Regolamento - 27/04/2016 - n. 679 art. 97 - Relazioni della CommissioneRelazioni della Commissione 1.Entro il 25 maggio 2020 e, successivamente, ogni quattro anni, la Commissione trasmette al Parlamento europeo e al Consiglio relazioni di valutazione e sul riesame del presente regolamento1. 2. Nel contesto delle valutazioni e del riesame del presente regolamento di cui al paragrafo 1, la Commissione esamina, in particolare, l'applicazione e il funzionamento: a) del capo V sul trasferimento di dati personali verso paesi terzi o organizzazioni internazionali, con particolare riguardo alle decisioni adottate ai sensi dell'articolo 45, paragrafo 3, del presente regolamento, e alle decisioni adottate sulla base dell'articolo 25, paragrafo 6, della direttiva 95/46/CE; b) del capo VII su cooperazione e coerenza. 3. Ai fini del paragrafo 1, la Commissione può richiedere informazioni agli Stati membri e alle autorità di controllo. 4. Nello svolgere le valutazioni e i riesami di cui ai paragrafi 1 e 2, la Commissione tiene conto delle posizioni e delle conclusioni del Parlamento europeo, del Consiglio, nonché di altri organismi o fonti pertinenti. 5. Se del caso, la Commissione presenta opportune proposte di modifica del presente regolamento tenuto conto, in particolare, degli sviluppi delle tecnologie dell'informazione e dei progressi della società dell'informazione. InquadramentoAi sensi dell'art. 97 del GDPR, entro il 25 maggio 2020, dopodiché periodicamente ogni quattro anni, la Commissione europea deve effettuare un riesame e fornire una valutazione dell'adeguatezza, applicazione e attualità delle disposizioni del GDPR, tenendo conto degli ulteriori sviluppi delle tecnologie dell'informazione e, in generale, di raccolta e trattamento dei dati personali, allo scopo di determinare se sia necessario modificare tali disposizioni. Analogamente a quanto previsto nelle relazioni di valutazione e riesame effettuate in passato dalla Commissione, la relazione in oggetto dovrebbe esaminare anche le implicazioni del GDPR per i diritti fondamentali, nonché l'impatto sulle organizzazioni allo stesso soggette, tenendo in conto altresì di eventuali discussioni condotte con gli Stati membri, gli esperti e le parti interessate (si cita, in particolare, la Relazione della Commissione al Consiglio e al Parlamento Europeo di valutazione dell'applicazione della direttiva sulla conservazione dei dati (Direttiva 2006/24/CE). Il riesame ex post del GDPR previsto dall'art. 97, pertanto, consiste in uno strumento programmatico che porta alla redazione di un documento di relazione che contenga un bilancio retrospettivo di uno o tutti gli aspetti del GDPR, della sua efficacia ed efficienza, della pertinenza rispetto a bisogni e obiettivi, della coerenza sia interna che con interventi nell'ambito di altre politiche dell'UE, nonché del valore aggiunto dell'UE conseguito (cfr. Relazione Speciale della Corte dei Conti europea n. 16/2018 e SEC(2011) 867 “The added value of the EU budget”). Il riesame ex post della legislazione costituisce un elemento fondamentale della politica della Commissione europea, evidenziando la flessibilità ed adattabilità della materia alle esigenze sociali: le clausole di riesame, infatti, sono ampiamente utilizzate nella normativa UE, i riesami ex post sono disponibili e accessibili al pubblico e gran parte di essi fornisce una conclusione chiara e indica i successivi interventi da attuare. La Commissione ha riconosciuto l'importanza di condurre adeguate valutazioni retrospettive sulla qualità della legislazione in diverse occasioni negli ultimi venti anni (dal 1996, la Commissione richiede che i propri servizi svolgano valutazioni ex post su tutti i programmi di spesa), e la relazione di riesame e valutazione, ai sensi dell'art. 97 in oggetto, va trasmessa ai co-legislatori (Parlamento europeo e Consiglio), che esaminano la relazione e, ove opportuno, agiscono fornendo risposta o chiedendo chiarimenti alla Commissione (Relazione Speciale della Corte dei Conti europea n. 16/2018). Il riesame ex post e valutazione della Commissione, in particolare, dovrà avere per oggetto l'applicazione e il corretto funzionamento delle seguenti disposizioni di cui al GDPR. Disposizioni sul trasferimento di dati personali verso paesi terzi o organizzazioni internazionaliCoerentemente con quanto previsto dal considerando 106 del GDPR, è opportuno che la Commissione controlli il funzionamento delle decisioni sul livello di protezione in un Paese terzo, in un territorio o settore specifico all'interno di un Paese terzo, o un'organizzazione internazionale, e monitorare il funzionamento delle decisioni precedentemente adottate sulla base della Direttiva (cfr. art. 25, par. 6, e art. 26, par. 4 della Direttiva), attraverso la previsione di un meccanismo di riesame periodico da effettuare in consultazione con il Paese terzo o l'organizzazione internazionale in questione e tenere conto di tutti gli sviluppi pertinenti. Il meccanismo di riesame e valutazione delle decisioni di adeguatezza, inoltre, è espressamente previsto dall'art. 45, par. 3 GDPR che, oltre a stabilire le modalità di riesame citate al considerando 106, ne stabilisce l'obbligatoria periodicità di quattro anni (cfr., sul punto, anche EDPB, Adequacy Referential, [wp254 rev. 01]). Per quanto concerne i criteri da tenere in considerazione ai fini del riesame delle decisioni di adeguatezza, il citato art. 45 nonché l'art. 97, che richiama quest'ultimo, si limitano a menzionare «tutti gli sviluppi pertinenti nel paese terzo o nell'organizzazione internazionale». In realtà, al fine di fornire un'indicazione più precisa di tali criteri, occorre muoversi dalla considerazione che essi dovranno essere sostanzialmente analoghi agli “indici di adeguatezza” che la Commissione deve tenere in conto in sede di emissione della relativa decisione: in particolare, il modo in cui Paese terzo rispetta lo stato di diritto, l'accesso alla giustizia e le norme e gli standard internazionali in materia di diritti dell'uomo, la legislazione generale e settoriale riguardante la sicurezza pubblica, la difesa e la sicurezza nazionale, l'ordine pubblico e il diritto penale, le specifiche attività di trattamento e l'ambito di applicazione delle norme giuridiche e degli atti legislativi applicabili in vigore nel Paese terzo, il controllo indipendente della protezione dei dati e i meccanismi di cooperazione con autorità di protezione dei dati degli Stati membri, i diritti effettivi e azionabili garantiti agli interessati anche in sede amministrativa e giudiziale (cfr. considerando 103, 105). Un recentissimo esempio di decisione di adeguatezza contenente espressi riferimenti alle modalità e criteri con cui ne sarà effettuato il riesame è rappresentato dalla Decisione della Commissione del 23 gennaio 2019 sull'adeguata protezione dei dati personali garantita dal Giappone ai sensi della relativa legislazione privacy (Commission Implementing Decision of 23.1.2019 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by Japan under the Act on the Protection of Personal Information). In particolare, nella citata Decisione si stabilisce espressamente (cfr. Annex II, Sec. IV) che, ai fini dell'applicazione dell'art. 45 del GDPR, nonché alla luce del fatto che il livello di protezione offerto dal quadro normative giapponese potrà subire dei cambiamenti, la Commissione verificherà periodicamente la corretta applicazione degli obblighi e il rispetto dei principi stabiliti a carico del Giappone. Si aggiunge, inoltre, che «For example, such a procedure would be triggered in cases where onward transfers, including on the basis of decisions adopted by the PPC under Article 24 of the APPI recognising a third country as providing an equivalent level of protection to the one guaranteed in Japan, will no longer be carried out under safeguards ensuring the continuity of protection within the meaning of Article 44 of the GDPR». Disposizioni in materia di cooperazione e coerenzaIl 24 giugno 2020 è stata presentata la prima relazione della Commissione sulla Secondo il considerando 123 del GDPR, le autorità di controllo dovrebbero controllare l'applicazione delle disposizioni del medesimo e contribuire alla sua coerente applicazione, al fine di tutelare le persone fisiche in relazione al trattamento dei loro dati personali e facilitare la libera circolazione di tali dati nel mercato interno, cooperando tra loro e con la Commissione, senza che siano necessari accordi tra gli Stati membri sulla mutua assistenza o su tale tipo di cooperazione (cfr. anche considerando 135-138 del GDPR). La Commissione, pertanto, ai sensi dell'art. 97 in esame, dovrà valutare che ciò concretamente avvenga e in maniera efficiente, e relazionare al Parlamento Europeo e al Consiglio su quanto disposto dall'art. 60 GDPR in materia di cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate, dall'art. 61 sull'assistenza reciproca e gli scambi di informazioni tra le autorità di controllo, dall'art. 62 riguardo alle operazioni, indagini e misure di contrasto congiunte delle autorità di controllo, dall'art. 63 sul meccanismo di coerenza, dagli artt. 64 e 65 sul parere del comitato europeo per la protezione dei dati e composizione delle controversie, dall'art. 66 in tema di procedure d'urgenza, etc. È ovvio che, per poter esercitare i poteri di valutazione ed esame previsti all'art. 97 del GDPR, la Commissione dovrà poter contare sull'efficace delivery delle pertinenti informazioni da parte degli Stati membri e delle autorità di controllo. Ciò è essenziale per monitorare l'attuazione e l'applicazione della normativa al fine di disporre di dati sufficienti, attendibili e confrontabili per procedere ad un riesame ex post della normativa basato su elementi di fatto, grazie alle informazioni fornite dagli Stati membri e relative autorità di controllo su richiesta della Commissione (cfr. Relazione Speciale della Corte dei Conti europea n. 16/2018). Ma non solo: ai fini del controllo e dello svolgimento dei riesami periodici di cui all'art. 97, la Commissione non potrà prescindere delle posizioni e delle conclusioni del Parlamento europeo e del Consiglio, nonché di altri organismi e fonti pertinenti. Infine, i meccanismi di valutazione e riesame di cui all'art. 97 del GDPR potranno essere la sede adeguata, per la Commissione, per proporre eventuali modifiche del testo normativo e relativi obblighi. Ciò, in particolare, in ragione dei possibili sviluppi delle tecnologie dell'informazione e dei progressi della società dell'informazione. Del resto, come riconosciuto in apertura dal considerando 6 dello stesso GDPR, la rapidità dell'evoluzione tecnologica e la globalizzazione comportano sempre nuove sfide per la protezione dei dati personali, trasformando l'economia e le relazioni sociali dal punto di vista della circolazione dei dati personali e il loro trasferimento verso paesi terzi e organizzazioni internazionali, di cui la Commissione dovrà necessariamente tenere conto nell'adempimento delle funzioni di cui all'art. 9. In senso analogo, anche il Parere del Comitato delle regioni «Pacchetto sulla protezione dei dati» 2012/C 391/13: «Data l'onnipresenza dell'elaborazione dei dati nella moderna società dell'informazione, la normativa in materia di protezione dei dati riveste un'importanza centrale per lo sviluppo economico, la funzionalità e l'efficienza dell'azione statale e per i diritti di libertà personale dei cittadini europei. L'adeguamento della protezione dei dati alle mutate esigenze di un mondo ormai digitalizzato e, grazie ad Internet, sempre più interconnesso in tante sfere della vita, è diventato pertanto uno degli ambiti di riforma fondamentali non solo per l'Unione europea, ma anche per altre organizzazioni internazionali come il Consiglio d'Europa o paesi extraeuropei come gli Stati Uniti d'America. [...] Anche per le regioni e città d'Europa, quindi, lo sviluppo della protezione dei dati europea è di fondamentale importanza per mantenere e potenziare ulteriormente la loro capacità di entrare nel futuro, in quest'epoca di mutamenti tecnologici radicali e di concorrenza globale». La prima Relazione della CommissioneNella sua prima relazione del 24 giugno 2020 sulla valutazione e sul riesame del regolamento generale sulla protezione dei dati, la Commissione offre una preliminare analisi sul GDPR rilevando il raggiungimento di uno degli obiettivi primari della norma, vale a dire il rafforzamento delle garanzie e dei diritti delle persone rispetto al trattamento dei propri dati personali. Secondo una indagine condotta su scala mondiale, le persone hanno acquisto una maggiore consapevolezza dei loro diritti, ritenendo che la tutela dei propri dati personali sia un fattore importante, in grado di influenzare le decisioni di acquisto ed il comportamento online. Tuttavia, se da un lato il GDPR, ha accresciuto la consapevolezza delle persone, dall'altro la Commissione non manca di evidenziare anche ambiti di miglioramento, sui quali concentrare le azioni future. Tra gli ambiti di miglioramento viene ribadita la necessità per gli Stati membri di promuovere una maggiore armonizzazione, evitando frammentazioni ed approcci normativi divergenti di ostacolo allo sviluppo economico e in grado di generare incertezza: “Per garantire il funzionamento efficace del mercato interno ed evitare oneri inutili per le imprese, è altresì essenziale che la legislazione nazionale non vada oltre i margini fissati dal regolamento generale sulla protezione dei dati o introduca requisiti supplementari dove non sono presenti margini.” [COM(2020) 264 final]. Ulteriore contesto su cui concentrare le azioni future riguarda le piccole e medie imprese (PMI). I due anni di operatività del GDPR hanno evidenziato le difficoltà di adeguamento riscontrate dalle PMI, nonostante iniziative di ausilio assunte da alcune autorità di controllo. La Commissione, tuttavia, ribadisce la difficoltà di attuare specifiche deroghe alle norme del GDPR imposte esclusivamente su fattori “dimensionali” poiché le dimensioni non costituiscono di per sé un indicatore dei rischi che il trattamento dei dati potrebbe comportare per le persone fisiche. La Commissione plaude le azioni svolte da diverse autorità di protezione dei dati che hanno fornito strumenti pratici per facilitare l'attuazione del GDPR da parte delle PMI che svolgono attività di trattamento a basso rischio, chiedendo altresì di intensificare e diffondere queste azioni nel contesto di un approccio europeo comune al fine di non creare ostacoli al mercato unico. Infine particolare interesse le considerazioni della Commissione sugli strumenti per il trasferimento internazionali dei dati, che passano attraverso le seguenti azioni: i) un rilancio dello strumento della decisione di adeguatezza (art. 45), tenuto conto del fatto che con essa offre la maggiore semplificazione possibile all'esportatore di dati (“l'effetto di tale decisione è consentire la libera circolazione sicura dei dati personali verso il paese terzo in questione senza che l'esportatore dei dati debba fornire ulteriori garanzie o ottenere alcuna autorizzazione”); ii) un riesame delle decisioni di adeguatezza oggi in vigore, tutte variamente risalenti – eccezion fatta per quella che riguarda il Giappone, la cui entrata in vigore risale al febbraio 2019; iii) una “modernizzazione globale” delle clausole tipo, “al fine di aggiornarle alla luce del GDPR, in maniera da trattare tutti gli scenari di trasferimento pertinenti e rispecchiare meglio le pratiche commerciali moderne”, tenendo conto che “tali clausole rappresentano il meccanismo di trasferimento dei dati di gran lunga più diffuso, con migliaia di imprese europee che fanno affidamento su di esse al fine di fornire un'ampia gamma di servizi ai propri clienti, fornitori, partner e dipendenti”; iv) ottimizzare i processi per l'approvazione delle norme vincolanti d'impresa (BCR), definire gli orientamenti sui codici di condotta e sui meccanismi di certificazione come strumenti per i trasferimenti di dati. BibliografiaRiccio, Scorza, Belisario (a cura di), GDPR e normativa privacy commentario, Milano, 2018, 674; Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali: Il Regolamento europeo 2016/679, Torino, 2016. |
