Szymon Cydzik: Il Consiglio per la protezione dei dati vuole semplificare la conformità delle aziende al GDPR

L'EDPB riunisce le autorità garanti della protezione dei dati di tutti i paesi dell'Unione Europea (inclusa l'UODO polacca). All'inizio di luglio, a Helsinki, si è impegnato a facilitare la conformità al GDPR da parte delle micro, piccole e medie imprese. I membri dell'EDPB si sono impegnati a sviluppare metodi, pratiche, strumenti e linee guida comuni e a rivedere regolarmente le loro attività congiunte.

Le azioni pianificate includono l'elaborazione di linee guida aggiornate e concise per le micro, piccole e medie imprese, il monitoraggio delle linee guida nazionali e la garanzia di un'applicazione coordinata e uniforme della legge, nonché l'elaborazione di moduli e checklist uniformi per la notifica delle violazioni dei dati a livello UE. "L'EDPB si impegna ad aiutare le organizzazioni a raggiungere la conformità al GDPR in modo più semplice ed efficace. Con linee guida aggiornate e concise e strumenti pronti all'uso, come un modello comune per la notifica delle violazioni dei dati, checklist, consigli pratici e risposte alle domande frequenti, continueremo a impegnarci per garantire che la conformità ai requisiti del GDPR sia realizzabile e accessibile a tutti", ha dichiarato la Presidente dell'EDPB, Anu Talus.

Un nuovo approccio alla protezione dei dati personali, tenendo conto dell’innovazione e della competitività

"Queste raccomandazioni sono attualmente molto generiche. Tuttavia, se ciò che promettono si concretizzasse, potrebbe rendere più facile il rispetto delle normative", afferma il Dott. Paweł Litwiński, avvocato dello studio legale Barta Litwiński.

Il professor Grzegorz Sibiga, avvocato presso lo studio legale Traple, Konarski Podrecki i Wspólnicy, sottolinea che la Dichiarazione di Helsinki dell'EDPB è solo il primo passo verso un nuovo approccio alla protezione dei dati personali, che tenga conto dell'innovazione e della competitività, nonché di una serie di azioni per attuarlo. "Ho sentimenti contrastanti al riguardo. Da un lato, la dichiarazione promette misure positive per le imprese volte a semplificare l'attuazione degli obblighi in tutta l'UE", spiega l'esperto. "Dall'altro, queste azioni potrebbero non soddisfare le aspettative del mercato in merito a un dialogo autentico con le imprese volto a semplificare e deregolamentare la protezione dei dati personali", aggiunge.

Sottolinea che le attività del Comitato europeo per la protezione dei dati sono volte a tutelare i diritti fondamentali, non a bilanciare i diversi obiettivi del mercato comune. Il Consiglio europeo non possiede l'esperienza e la competenza necessarie in questo ambito. Pertanto, dovrebbe essere un partecipante importante in questo dialogo, ma non un semplice ospite, come vorrebbe.

– Vedo molte trappole, perché alla fine saranno sempre gli imprenditori stessi a dover valutare se stanno applicando correttamente le normative – afferma il consulente legale Jakub Wezgraj.

"Potrebbero avere a disposizione checklist aggiuntive e strumenti simili, ma continueranno comunque a effettuare le proprie valutazioni sulla base delle proprie conoscenze. Sono preoccupato per la mancanza di un adeguato supporto ai sistemi di certificazione della conformità al GDPR , che sono, dopotutto, previsti dalla legislazione e dovrebbero essere fortemente sviluppati nei singoli Stati membri dell'Unione Europea. Una cosa è sottoporsi a un audit condotto da un ente specializzato e ricevere un certificato di conformità riconosciuto da un'autorità di controllo, un'altra è "ispezionare" se stessi e dare per scontato che tutto sia in regola", conclude.

GDPR e attività aziendale: è necessario un modello uniforme di informativa sulla privacy

Cita l'esempio delle aziende che vendono online, dove i loro prodotti possono essere ordinati e consegnati in diversi paesi dell'UE. Un'azienda di questo tipo trarrebbe vantaggio dalla cooperazione delle autorità di vigilanza dei singoli paesi dell'UE per sviluppare modelli standardizzati per i documenti di base da utilizzare in tutti i mercati, ad esempio un modello uniforme di informativa sulla privacy.

Inoltre, potrebbero esserci requisiti specifici in materia di protezione dei dati personali applicabili in un mercato specifico (contrariamente a quanto pare, il GDPR non ha completamente unificato i principi del trattamento dei dati personali nell'intero mercato dell'UE; sono evidenti differenze, ad esempio nei principi del trattamento dei dati personali per scopi di marketing).

Molti paesi dell'UE (tra cui la Polonia) non dispongono ancora di linee guida specifiche, ad esempio per l'esecuzione di analisi dei rischi per la sicurezza dei dati nelle organizzazioni più piccole. Per la maggior parte delle aziende, questo rappresenta ancora un vero e proprio mistero, eppure oggigiorno anche i piccoli negozi online devono garantire un adeguato livello di sicurezza dei dati degli utenti.

"Cosa significa una laurea "adeguata" se l'imprenditore non è in grado di valutare l'entità del rischio?", chiede retoricamente Jakub Wezgraj.