La Commissione europea ha pubblicato la sua relazione sulla revisione e la valutazione del regolamento generale, che è tenuto a realizzare due anni dopo la sua attuazione. La relazione rileva che il regolamento generale ha raggiunto con successo i suoi obiettivi di rafforzamento dei diritti delle persone per quanto riguarda la protezione dei dati personali e la libera circolazione dei dati all’interno dell’UE. Sottolinea che è troppo presto per le sentenze definitive sull’applicazione del regolamento generale e che è probabile che molte questioni vengano risolte nei prossimi anni con una maggiore esperienza nell’applicazione del regolamento. Tuttavia, evidenzia alcuni settori in cui sono necessari miglioramenti, in particolare finanziamenti adeguati per le autorità di controllo della protezione dei dati ed evitare la frammentazione delle norme negli Stati membri. La Slovenia è esposta come unico stato membro dell’UE che non ha ancora implementato il nuovo quadro legislativo.
Nella sua relazione (1), la Commissione europea sottolinea l’importanza di finanziamenti adeguati per le autorità nazionali di vigilanza, poiché questo è l’unico modo per garantire un efficace monitoraggio del rispetto delle norme del regolamento generale. Complessità di controllo ad es. i giganti della tecnologia possono essere eguagliati solo da autorità di vigilanza adeguatamente rafforzate, in termini di risorse umane, finanziarie e tecniche.
Ricorda agli Stati membri che utilizzeremo le nostre risorse proprie, compresi i procedimenti formali contro gli Stati membri, per garantire finanziamenti adeguati per le autorità di vigilanza. Sottolinea inoltre che le autorità di controllo non hanno ancora utilizzato tutti gli strumenti a loro disposizione, non hanno ancora imposto tutte le ammende e c’è poca esperienza con le ispezioni congiunte di diverse autorità. Un controllo efficace, in particolare delle grandi società tecnologiche e nel campo del marketing personalizzato e del targeting politico, è la chiave per proteggere i diritti delle persone.
Una delle aree evidenziate in cui sono ancora necessari miglioramenti sono le procedure transfrontaliere per la cooperazione nel controllo delle grandi società tecnologiche, in cui vi sono ostacoli dovuti alle differenze nelle norme procedurali nazionali e nelle interpretazioni della legge. Come sottolineato dal comitato europeo per la protezione dei dati nel suo contributo alla valutazione del regolamento generale (2), le autorità di controllo a livello di EDPB sono attivamente alla ricerca di soluzioni e orientamenti comuni per l’interpretazione delle disposizioni del regolamento generale, ma le differenze nelle norme nazionali rappresentano un ostacolo importante.
La relazione della Commissione europea evidenzia inoltre la frammentazione delle norme negli Stati membri e la disparità di attuazione del quadro di protezione dei dati personali, che crea un onere per le organizzazioni e le ambiguità giuridiche e quindi livelli di disparità di protezione dei diritti delle persone.
Ad esempio, cita le disposizioni nazionali sull’età in cui i minori possono acconsentire a determinati trattamenti di dati personali e vanno dai 13 ai 18 anni. La Commissione europea sottolinea che le norme nazionali, sebbene consentite in alcuni casi dal regolamento generale, non dovrebbero disciplinare le aree oltre i limiti consentiti dal regolamento o aggiungere obblighi qualora il regolamento non li preveda. Si evidenzia anche la Slovenia, in quanto unico Stato membro dell’UE che non ha ancora attuato il nuovo quadro legislativo ed è stato invitato a chiarirlo.
Tra le proposte per potenziali future modifiche al regolamento generale, la Commissione europea mette in evidenza le strutture per le PMI in cui il trattamento dei dati personali non fa parte del core business dell’azienda, ma aggiunge che la dimensione dell’organizzazione non è l’unico indicatore dei diritti individuali.