INT/1042
Regolamento generale sulla protezione dei dati –
norme procedurali aggiuntive
PARERE
Sezione Mercato unico, produzione, consumo
Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce norme procedurali aggiuntive relative all'applicazione del regolamento (UE) 2016/679
[COM(2023) 348 final – 2023/0202 (COD)]
|
E-mail di contatto
|
int@eesc.europa.eu
|
|
Amministratore
|
Marco MANFRONI
|
|
Data del documento
|
28/11/2023
|
Relatrice: Katrīna ZARIŅA
|
Consultazione
|
Commissione europea, 13/11/2023
|
|
Base giuridica
|
Articolo 304 del Trattato sul funzionamento dell'Unione europea
|
|
|
|
|
Sezione competente
|
Mercato unico, produzione e consumo
|
|
Adozione in sezione
|
23/11/2023
|
|
Esito della votazione
(favorevoli/contrari/astenuti)
|
37/0/0
|
|
Adozione in sessione plenaria
|
DD/MM/YYYY
|
|
Sessione plenaria n.
|
...
|
|
Esito della votazione
(favorevoli/contrari/astenuti)
|
.../.../...
|
1.Conclusioni e raccomandazioni
1.1Il Comitato economico e sociale europeo (CESE) accoglie con favore, in linea generale, la proposta della Commissione europea di introdurre norme procedurali aggiuntive in materia di cooperazione tra autorità di controllo dei dati personali negli Stati membri dell'UE (APD) nei casi transfrontalieri.
1.2Il CESE ritiene che la proposta in questione sia stata elaborata con la dovuta attenzione al fine di accrescere la partecipazione degli interessati al processo di indagine sui reclami transfrontalieri, e che precisi tutte le informazioni che dovrebbero essere fornite al momento della presentazione di tali reclami, rendendo così la procedura più fluida.
Il CESE ritiene che i miglioramenti della regolamentazione proposti dalla Commissione siano necessari e apportino un beneficio concreto a ciascuna delle parti interessate. Per le organizzazioni (imprese e istituzioni), le nuove norme stabiliranno più precisamente il loro diritto a una procedura equa, per le persone fisiche sanciranno in maniera evidente il diritto di essere ascoltate nell'ambito della procedura di esame del reclamo, mentre per le autorità preposte alla protezione dei dati faciliteranno la cooperazione e accresceranno l'efficacia dell'applicazione normativa.
1.3Nel corso delle discussioni, il CESE è giunto alla conclusione che la capacità e le prestazioni delle APD degli Stati membri svolgano un ruolo molto importante per la gestione efficace dei casi transfrontalieri. In tale contesto, il CESE invita gli Stati membri a monitorare attentamente il finanziamento delle rispettive APD e a rafforzare le loro capacità, affinché i cittadini e le imprese possano beneficiare di tutto il sostegno di cui hanno bisogno.
1.4Il CESE ritiene che la proposta in esame miri ad armonizzare l'attuazione dell'articolo 60 del regolamento generale sulla protezione dei dati (GDPR) negli Stati membri e a chiarirne le procedure. Per la prima volta, la proposta armonizza a livello degli Stati membri le modalità di svolgimento della procedura relativa all'applicazione del GDPR. In linea generale, il Comitato accoglie con favore i progressi compiuti nell'armonizzare l'attuazione del GDPR tenendo conto nel contempo delle differenze esistenti tra le normative nazionali degli Stati membri. Condivide inoltre l'orientamento adottato, favorevole ad un'armonizzazione delle procedure, e invita i soggetti interessati a procedere in tale direzione e, per quanto possibile, estendere l'armonizzazione degli atti procedurali a tutte le questioni procedurali relative all'applicazione del GDPR.
1.5Il CESE ha formulato una serie di raccomandazioni che, a suo parere, potrebbero migliorare il regolamento proposto della Commissione, la quale è pertanto invitata a renderlo più chiara e più completo:
a)stabilendo nella normativa proposta termini procedurali più precisi e termini massimi, ogni qualvolta ciò risulti possibile e opportuno;
b)indicando chiaramente alle APD degli Stati membri che l'elenco che figura in allegato al regolamento proposto contiene solo la quantità minima di informazioni da fornire nel reclamo, ma che ciascuna di tali autorità ha il diritto di integrare, se lo ritiene necessario, tale elenco con una serie di altre informazioni facoltative;
c)conferendo alle APD degli Stati membri il diritto di decidere in quale lingua di comunicazione intermedia ritengano più appropriato dialogare tra loro in sede di esame di un reclamo transfrontaliero;
d)lasciando alle APD degli Stati membri la facoltà di decidere se verificare l'identità del reclamante chiedendo che al reclamo sia allegata la copia di un documento d'identità;
e)migliorando il modulo di reclamo, aggiungendovi una clausola facoltativa con cui il reclamante può avvalersi del diritto di chiedere il trattamento riservato delle informazioni comunicate;
f)sostituendo, nel modulo di reclamo, l'indicazione puntuale dei documenti atti a identificare il reclamante con una formulazione più generale, come ad esempio "documento di identificazione", in modo da includere tutti i documenti identificativi ritenuti accettabili nello Stato membro interessato, oppure inserendo una riserva riguardo all'uso, ai fini dell'identificazione personale, della patente di guida, accettabile soltanto negli Stati membri in cui quest'ultima è considerata un documento d'identità;
g)chiedendo che le APD utilizzino tutte le informazioni richieste nel modulo che figura in allegato alla proposta e che tali informazioni siano considerate sufficienti, non solo per la presentazione di un reclamo relativo a un trattamento transfrontaliero, ma anche nei casi in cui, a prima vista, un trattamento transfrontaliero non abbia avuto luogo;
h)definendo le future modalità di applicazione della normativa proposta ai paesi dello Spazio economico europeo (SEE).
1.6Il CESE richiama l'attenzione sulla necessità di un maggiore coinvolgimento delle parti sociali e della società civile nella preparazione, nella valutazione e nel seguito di queste proposte in relazione alla formulazione di nuove precisazioni e proposte. Una stretta cooperazione tra le parti interessate, che figura tra i principi di buona governance, consente di migliorare la qualità generale della regolamentazione e l'efficacia della sua applicazione.
2.Osservazioni generali
2.1La Commissione europea ha pubblicato una proposta di regolamento che introduce norme procedurali aggiuntive per quanto riguarda la cooperazione tra autorità di controllo dei dati personali negli Stati membri dell'UE, nei casi transfrontalieri di cui all'articolo 60 del
regolamento generale sulla protezione dei dati
(GDPR). Parallelamente, la Commissione ha elaborato un modulo di reclamo comune per le situazioni transfrontaliere, che figura in allegato al regolamento proposto.
2.2Il monitoraggio del GDPR è stato affidato, fin dalla sua entrata in vigore nel 2018, alle APD indipendenti degli Stati membri. Il principio di applicazione di tipo "sportello unico" citato nel GDPR mira a garantire l'interpretazione e l'applicazione coerenti di quest'ultimo regolamento, concretizzando nel contempo il principio di prossimità, che assicura a ciascuno la possibilità di contattare la propria APD locale e ottenerne una risposta. In tali casi l'APD "capofila" (l'autorità di protezione dei dati dello stabilimento principale del titolare del trattamento o del responsabile del trattamento oggetto dell'indagine) conduce l'indagine ed è tenuta a cooperare con le altre APD "interessate" adoperandosi per raggiungere un'intesa comune (consenso).
2.3L'APD capofila è tenuta a esercitare la propria competenza in un quadro di stretta cooperazione con le APD interessate. Qualora, in un caso transfrontaliero, le APD non siano in grado di concordare un approccio comune, il GDPR prevede la composizione delle controversie sollevate con le cosiddette "obiezioni pertinenti e motivate" attraverso il comitato europeo per la protezione dei dati, il quale è composto dai responsabili apicali delle APD di ciascuno Stato membro e dal Garante europeo della protezione dei dati e al quale partecipa la Commissione europea.
2.4Il regolamento ora proposto integra il GDPR specificando le norme procedurali per le fasi principali del processo di indagine sul reclamo ivi stabilite. La nuova normativa mira a garantire un'applicazione coerente del GDPR negli Stati membri e a risolvere i problemi che si pongono in diversi ambiti. L'attuazione delle norme procedurali comporterà l'interazione con i diritti procedurali degli Stati membri in seno all'autorità (preposta alla protezione dei dati).
2.5Per quanto riguarda le persone fisiche, le nuove norme chiariranno le informazioni che saranno necessarie al momento della presentazione di un reclamo, garantendo nel contempo la partecipazione del reclamante durante l'intera procedura d'indagine. Per quanto concerne le imprese, chiariranno invece il diritto di queste a una procedura equa, mentre, per quanto attiene alle autorità di protezione dei dati, faciliteranno la cooperazione e miglioreranno l'efficacia dell'applicazione. Il CESE ritiene che tali miglioramenti della regolamentazione siano necessari e apportino un beneficio concreto a ciascuna delle parti interessate.
2.6I diritti delle persone interessate nei casi transfrontalieri. Allo stato attuale, alcune APD conferiscono gli stessi diritti ai reclamanti in quanto parti oggetto dell'indagine, mentre altre non prevedono la loro partecipazione o li coinvolgono in misura molto limitata; alcune APD adottano decisioni formali in virtù delle quali rigettano tutti i reclami cui non è dato corso, mentre altre non lo fanno. Queste differenze fanno sì che il trattamento dei reclami e il coinvolgimento dei reclamanti vari a seconda dello Stato membro in cui il reclamo viene proposto o di quale APD sia l'autorità capofila per un determinato caso. Di conseguenza, nei casi transfrontalieri tali differenze ritardano la conclusione dell'indagine e l'offerta di un rimedio. La normativa proposta mira a ridurre tali differenze e a promuovere negli Stati membri un approccio comune in materia. La proposta prevede per il reclamante nuovi diritti procedurali, che sono simili in tutti gli Stati membri e che finora non erano garantiti.
2.7Attualmente, le APD interpretano in modo diverso le prescrizioni relative al contenuto di un reclamo, al coinvolgimento dei reclamanti nella procedura e al rigetto dei reclami. Reclami accolti da alcune APD potrebbero essere rigettati da altre, sulla base del fatto che non forniscono informazioni sufficienti. Pertanto, oltre ai diritti e agli obblighi connessi alla procedura, il regolamento proposto introduce un modulo di reclamo comune, che contiene le informazioni necessarie per qualsiasi reclamo presentato a una delle APD.
2.8I diritti procedurali delle parti oggetto dell'indagine. La normativa proposta prevede un'armonizzazione mirata dei diritti procedurali nei casi transfrontalieri. Essa conferisce alle parti oggetto dell'indagine il diritto di essere ascoltate in ciascuna delle fasi principali della procedura, anche durante la composizione delle controversie da parte del comitato europeo per la protezione dei dati, e chiarisce il contenuto del fascicolo amministrativo e i diritti di accesso delle parti allo stesso. Le norme proposte rafforzano i diritti della difesa delle parti e garantiscono il rispetto coerente di tali diritti indipendentemente dall'APD che conduce l'indagine.
2.9Il CESE accoglie con favore il fatto che il regolamento proposto offra una maggiore certezza procedurale agli operatori economici, estendendo al contempo il diritto di questi ultimi di essere ascoltati nelle fasi più importanti dell'istruzione; al tempo stesso, richiama l'attenzione sul fatto che gli ordinamenti giuridici degli Stati membri sono diversi e tale differenza può ostacolare la corretta applicazione delle soluzioni introdotte dalla proposta. La cooperazione tra le autorità di protezione dei dati e la risoluzione delle controversie in seno al comitato europeo per la protezione dei dati.
2.10La cooperazione tra le autorità di protezione dei dati e la risoluzione delle controversie in seno al comitato europeo per la protezione dei dati. L'articolo 60 del GDPR definisce la procedura che le APD devono seguire quando cooperano in casi transfrontalieri, ma tale procedura non è sufficientemente dettagliata. Nei casi transfrontalieri le APD sono tenute a scambiare le "informazioni utili" nell'adoperarsi per raggiungere un consenso. Una volta che l'APD capofila ha trasmesso un progetto di decisione sul caso, le altre APD hanno la possibilità di sollevare "obiezioni pertinenti e motivate", che aprono prospettive per la composizione della controversia. Sebbene sia un elemento essenziale per garantire un'interpretazione coerente del GDPR, la procedura di composizione delle controversie di cui all'articolo 65 GDPR dovrebbe essere riservata ai casi eccezionali in cui la cooperazione tra le APD non ha portato a un consenso.
2.11L'esperienza della Commissione nell'applicazione del GDPR nei casi transfrontalieri dimostra che la cooperazione tra le APD prima della presentazione di un progetto di decisione da parte dell'APD capofila è insufficiente. Per tale motivo la normativa proposta prevede un'armonizzazione mirata dei diritti procedurali nei casi transfrontalieri. Essa fornisce alle autorità di protezione dei dati gli strumenti necessari per raggiungere un consenso, attribuendo maggiore concretezza all'obbligo di cooperazione e di condivisione delle "informazioni utili" da parte delle APD di cui all'articolo 60 GDPR. Le norme proposte costituiscono un quadro che consente a tutte le APD di incidere in modo significativo su un caso transfrontaliero, comunicando le loro opinioni nelle prime fasi della procedura di indagine e utilizzando tutti gli strumenti previsti dal GDPR.
2.12La normativa proposta stabilisce prescrizioni per la forma e la struttura delle obiezioni pertinenti e motivate sollevate dalle APD, facilitando quindi l'effettiva partecipazione di tutte le APD e la risoluzione rapida del caso. La proposta stabilisce le norme procedurali per il rigetto dei reclami nei casi transfrontalieri, specificando nel contempo, in tali casi, i rispettivi ruoli dell'APD capofila e dell'APD in cui viene presentato il reclamo. Sono descritti con precisione anche il contenuto del fascicolo amministrativo e il diritto di accesso dei singoli allo stesso. La normativa proposta insiste sull'importanza e la legittimità della composizione amichevole dei casi basati su un reclamo.
3.Osservazioni specifiche
3.1Sebbene la normativa proposta preveda tra i suoi principali obiettivi l'istituzione di un quadro procedurale per la gestione delle controversie tra le APD in sede di trattamento di dati transfrontalieri e contempli diversi termini procedurali, in molti casi questi termini sono vaghi oppure non è previsto un limite massimo di tempo (cfr. ad esempio l'art. 8, par. 1, l'art. 12, par. 2, l'art. 14, par. 4 e l'art. 17, par. 2, del regolamento proposto). Al fine di conseguire l'obiettivo perseguito dalla proposta in esame di rendere il processo più rapido e trasparente, garantendo nel contempo al reclamante e alla parte contro la quale è stata avviata una procedura la possibilità di avvalersi del GRDP e delle modalità procedurali previste nella proposta, il CESE raccomanda di fissare, nelle disposizioni pertinenti del regolamento proposto, termini precisi e termini massimi, ogniqualvolta ciò sia possibile e nella misura in cui tale termine contribuisca all'efficacia della procedura.
3.2L'articolo 3, paragrafo 5, del regolamento proposto prevede che il reclamante possa chiedere il trattamento riservato delle informazioni contenute nel reclamo, ma l'allegato della proposta (in cui figura il modulo di reclamo) non contiene alcun riferimento a tale diritto. Poiché le persone fisiche non sono tenute a conoscere tutte le sfumature giuridiche della legislazione in materia di protezione dei dati, compreso il diritto di chiedere il trattamento riservato delle informazioni in qualsiasi fase della procedura, il CESE raccomanda di integrare il modulo con informazioni sul diritto di cui al suddetto articolo 3, paragrafo 5, che consente al reclamante di chiedere il trattamento riservato delle informazioni fornite nel reclamo.
3.3Gli articoli 11, 12 e 13 del regolamento proposto prevedono il diritto del reclamante di essere ascoltato dall'APD nel quadro del processo di cooperazione internazionale. Alla luce del parere congiunto del comitato europeo per la protezione dei dati e del Garante europeo della protezione dei dati sulla proposta in esame, parere che, nel capo 8, fornisce un'analisi dettagliata comune a entrambi i partner delle carenze individuate nella proposta – le possibilità per il reclamante di esercitare i diritti procedurali in considerazione dei diversi scenari possibili per i quali un reclamo può essere trattato ai sensi del GDPR – e tenuto conto delle diverse prassi delle APD degli Stati membri riguardo al coinvolgimento del reclamante nelle procedure, il CESE raccomanda di chiarire le modalità per l'esercizio dei diritti dei reclamanti stabilite in tali articoli, in modo che la loro attuazione contribuisca all'efficacia del previsto trattamento transfrontaliero dei reclami.
3.4L'articolo 6, paragrafo 1, del regolamento proposto prevede che l'autorità di controllo presso cui è stato presentato il reclamo sia responsabile della traduzione del reclamo e della pretesa del reclamante nella lingua utilizzata dall'APD capofila prima della relativa comunicazione a quest'ultima, nonché della traduzione dei documenti ricevuti dall'APD capofila in una lingua compresa dal reclamante. Poiché le APD comunicano principalmente in inglese, ma la maggioranza delle APD degli Stati membri utilizza come lingua di comunicazione la lingua o le lingue ufficiali del rispettivo Stato membro, è opportuno chiarire se la traduzione dei documenti e delle altre informazioni da trasmettere all'APD per il suo uso interno debba essere effettuata nella lingua dello Stato membro o se le autorità di controllo possano applicare la prassi precedente di concordare una lingua di comunicazione comune a tutte le autorità di controllo.
3.5Detto ciò, il CESE ritiene che la disposizione che impone di tradurre i documenti in una lingua compresa dal reclamante, ossia nella lingua nazionale dello Stato membro interessato, meriti pieno sostegno. Ciò per garantire il diritto del reclamante di comunicare con le autorità in una lingua che comprende.
3.6Al tempo stesso, però, il CESE teme che l'obbligo di fornire una traduzione del reclamo e di tutti i documenti ricevuti possa comportare un onere amministrativo sproporzionato per le autorità di protezione dei dati. Teme inoltre che, nei casi in cui la traduzione non venga effettuata in inglese, l'APD che organizza la traduzione non sia in grado di garantire il necessario controllo della sua esattezza. I termini utilizzati nel settore della protezione dei dati sono spesso di natura tecnica, e una mancanza di precisione o di verifica della loro traduzione può dar luogo a una comprensione errata dell'effettivo svolgimento dei fatti pertinenti. Ciò comporta il rischio che l'APD capofila non sia informata in modo sufficientemente obiettivo e completo in merito al contenuto del reclamo presentato e agli elementi fattuali su cui tale reclamo si fonda. Conformemente all'attuale prassi dell'APD in materia, il CESE osserva che, in caso di violazioni transfrontaliere, le APD degli Stati membri concordano in molti casi di comunicare tra loro in lingua inglese. Le informazioni raccolte dal CESE mostrano che le APD utilizzano ormai strumenti di traduzione automatica per tradurre – in maniera rapida e con un dispendio minimo di risorse – i documenti che scambiano con i loro omologhi nel corso delle indagini. Tuttavia, per tradurre le decisioni finali vengono utilizzati servizi di traduzione professionali.
3.7Il CESE ritiene eccessivo tale obbligo di traduzione da (e verso) diverse lingue per lo scambio di documenti tra autorità di protezione dei dati, in quanto comporta spese inutili per le istituzioni, le imprese e la società. Il Comitato raccomanda di consentire alle APD interessate di concordare l'uso di una lingua comprensibile per tutte le APD coinvolte nella gestione di una controversia transfrontaliera e di sfruttare attivamente le opportunità offerte dalle tecnologie digitali, dall'intelligenza artificiale e dalla traduzione automatica.
3.8L'articolo 31 del regolamento proposto prevede che quest'ultimo sia direttamente applicabile in tutti gli Stati membri. Poiché il GDPR si applica anche ai paesi dello Spazio economico europeo (SEE), sembra necessario chiarire che il nuovo regolamento si applicherà anche a tali paesi, al fine di garantire un approccio comune all'applicazione del GDPR, nonché una cooperazione efficace tra le APD del SEE e dell'UE nella gestione dei reclami transfrontalieri.
3.9Il modulo di reclamo prevede una procedura per identificare l'interessato e gli impone di presentare un documento di identità (molto probabilmente una copia cartacea o elettronica e non un originale). Attualmente, in alcuni Stati membri la procedura di reclamo non prevede l'identificazione del reclamante, e l'autorità adita presume che le informazioni fornite da tale persona in relazione alla sua identità siano esatte. Le APD degli Stati membri seguono procedure diverse per stabilire se verificare il documento di identificazione del reclamante quando ricevono un reclamo: le APD di alcuni Stati membri adottano pratiche di questo tipo, mentre altri non ne adottano affatto. Imporre tale obbligo alle APD che finora ne erano esenti può comportare ulteriori oneri amministrativi e ulteriori rischi per la sicurezza delle informazioni, legati alla trasmissione e alla conservazione dei documenti di identificazione da parte delle suddette autorità. Questa posizione trova riscontro anche nel parere congiunto sulla proposta in esame emesso dal comitato europeo per la protezione dei dati e dal Garante europeo della protezione dei dati. Il CESE raccomanda che la decisione in materia sia lasciata alle autorità di protezione dei dati, consentendo loro di scegliere se mantenere o meno le proprie procedure.
3.10Inoltre, la nota a piè di pagina n. 2 dell'allegato al regolamento proposto stabilisce che il documento di identificazione può essere "ad esempio passaporto, patente di guida, carta d'identità nazionale". A questo proposito occorre ricordare che esistono diverse interpretazioni tra gli Stati membri in merito alla questione se una patente di guida costituisca o meno un documento ufficiale di identificazione. In Lettonia, ad esempio, non è così. Tuttavia, qualora la Commissione decida di mantenere l'obbligo di identificare il reclamante, il CESE raccomanda di sostituire l'elenco di documenti atti a identificarlo con una formulazione più generale, come l'espressione "documento di identificazione", che includa tutti i tipi di documenti identificativi ritenuti accettabili nello Stato membro interessato, oppure di mantenere l'elenco dei documenti specificando, riguardo alla patente di guida, che questa è utilizzabile per identificare il reclamante solo negli Stati membri in cui è considerata un documento d'identità.
3.11Analogamente, è previsto che figuri in allegato il modulo contenente le informazioni che il reclamante deve fornire per qualsiasi reclamo transfrontaliero. Allo stesso tempo, in base all'articolo 3, paragrafo 2, del regolamento proposto "l'autorità di controllo cui è stato proposto il reclamo determina se esso riguarda un trattamento transfrontaliero". Per tale motivo possono verificarsi situazioni in cui, malgrado tutto, il reclamo non riguarda comunque un trattamento transfrontaliero, oppure altre situazioni in cui il modulo non è stato utilizzato, ma è stato comunque effettuato un trattamento transfrontaliero, senza che il reclamante ne sia stato a conoscenza o senza che abbia potuto essere identificato. Al fine di evitare tali situazioni, nonché ritardi ingiustificati nella procedura dovuti a informazioni insufficienti, sarebbe auspicabile che le APD utilizzassero tutte le informazioni richieste nel modulo che figura in allegato alla proposta e le considerassero sufficienti, non solo per la presentazione di un reclamo relativo a un trattamento transfrontaliero, ma anche nei casi in cui, a prima vista, il trattamento transfrontaliero non abbia avuto luogo. È inoltre necessario comunicare chiaramente con le APD degli Stati membri, le quali hanno la facoltà di integrare il modulo con ulteriori domande, fermo restando che, se il denunciante non è in grado di rispondervi, ciò non può costituire un ostacolo all'accettazione del reclamo.
Bruxelles, 23 novembre 2023
Sandra PARTHIE
Presidente della sezione Mercato unico, produzione e consumo
_____________