Il Parlamento UE fa il “tagliando” al GDPR: ecco le indicazioni pratiche per le imprese - Cyber Security 360

GUIDA NORMATIVA

Il Parlamento UE fa il “tagliando” al GDPR: ecco le indicazioni pratiche per le imprese

Il Parlamento europeo ha adottato lo scorso 25 marzo la risoluzione sulla relazione di valutazione della Commissione per l’attuazione del GDPR: ecco gli accorgimenti operativi e le indicazioni pratiche che i titolari del trattamento devono considerare nell’adozione e implementazione degli adempimenti in materia di data protection

04 Giu 2021
P
Stefano Petrussi

Avvocato, Partner Floreani Studio Legale Associato

Il Parlamento europeo con risoluzione del 25 marzo 2021 ha espresso le proprie valutazioni sulla relazione della Commissione riguardante l’attuazione del GDPR (“General Data Protection Regulation”) tre anni dopo la sua applicazione: la risoluzione offre utili indicazioni pratiche e spunti operativi ai titolari del trattamento sulle attività di rafforzamento e implementazione delle politiche e degli adempimenti di compliance GDPR.

Il “tagliando” al GDPR: indicazioni pratiche per le aziende

Con il documento in parola l’organo legislativo dell’UE invita le imprese a considerare attentamente nelle politiche e sistemi di data governance i seguenti accorgimenti operativi:

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Business Analytics
Business Intelligence
  • fare affidamento su una sola base giuridica per ciascuna finalità delle attività di trattamento, specificando in che modo ciascuna base giuridica sia invocata per le operazioni di trattamento;
  • effettuare una valutazione di impatto sulla protezione dei dati (DPIA) qualora sia probabile che il trattamento dei dati comporti un rischio elevato per i diritti e le libertà delle persone fisiche;
  • acquisire un previo consenso informato, libero, specifico e documentato dall’interessato, nel rispetto dei principi stabiliti dal Regolamento e delle linee guida dell’EDPB e non utilizzare modelli “occulti” e non trasparenti;
  • effettuare un “balancing test” per individuare il corretto bilanciamento tra i propri interessi e quelli degli interessati prima di invocare la base giuridica del legittimo interesse (spetto utilizzata impropriamente);
  • agevolare l’esercizio dei diritti degli interessati e, in particolare, il diritto di accesso, portabilità e maggiore trasparenza.

Da quanto sopra emerge, pertanto, la necessità per i titolari del trattamento di tenere attentamente in considerazione queste indicazioni pratiche sul GDPR, diverse delle quali riguardano aspetti su cui le aziende spesso non si attengono puntualmente ai principi stabiliti dal Regolamento e alle linee guida emanate dal Board dei Garanti UE, non adeguando così i propri adempimenti al continuo evolversi del framework normativo in materia.

Bilancio sull’applicazione del GDPR: luci e ombre

In via preliminare, deve notarsi come la risoluzione (Risoluzione del Parlamento europeo B9-0211/2021) valuti positivamente il fatto che il GDPR sia diventato il riferimento mondiale in materia di data protection e che diversi paesi terzi si siano ispirati al GDPR per la redazione e l’aggiornamento delle proprie norme in materia (punto 1 della Risoluzione cit.).

Nello specifico, il Parlamento “conclude che, due anni dopo la sua entrata in applicazione, il GDPR può essere globalmente considerato un successo e concorda con la Commissione sul fatto che allo stato attuale non è necessario che sia sottoposto ad aggiornamento o riesame” (punto 2, cit.).

Nello stesso tempo, tuttavia, l’organo legislativo dell’UE riconosce la necessità di migliorare l’attuazione e le azioni volte a rafforzare l’applicazione del GDPR che, come viene ben sottolineato dalla Risoluzione, “essendo tecnologicamente neutro”, rappresenta “un valido quadro normativo per le tecnologie emergenti” (punto 37 cit.).

Sul punto, tra le principali criticità menzionate dal Parlamento europeo, si segnala “l’attuazione disomogenea e talvolta inesistente del GDPR da parte delle autorità nazionali di protezione dei dati” (punto 12, cit.), la circostanza che “l’importo delle sanzioni pecuniarie vari notevolmente da uno Stato membro all’altro e che alcune sanzioni imposte a imprese di grandi dimensioni siano troppo basse per avere l’effetto deterrente previsto per le violazioni della protezione dei dati” (punto 13 cit.).

Con riferimento ai suddetti profili, il Parlamento richiama l’urgente necessità di dotare le autorità di protezione dei dati delle risorse umane, tecniche e finanziarie necessarie per adempiere in modo efficace i loro compiti ed esercitare i loro poteri e invita la Commissione (e l’EDPB) ad armonizzare le sanzioni pecuniarie mediante la definizione di linee guida e criteri chiari.

GDPR, indicazioni pratiche: misure organizzative e tecniche

L’analisi della risoluzione del Parlamento europeo è dunque l’occasione per fare il punto sugli obblighi di compliance GDPR con un focus particolare sulle misure tecniche e organizzative da adottare.

Base giuridica del trattamento

Tra i punti più salienti evidenziati dalla Risoluzione che riguardano da vicino le imprese, anzitutto si sottolinea l’invito rivolto dal Parlamento nei confronti delle autorità di controllo nazionali “a precisare che i titolari del trattamento debbano fare affidamento su una sola base giuridica per ciascuna finalità delle attività di trattamento, e a specificare in che modo ciascuna base giuridica sia invocata per le loro operazioni di trattamento” (punto 5, cit.).

Al riguardo, il Parlamento osserva come frequentemente i titolari del trattamento richiamino tutte le basi giuridiche previste dal GDPR senza un’ulteriore spiegazione e senza fare riferimento alla specifica operazione di trattamento interessata.

Trattasi di un approccio – come evidenziato anche dall’attività provvedimentale del Garante italiano – che ostacola evidentemente la capacità degli interessati e delle autorità di controllo di valutare se tali basi giuridiche siano appropriate.

Valutazione di impatto sulla protezione dei dati

Deve rilevarsi, poi, come il Parlamento rammenti ai titolari del trattamento il loro obbligo giuridico di effettuare una valutazione d’impatto sulla protezione dei dati qualora sia probabile che il trattamento dei dati comporti un rischio elevato per i diritti e le libertà delle persone fisiche (punto 5, cit.).

L’esecuzione corretta e tempestiva della DPIA (“data protection impact assessment”) consente, infatti, di attuare il principio di “responsabilizzazione” e così gestire adeguatamente i rischi elevati dei trattamenti.

Consenso informato

Degne di nota sono le valutazioni relative al consenso informato e alla base giuridica del legittimo interesse.

L’organo legislativo europeo evidenzia, infatti, come i titolari del trattamento utilizzino modelli “occulti” che non tengono conto degli orientamenti dell’EDPB (in particolare, le “Guidelines 05/2020 on consent under Regulation 2016/679”, adottate il 4 maggio 2020) e che “nei casi in cui l’interessato abbia inizialmente prestato il suo consenso ma i dati personali siano ulteriormente trattati per una finalità diversa da quella per la quale l’interessato ha prestato il consenso, il consenso iniziale non può legittimare un ulteriore trattamento, in quanto il consenso, per essere valido, deve essere informato e specifico” (punto 6, cit.).

Legittimo interesse

Proseguendo nell’intrapresa disamina, emerge, inoltre, come il Parlamento esprima preoccupazione per il fatto che il legittimo interesse è molto spesso citato in modo improprio come base giuridica del trattamento nelle informative rese agli interessati.

I titolari del trattamento” – osserva il Parlamento – “continuano a basarsi sul legittimo interesse senza effettuare il necessario esame del bilanciamento degli interessi, che comprende una valutazione dei diritti fondamentali” (punto 7, cit.).

A questo proposito, il Parlamento UE, inoltre, “esprime preoccupazione per il fatto che alcuni Stati membri stanno adottando una legislazione nazionale per determinare le condizioni per il trattamento sulla base del legittimo interesse, prevedendo il bilanciamento dei rispettivi interessi del titolare del trattamento e delle persone interessate, mentre il GDPR obbliga ogni singolo titolare del trattamento a effettuare tale esame del bilanciamento a livello individuale e ad avvalersi di tale fondamento giuridico” (punto 7, cit.).

Diritti degli interessati

Relativamente alla tematica sui diritti degli interessati, l’organo europeo sottolinea la necessità di agevolare l’esercizio dei diritti individuali sanciti dal Regolamento, tra cui la portabilità dei dati e i diritti riguardanti il trattamento automatizzato, inclusa la profilazione.

Sul tema, il Parlamento esorta i titolari del trattamento a fornire informazioni in modo conciso, trasparente, intelligibile e facilmente accessibile, evitando “di adottare un approccio legalistico nell’elaborazione delle informazioni da fornire all’interessato” (punti 8 e 9, cit.).

Da ciò consegue che i titolari del trattamento sono tenuti all’adozione di misure appropriate che consentano di gestire la ricezione e il tempestivo riscontro agli interessati nonché a documentare il rispetto degli obblighi imposti dal principio di accountability.

L’applicazione del GDPR da parte delle PMI

Resta da fare un cenno alle considerazioni svolte dal Parlamento europeo sul tema concernente l’applicazione del quadro regolatorio in materia di protezione dei dati da parte delle piccole e medie imprese (PMI).

In specie, il Parlamento osserva che alcuni stakeholder hanno segnalato che “l’applicazione del GDPR è stata particolarmente complessa”, specialmente per le PMI, rilevando, tuttavia, che “molti diritti e obblighi previsti dal GDPR non sono nuovi ma erano già prescritti dalla direttiva 95/46/CE, sebbene scarsamente applicati”.

In questo contesto, è bene notare che l’organo europeo evidenzi come “il GDPR e la sua applicazione non debbano comportare per le imprese più piccole conseguenze indesiderate a livello di conformità che non verrebbero riscontrate dalle grandi imprese” (punto 10, cit.).

Lo stesso Parlamento sottolinea, inoltre, come non esistano “deroghe per le PMI (…) e che tali entità rientrano nell’ambito di applicazione del GDPR”, invitando, pertanto, da un lato, l’EDPB a fornire informazioni chiare per evitare qualsiasi incertezza in ordine all’interpretazione del GDPR e, dall’altro, “a creare uno strumento pratico del GDPR per agevolare l’attuazione del Regolamento da parte delle PMI” (punto 11, cit.).

GDPR, indicazioni pratiche: il ruolo delle Autorità

In conclusione, con l’auspicio che in un futuro non troppo lontano siano adottate dal Garante italiano le tanto attese Linee guida riguardanti le misure organizzative e tecniche che consentano alle micro, piccole e medie imprese (PMI) di semplificare gli adempimenti di compliance GDPR (come previsto dall’art. 154 bis, comma 4 del D. Lgs. n. 196/2003 novellato dal D. Lgs. n. 101/2018), si rileva l’importanza degli accorgimenti operativi e delle indicazioni pratiche evidenziate dal Parlamento Europeo alle imprese per applicare correttamente i principi in materia.

Tali raccomandazioni, infatti, possono indubbiamente fungere da utili linee guida per orientare e supportare le scelte dei titolari del trattamento ai fini dell’adozione delle necessarie misure tecnico-organizzative per rendere i trattamenti conformi al framework normativo di riferimento e per documentare le proprie scelte all’Autorità di controllo.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5