A distanza di oltre due anni dalla proposta della Commissione europea, il Consiglio ha approvato nuove regole per migliorare la collaborazione tra le autorità dei paesi membri durante la gestione dei reclami transfrontalieri sulla base del GDPR (Regolamento generale sulla protezione dei dati). È l’ultimo step legislativo (il Parlamento aveva già approvato le novità), quindi saranno in vigore dopo la pubblicazione sulla Gazzetta Ufficiale.
Tempi certi per la risoluzione dei casi
Il GDPR prevede un meccanismo, noto come “one-stop shop”, per l’esame dei reclami. Ad esempio, l’utente italiano può denunciare una violazione della privacy da parte di un’azienda al garante italiano. Quest’ultimo segnala la violazione al garante che si trova nel paese europeo in cui l’azienda ha la sede legale. Un’unica autorità nazionale assumerà quindi il ruolo di capofila nell’indagine, ma sarà tenuta a collaborare con le sue controparti negli altri Stati membri.
Le nuove regole approvate in via definitiva semplificano le procedure amministrative, rendendo più efficiente l’applicazione del GDPR nei casi transfrontalieri. Le principali novità sono quattro:
- Ammissibilità: i requisiti per l’ammissibilità di un’azione transfrontaliera, ovvero la decisione se un reclamo soddisfa i requisiti per essere sottoposto a indagine, saranno armonizzati. Indipendentemente dal luogo in cui viene presentato un reclamo nell’UE, l’ammissibilità sarà valutata sulla base delle stesse informazioni
- Diritti dei reclamanti e delle parti sottoposte a indagine: si applicheranno norme comuni per il coinvolgimento del reclamante nella procedura, il diritto di essere ascoltato per la società o l’organizzazione sottoposta a indagine, nonché il diritto di ricevere i risultati preliminari per esprimere la propria opinione in merito
- Procedura di cooperazione semplice: nei casi più semplici, le autorità per la protezione dei dati potranno decidere, al fine di evitare oneri amministrativi, di risolvere le azioni senza ricorrere all’intero insieme di norme di cooperazione
- Scadenze: un’indagine non dovrebbe durare più di 15 mesi. Per i casi più complessi, tale termine può essere prorogato di 12 mesi. Nel caso di una semplice procedura di cooperazione tra autorità nazionali, l’indagine dovrebbe concludersi entro 12 mesi
Le nuove regole entreranno in vigore 20 giorni dopo la pubblicazione sulla Gazzetta Ufficiale dell’UE e saranno applicabili 15 mesi dopo la sua entrata in vigore. La Commissione europea presenterà domani un pacchetto (Digital Omnibus) che prevede diverse modifiche al GDPR. Secondo noyb e altre organizzazioni, la legge sulla privacy rischia di essere smantellata.
