Il 25 maggio 2021 si celebra il terzo anniversario dell’attuazione del GDPR (Regolamento generale sulla protezione dei dati), un’opportunità per fare il punto su alcune statistiche chiave del Garante per la protezione dei dati. Nonostante una crisi sanitaria senza precedenti, l’autorità di protezione dei dati ha continuato a operare a pieno regime, ricevendo in particolare un numero senza precedenti di reclami e notifiche di violazioni dei dati nell’ultimo anno GDPR: 1.902 reclami e 1.232 notifiche.

Un terzo anno di GDPR in cifre

Durante questo terzo anno successivo all’entrata in vigore del GDPR (dati dal 25/05/2020 al 20/05/2021), il DPA ha ricevuto:

• Notifiche di fuga di dati (ad esempio dati persi, rubati o compromessi)                                                       1232
• Richieste di informazioni                                                                                                                                         4333
• Reclami (*)
  (di cui 1120 riguardanti la recente fuga di dati da un social network)                                                            1902
• Richieste di mediazione (*)                                                                                                                                          85
• Richieste di pareri su progetti di legge, decreti e ordinanze
  Di cui 62 pareri da trattare con urgenza e 30 pareri riguardano testi relativi al Covid-19                           204
• Decisioni della Camera del Contenzioso accompagnate da sanzioni
• Per un totale di 131 sanzioni di cui 21 multe                                                                                                             73

La crisi sanitaria: un periodo cruciale per il rinnovato approccio APS

Nonostante l’afflusso di lavoro legato allo sviluppo della crisi sanitaria, l’APS non ha rallentato il suo passaggio a una nuova autorità che sia allo stesso tempo proattiva, focalizzata sulla condivisione della conoscenza e sulla sensibilizzazione, ma anche più efficace in termini di ispezioni e controllo .

Per diventare un vero e proprio centro di riferimento, l’APD ha intensificato gli sforzi per informare i cittadini, i titolari e i responsabili del trattamento attraverso le sue raccomandazioni, la giurisprudenza creata dalle sue decisioni, pareri e indagini, le sue lettere di risposta alle richieste di informazioni, un sito web completamente rinnovato, documenti pratici destinati alle PMI, un nuovissimo progetto avviato per supportare ancora meglio i DPO, ecc. Queste diverse iniziative non solo consentono di informare meglio i cittadini sulla protezione dei loro dati personali, ma anche di lavorare a monte per prevenire possibili violazioni.

Nell’ultimo anno, il DPA ha anche approvato il primo codice di condotta transnazionale adottato dall’entrata in vigore del GDPR. Il codice di condotta è un nuovo ed essenziale strumento GDPR che aiuta a rendere le regole GDPR più concrete per un settore specifico. In tal modo, è vantaggioso  (perché offre una certa “certezza giuridica”) e per i cittadini (perché offre un ulteriore livello di protezione).

Nonostante gli sforzi compiuti in termini di prevenzione, a volte è necessario reprimere. L’APD assume sempre più il ruolo di controllore ogni giorno. Circa 130 fascicoli di indagine sono stati inviati al servizio di ispezione (dal 25 maggio 2020), un numero che aumenta notevolmente di anno in anno. Anche il servizio di ispezione ha imposto per la prima volta un provvedimento provvisorio (in questo caso, alle Finanze di FPS) per evitare una situazione suscettibile di provocare danni gravi, immediati e di difficile riparazione. L’APD ha anche dovuto affrontare contenziosi sempre più complessi come casi transfrontalieri o casi che coinvolgono più titolari del trattamento o reclami ricevuti in massa (come ad esempio nel caso di una recente fuga di dati da un social network).

Durante lo scorso anno GDPR, il DPA non ha perso di vista le sue priorità strategiche, come la protezione della privacy online (inclusa un’indagine in corso sulla gestione dei cookie da parte di siti popolari in Belgio), i dati sensibili (i suoi vari “Covid-19 ”Pareri ad esempio) o delle autorità pubbliche ( apertura di un fascicolo riguardante il progetto denominato“ Messa Dati al Centro ”dalla Segreteria Generale, varie decisioni della Camera del Contenzioso, ecc.).

L’elevato volume di reclami e richieste di mediazione pervenuti (1987 contro 351 nel secondo anno del GDPR ), di notifiche di fuga di dati (1232 contro 937), l’aumento delle ispezioni da effettuare, o anche ad esempio testi normativi sottoposto ad esso per parere, tuttavia, ricorda che il DPA non potrà continuare la sua evoluzione verso un’autorità di riferimento per la protezione dei dati in Europa se non riceve i mezzi adeguati alle sfide del GDPR e all’aumento del suo carico di lavoro.

Ogni giorno l’Autorità assume sempre più titolarità del suo nuovo ruolo, è sulla buona strada per realizzare con successo il piano strategico 2020-2025 . La semplificazione e l’applicazione delle regole sono fondamentali in questo senso: informa chi tratta i dati nel miglior modo possibile sui propri obblighi, sensibilizzando anche i cittadini sui propri diritti. Quando necessario, avvia anche indagini e / o impone sanzioni.

Piano strategico 2020-2025: 

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DEL BELGIO