La proposta, che tiene conto dei contributi di un'ampia gamma di portatori di interessi, tra cui l'EDPB, rappresentanti della società civile, delle imprese, del mondo accademico, degli operatori del diritto, nonché degli Stati membri, stabilirà norme procedurali concrete destinate alle autorità che applicano il GDPR nei casi che riguardano persone fisiche che si trovano in più di uno Stato membro. Ad esempio, introdurrà l'obbligo per l'autorità di protezione dei dati capofila di inviare alle controparti interessate una "sintesi delle questioni chiave" indicante i principali elementi dell'indagine e le sue opinioni sul caso, consentendo così loro di esprimersi in una fase precoce. La proposta contribuirà a ridurre i disaccordi e a facilitare il consenso tra le autorità sin dalle fasi iniziali del processo.
Il nuovo regolamento è stato redatto in seguito alla pubblicazione, da parte della Commissione europea, di un invito a presentare contributi aperto da febbraio a marzo 2023 che ha ricevuto riscontri da svariati portatori di interessi, tra cui la società civile e le associazioni di settore. Ha inoltre organizzato, su richiesta, riunioni bilaterali sulla proposta con rappresentanti della società civile, autorità nazionali e organizzazioni rappresentative settoriali.
La nuova proposta prevede quali informazioni devono fornire le persone fisiche quando propongono un reclamo e garantire che le stesse siano adeguatamente coinvolte nel processo, e chiariranno alle imprese quali sono i loro diritti di difesa quando un'autorità di protezione dei dati svolge indagini su una potenziale violazione del GDPR. Le norme consentiranno pertanto una risoluzione più rapida dei casi a vantaggio delle persone fisiche e maggiore certezza del diritto per le imprese. Per le autorità di protezione dei dati, le nuove norme agevoleranno la cooperazione e rafforzeranno l'efficacia dell'applicazione.
Il nuovo regolamento prevede norme dettagliate per sostenere il corretto funzionamento dei meccanismi di cooperazione e di coerenza istituiti dal GDPR, armonizzando le norme nei seguenti settori:
- Diritti dei reclamanti: la proposta armonizza i requisiti per la ricevibilità di un reclamo transfrontaliero, eliminando gli attuali ostacoli dovuti alle diverse norme seguite dalle varie autorità di protezione dei dati. Essa stabilisce diritti comuni affinché i reclamanti siano ascoltati qualora il loro reclamo sia rigettato in tutto o in parte. Nei casi in cui siano svolte indagini su un reclamo, la proposta specifica le norme per il corretto coinvolgimento dei reclamanti.
- Diritti delle parti oggetto dell'indagine (titolari del trattamento e responsabili del trattamento): la proposta conferisce alle parti oggetto dell'indagine il diritto di essere ascoltate nelle fasi chiave della procedura, incluso durante la composizione delle controversie da parte del comitato europeo per la protezione dei dati (EDPB), e chiarisce il contenuto del fascicolo amministrativo e il diritto delle parti di accedervi.
- Razionalizzare la cooperazione e la composizione delle controversie: in base alla proposta le autorità di protezione dei dati saranno in grado di esprimersi in una fase precoce delle indagini e di avvalersi di tutti gli strumenti di cooperazione previsti dal GDPR, quali le indagini congiunte e l'assistenza reciproca. Tali disposizioni rafforzeranno l'influenza delle autorità di protezione dei dati sui casi transfrontalieri, faciliteranno il rapido raggiungimento del consenso nelle indagini e ridurranno i disaccordi successivi. La proposta contiene norme dettagliate per facilitare il rapido completamento della procedura di composizione delle controversie del GDPR e prevede termini comuni per la cooperazione e la composizione delle controversie a livello transfrontaliero.
L'armonizzazione di questi aspetti procedurali favorirà il tempestivo completamento delle indagini e l'offerta di rimedi rapidi alle persone fisiche.
Approfondimenti
Regolamento di procedura del GDPR
Regolamento di procedura del GDPR: domande e risposte
Protezione dei dati nell'UE (europa.eu)