Al decorrere del secondo anniversario del GDPR, la commissione Europea ha pubblicato un report per verificare e valutare i risultati raggiunti dall’entrata in vigore del regolamento nel maggio 2018.
Il report, previsto dall’articolo 97 del regolamento, ha come obiettivo principale quello di fornire una valutazione e un riesame complessivo dell’applicazione del GDPR nell’Unione, con un focus particolare rispetto al trattamento e trasferimento internazionale e al meccanismo di cooperazione interna tra le autorità garanti e il Comitato Europeo per la Protezione dei dati.
“Il GDPR ha raggiunto con successo i suoi obiettivi”, ha sottolineato Didier Reynders, Commissario europeo alla Giustizia. Nel complesso, la Commissione si ritiene soddisfatta dei risultati raggiunti in due anni, soprattutto rispetto al rafforzamento della tutela del diritto alla protezione dei dati personali e la libera circolazione dei dati personali all’interno dell’Ue. Il regolamento ha contribuito alla creazione di un solido sistema di diritti applicabili in tutti gli Stati membri, introducendo di fatto un nuovo sistema europeo di governance nel settore, e costituendo uno degli strumenti fondamentali a sostegno della strategia digitale dell’Unione presentata lo scorso febbraio. Il report tuttavia individua anche una serie di lacune da colmare e azioni da intraprendere per rafforzare e dare piena applicazione al GDPR.
Un primo punto riguarda l’applicazione del regolamento e la sua coerenza rispetto al funzionamento dei meccanismi di cooperazione a livello europeo. Il GDPR ha di fatto istituito un nuovo sistema di governance, basato sulla cooperazione tra autorità garanti dei singoli Stati membri e con la supervisione del Comitato europeo per la protezione dei dati. Per quanto si siano raggiunti risultati senza precedenti, in particolare rispetto a casi transfrontalieri, lo sviluppo di una cultura europea della protezione dei dati realmente comune tra le autorità di protezione dei dati è ancora un processo in corso. In effetti dalla valutazione della Commissione emerge una situazione ancora disomogenea tra gli Stati membri, che dovrà quindi essere affrontata attraverso un maggior ricorso agli strumenti previsti dal regolamento.
Strettamente legata al punto precedente, una seconda valutazione riguarda l’effettiva armonizzazione delle regole all’interno dei singoli Stati membri. La Commissione ha valutato l’attuazione del GDPR nella legislazione nazionale e se da un lato è emerso che, ad eccezione della Slovenia, tutti gli Stati membri hanno adottato nuove leggi o adattato la normativa nazionale sulla protezione dei dati, dall’altro le modalità di recepimento lasciano spazio a numerosi punti di incoerenza tanto normativa quanto definitoria. L’omogeneità del sistema è un requisito considerato fondamentale dalla Commissione al fine di assicurare un efficace funzionamento del mercato interno e alleggerire le imprese (soprattutto transfrontaliere) da oneri relativi al recepimento di diversi regimi normativi.
Un aspetto positivo emerso dalla valutazione effettuata dalla Commissione consiste nell’incremento della consapevolezza tra i cittadini europei rispetto al tema della protezione dei dati e ai diritti ad esso collegati. Secondo un’indagine dell’Agenzia europea per i diritti fondamentali, il 69% della popolazione europea di età superiore ai 16 anni ha sentito parlare di GDPR e il 71% delle persone è a conoscenza dell’esistenza di un’autorità garante a livello nazionale. Inoltre, si è riscontrato un aumento dei cittadini in grado di ricollegare quali diritti rientrano all’interno di quelli protetti dal regolamento, quali i diritti di accesso, rettifica, cancellazione e portabilità dei loro dati personali, il diritto di opporsi a un trattamento, il diritto all’oblio.
Un punto rispetto al quale sin dall’entrata in vigore del GDPR non erano mancate voci di dissenso e preoccupazione riguarda le opportunità e le sfide per le realtà imprenditoriali europee, in particolar modo per le piccole e medie imprese. Se il GDPR, ha come l’obiettivo di uniformare la protezione e il trattamento dei dati a livello europeo, con la promozione della concorrenza, l’innovazione e la libera circolazione dei dati all’interno del mercato unico, alcune parti interessate continuano a lamentare difficoltà nell’applicazione delle norme previste dal regolamento, soprattutto a livello di piccole e medie imprese (PMI).
Un ultimo spunto interessante contenuto nel report riguarda la promozione della cooperazione internazionale nel settore della protezione dei dati. L’adozione del GDPR ha stimolato altri Paesi in molte regioni del mondo a prendere in considerazione l’opportunità di seguire l’esempio. Attualmente a livello globale numerosi Stati hanno deciso di introdurre strumenti che si ispirano al regolamento europeo, tra i quali spiccano il Cile, il Brasile, la California, la Corea del Sud, il Giappone, l’India l’Indonesia e il Kenya. Ciò offre nuove opportunità per proteggere gli individui non solo all’interno dei confini europei, ma anche rispetto al trasferimento dei dati verso l’esterno e, allo stesso tempo, contribuisce a facilitare i flussi di dati a livello globale. In quest’ottica la Commissione ha intensificato il dialogo internazionale a livello di forum bilaterali, regionali e multilaterali per promuovere una cultura globale di rispetto dei diritti e sviluppare elementi di convergenza tra i diversi sistemi di tutela della privacy.