Il rapporto dell’Agenzia dell’Unione Europea per i Diritti Fondamentali (FRA) intitolato “Il GDPR in pratica: Esperienze delle autorità di protezione dei dati” evidenzia le principali problematiche, migliori pratiche e suggerisce soluzioni per migliorare l’applicazione del GDPR da parte delle autorità di protezione dei dati (DPA). Ecco una sintesi delle principali osservazioni del rapporto:
- Mancanza di risorse: Le DPA sono spesso sottodimensionate e sottofinanziate, il che impedisce loro di svolgere appieno il proprio mandato. Le nuove leggi dell’UE, come l’AI Act e i sistemi di gestione delle frontiere, aumenteranno i compiti delle DPA, richiedendo risorse finanziarie, umane e tecniche adeguate.
- Poteri di vigilanza: Le DPA necessitano di ulteriori strumenti per rafforzare la loro capacità di supervisione, inclusa la possibilità di condurre indagini sotto copertura e multare le organizzazioni non cooperative. La Commissione Europea e l’EDPB dovrebbero valutare e rafforzare il quadro giuridico.
- Scambio di migliori pratiche: Le DPA, con risorse limitate, spesso devono prioritizzare la gestione dei reclami. L’EDPB dovrebbe fornire maggiori linee guida e facilitare lo scambio di migliori pratiche, eventualmente richiedendo più risorse.
- Consultazione e consulenza: Le DPA non vengono consultate regolarmente per nuove leggi o operazioni di trattamento dati. I paesi dell’UE dovrebbero consultare le DPA e cercare il loro parere in anticipo, incoraggiando anche le istituzioni pubbliche a farlo.
- Sensibilizzazione: La popolazione non comprende pienamente i propri diritti relativi ai dati personali e le organizzazioni faticano a identificare e prevenire i rischi di protezione dati, specialmente con l’IA. Le istituzioni dell’UE e i paesi membri dovrebbero promuovere la consapevolezza delle regole di protezione dati, e l’EDPB dovrebbe sviluppare linee guida specifiche per nuove tecnologie.
- Accesso ai dati per la ricerca: I ricercatori trovano difficoltà ad accedere ai dati nonostante le regole UE lo consentano per scopi scientifici. L’EDPB dovrebbe chiarire cosa è possibile fare ai sensi della legge UE e sviluppare linee guida specifiche.
- Nuove tecnologie: Molte DPA trovano difficile regolamentare adeguatamente le nuove tecnologie. L’EDPB e le DPA dovrebbero identificare aree tecnologiche specifiche che necessitano maggiore chiarezza e collaborare più strettamente nella consulenza su nuove tecnologie.
Questo rapporto si basa su 70 interviste con rappresentanti delle DPA di tutti i 27 Stati membri dell’UE, condotte tra giugno 2022 e giugno 2023 (EU Rights).