TUTELA DEI DATI PERSONALI
Commissione UE: pubblicato il rapporto sul GDPR del Multistakeholder Expert Group.
Il Multistakeholder Expert Group, il gruppo di esperti della Commissione UE sul regolamento generale sulla protezione dei dati (GDPR) ha pubblicato il suo rapporto sull'applicazione del GDPR.
Vi sono stati sviluppi positivi, tra cui un aumento della conformità dei trattamenti UE alle regole sulla protezione dei dati e della consapevolezza degli aventi diritto, oltre a maggiori controlli effettuati dalle persone fisiche sul trattamento dei loro dati. Il rapporto ha anche evidenziato un maggiore ricorso al diritto di accesso e al diritto alla cancellazione, ma ha rilevato che c'è ancora mancanza di consapevolezza tra gli interessati sui loro diritti e su come esercitarli nella pratica, soprattutto per quanto riguarda il diritto di non essere soggetti a un processo decisionale automatizzato ai sensi dell'articolo 22 del GDPR.
Sempre in tema di attuali scenari circa l’esercizio dei diritti data protection, per quanto riguarda il diritto alla portabilità dei dati, il rapporto ha suggerito che la mancanza di consapevolezza circa il diritto alla portabilità dei dati è dovuta alla potenziale assenza di standardizzazione dei formati dei dati e al potenziale rischio che nel trasferire i dati a un'altra organizzazione possano esservi limitazioni o impatti sui diritti e sulle libertà fondamentali.
Quanto alla applicazione dei principi di protezione dei dati ai sensi del GDPR, criticità sono state rilevate circa i principi di minimizzazione dei dati e di limitazione dei tempi di conservazione. Sul principio di trasparenza, il rapporto ha evidenziato le preoccupazioni di molte organizzazioni, in particolare circa i rischi di impiego di termini vaghi o troppo complicati considerati non in linea con il GDPR.
Una particolare criticità è inoltre emersa circa il rapporto tra l'applicazione del GDPR e altri regolamenti o direttive della UE, come quelli relativi gli obblighi antiriciclaggio (AML) o la direttiva sui servizi di pagamento (PSD2). In questa prospettiva, il rapporto ha anche evidenziato la necessità di una maggiore chiarezza sull'interazione tra il GDPR e la prossima legge dell'UE sull'intelligenza artificiale (AI Act).
Anche l’adozione delle nuove clausole contrattuali standard (SCC) per i trasferimenti di dati a titolari e responsabili del trattamento al di fuori dell'UE il cui trattamento è soggetto al GDPR è un punto che il rapporto ha rilevato come critico a causa dell'ambiguità giuridica relativa ai requisiti applicabili che non sono ancora stati precisati da linee guida del Comitato europeo per la protezione dei dati (EDPB). La questione è ulteriormente complicata dai pareri potenzialmente contrastanti emessi dalle autorità nazionali di protezione dei dati sui trasferimenti transfrontalieri e dalla mancanza di coordinamento tra dette autorità, con differenze nelle procedure nazionali che hanno portato a decisioni incoerenti.
Vi sono stati sviluppi positivi, tra cui un aumento della conformità dei trattamenti UE alle regole sulla protezione dei dati e della consapevolezza degli aventi diritto, oltre a maggiori controlli effettuati dalle persone fisiche sul trattamento dei loro dati. Il rapporto ha anche evidenziato un maggiore ricorso al diritto di accesso e al diritto alla cancellazione, ma ha rilevato che c'è ancora mancanza di consapevolezza tra gli interessati sui loro diritti e su come esercitarli nella pratica, soprattutto per quanto riguarda il diritto di non essere soggetti a un processo decisionale automatizzato ai sensi dell'articolo 22 del GDPR.
Sempre in tema di attuali scenari circa l’esercizio dei diritti data protection, per quanto riguarda il diritto alla portabilità dei dati, il rapporto ha suggerito che la mancanza di consapevolezza circa il diritto alla portabilità dei dati è dovuta alla potenziale assenza di standardizzazione dei formati dei dati e al potenziale rischio che nel trasferire i dati a un'altra organizzazione possano esservi limitazioni o impatti sui diritti e sulle libertà fondamentali.
Quanto alla applicazione dei principi di protezione dei dati ai sensi del GDPR, criticità sono state rilevate circa i principi di minimizzazione dei dati e di limitazione dei tempi di conservazione. Sul principio di trasparenza, il rapporto ha evidenziato le preoccupazioni di molte organizzazioni, in particolare circa i rischi di impiego di termini vaghi o troppo complicati considerati non in linea con il GDPR.
Una particolare criticità è inoltre emersa circa il rapporto tra l'applicazione del GDPR e altri regolamenti o direttive della UE, come quelli relativi gli obblighi antiriciclaggio (AML) o la direttiva sui servizi di pagamento (PSD2). In questa prospettiva, il rapporto ha anche evidenziato la necessità di una maggiore chiarezza sull'interazione tra il GDPR e la prossima legge dell'UE sull'intelligenza artificiale (AI Act).
Anche l’adozione delle nuove clausole contrattuali standard (SCC) per i trasferimenti di dati a titolari e responsabili del trattamento al di fuori dell'UE il cui trattamento è soggetto al GDPR è un punto che il rapporto ha rilevato come critico a causa dell'ambiguità giuridica relativa ai requisiti applicabili che non sono ancora stati precisati da linee guida del Comitato europeo per la protezione dei dati (EDPB). La questione è ulteriormente complicata dai pareri potenzialmente contrastanti emessi dalle autorità nazionali di protezione dei dati sui trasferimenti transfrontalieri e dalla mancanza di coordinamento tra dette autorità, con differenze nelle procedure nazionali che hanno portato a decisioni incoerenti.
