delle corrette competenze.

Mancano inoltre standard formativi a livello UE e si registra l'assenza di linee guida uniformi per l'istruzione e la formazione dei DPO, fatto che è origine di disparità. Un altro problema ravvisato è l'insufficiente integrazione nei processi aziendali: I DPO non sempre sono adeguatamente integrati nelle strutture organizzative. Da segnalare inoltre la carenza di risorse e i compiti extra non legati alla protezione dei dati. I DPO possono essere infatti dover svolgere compiti aggiuntivi che non rientrano nel loro ambito principale. Un'insufficiente anzianità di servizio, che può limitare l'efficacia dei DPO, completa il quadro.

Statistiche sui Reclami e Sanzioni - I paesi con il maggior numero di reclami sono stati Germania (32 300), Italia (30 880), Spagna (15 128), Paesi Bassi (13 133) e Francia (12 193), mentre il numero più basso è stato registrato in Liechtenstein (40), Islanda (140) e Croazia (271).

Le sanzioni pecuniarie totali irrogate ammontano a circa 4,2 miliardi di euro. L'Irlanda è al primo posto per l'importo delle sanzioni (2,8 miliardi di EUR), seguita dall’’autorità lussemburghese (746 milioni di EUR), italiana (197 milioni di EUR) e francese (131 milioni). Il Liechtenstein (9 600 EUR), l'Estonia (201 000 EUR) e la Lituania (435 000 EUR) hanno irrogato le sanzioni pecuniarie dall'importo più basso. Questa situazione evidenzia la necessità di un'applicazione più coerente e coordinata del GDPR.

Divergenze interpretative 

Permangono interpretazioni divergenti del GDPR tra le autorità di protezione dei dati degli Stati membri e questo crea incertezze legali e costi aggiuntivi per le imprese. Le questioni più critiche includono la base giuridica per il trattamento dei dati personali nella ricerca scientifica e il ruolo del consenso. E' da registrare una forte richiesta da parte dei portatori di interesse per ulteriori linee guida, in particolare su temi come l'anonimizzazione, la pseudonimizzazione e il legittimo interesse. Il comitato europeo per la protezione dei dati continuerà a lavorare per fornire chiarimenti e garantire l'applicazione coerente del GDPR.

Il comitato è composto dalla figura di vertice di un'autorità di controllo per ciascuno Stato membro e dal Garante europeo della protezione dei dati, con la partecipazione della Commissione senza diritto di voto. Il comitato, coadiuvato nel suo lavoro dalla sua segreteria, ha il compito di garantire l'applicazione coerente del GDPR; dall’approvazione del GDPR a novembre 2023 il comitato ha adottato 35 documenti di orientamento.