I regolatori del GDPR sono stati impegnati. Hanno emesso centinaia di multe per le aziende, tra cui Google e Facebook, oltre 114 milioni di euro nei primi 20 mesi del GDPR. Entro la fine dell'anno, il 25 maggio, la Commissione europea presenterà una relazione, come previsto dall'articolo 97 . Questo rapporto conterrà una valutazione dei progressi compiuti nell'ambito del GDPR e delle sfide incontrate e probabilmente alla base di eventuali importanti riforme imminenti.
Tuttavia, ci sono altri sviluppi, come la Brexit, altri paesi che introducono le proprie leggi sulla protezione dei dati e le sentenze della Corte di giustizia dell'Unione europea che potrebbero avere un effetto immediato sul GDPR quest'anno. Questo post sul blog ti darà uno sguardo a ciò che il prossimo anno riserva al GDPR, cosa potrebbe cambiare e come potrebbe avere un impatto sulla tua attività.
Un anno di grandi aspettative
Mentre è vero che Facebook, Google e WhatsApp hanno ricevuto multe GDPR, il loro numero e le loro dimensioni hanno deluso i sostenitori del GDPR. L'agenzia francese per la protezione dei dati ha inflitto a Google un record di 50 milioni di euro , ma questo importo rappresenta un errore di arrotondamento rispetto al budget complessivo. Affinché le maggiori aziende tecnologiche prendano davvero sul serio la protezione dei dati, gli esperti ritengono che le multe dovranno essere molto più elevate. Nient'altro che Margarethe Vestager, capo della Commissione europea, ha richiesto una più forte applicazione del GDPR e delle politiche che promuovono la concorrenza nel settore tecnologico.
Inoltre, a partire da luglio 2019, alcuni paesi – in particolare Grecia, Portogallo e Slovenia – non avevano ancora portato le loro leggi nazionali in conformità con il GDPR. Altri stanno ancora assumendo e formando personale per questi nuovi organismi di regolamentazione. Questo ritardo significa che il GDPR non è stato applicato completamente in tutta l'UE. Poiché un paese ha bisogno delle leggi nazionali prima di poter disporre di un'agenzia per la protezione dei dati, questi ritardano gli impatti sul numero di persone nell'UE che possono presentare un reclamo o anche solo capirne i diritti. Ciò dovrebbe concludersi nel 2020 poiché questi ultimi paesi attuano la legislazione nazionale, incentivando le aziende greche, portoghesi e slovene a garantire la piena conformità.
Questo potrebbe essere un anno decisivo per il GDPR in quanto tenta di stabilire una protezione completa e solida dei dati.
Il GDPR non è più l'unico acronimo di protezione dei dati a cui prestare attenzione
Il GDPR ha ispirato molti imitatori, dalla LGPD del Brasile al CCPA in California . Mentre molte di queste leggi concordano sui termini generali della protezione dei dati, ognuna implementa queste protezioni a modo suo. E questi due nuovi regolamenti sono solo l'inizio: il Canada e l'Australia stanno entrambi prendendo in considerazione nuovi regolamenti sulla protezione dei dati e il legislatore indiano voterà sulla sua legge sulla protezione dei dati personali . Negli Stati Uniti, diversi stati , tra cui Nevada, New York, Texas e Washington, stanno prendendo in considerazione di seguire l'esempio della California e approvare la propria legge sulla protezione dei dati.
La Brexit non farà la differenza … ancora
La Brexit ha dominato le notizie europee negli ultimi anni e i regolatori del Regno Unito e dell'UE devono creare un quadro normativo alternativo sulla protezione dei dati per il futuro. Tuttavia, ciò avrà un impatto relativamente scarso sul 2020, almeno per quanto riguarda la protezione dei dati. Nonostante il fatto che il Regno Unito sia uscito ufficialmente dall'UE il 31 gennaio 2020, continueranno ad aderire a tutte le norme e i regolamenti dell'UE per tutto l'anno. Ciò significa che il GDPR sarà ancora la legge della terra nel Regno Unito.
Il nuovo regolamento e-privacy dell'UE non sembra ancora pronto
La controparte spesso ritardata del regolamento generale sulla protezione dei dati, il regolamento e-privacy , sembra essere in ritardo rispetto ai tempi previsti. In effetti, il Comitato dei rappresentanti permanenti del Consiglio dell'Unione europea ha votato a favore della sua proposta nel novembre 2019. Ciò rende probabile che occorrerà presentare una proposta rivista quest'anno, il che significa che l'attuazione effettiva è probabilmente ancora anno sabbatico. Il regolamento e-privacy doveva essere attuato nel 2017 in sostituzione dell'attuale direttiva e-privacy , l'attuale legge che regola le modalità di regolamentazione dei cookie in tutta l'UE.
Ci sarà un'altra lotta sui trasferimenti di dati
Nel 2015, Max Schrems, un sostenitore austriaco della privacy, ha presentato un reclamo al commissario irlandese per la protezione dei dati contestando la dipendenza da Irlanda Irlanda dalle clausole contrattuali standard come base legale per il trasferimento di dati personali a Facebook Inc. negli Stati Uniti. Sostanzialmente, Schrems ha sostenuto che tale le clausole contrattuali standard non forniscono un livello adeguato di protezione per gli interessati dell'UE. Ciò ha portato a una sentenza controversa, che è stata poi contestata, portando al caso Schrems II , che è attualmente in fase di conclusione.
Al centro della questione c'è l' Arte. 46 , in cui si afferma che un responsabile del trattamento dei dati (una società che determina come e perché i dati vengono elaborati) può trasferire i dati a livello internazionale o a terzi "solo se il responsabile del trattamento o il responsabile del trattamento ha fornito garanzie adeguate e a condizione che i diritti dell'interessato siano efficaci ed efficaci sono disponibili rimedi legali per gli interessati. "
Il 19 dicembre 2019, l'avvocato generale presso la Corte di giustizia dell'Unione europea (CGUE) ha emesso un'opinione secondo cui le clausole contrattuali standard potrebbero essere utilizzate per trasferire dati a livello internazionale. Tuttavia, nella stampa fine, l'AG suggerisce anche che l'uso di tali clausole dovrebbe essere rivisto caso per caso. Solleva anche serie domande sulla protezione dei dati negli Stati Uniti, mettendo in dubbio il trasferimento dei dati negli Stati Uniti.
Sebbene l'opinione dell'AG non sia vincolante, è spesso un'anteprima della sentenza della CGUE. Puoi aspettarti la decisione finale della CGUE – e per iniziare un'altra lotta sui trasferimenti di dati – entro la fine dell'anno.
Controlla su questo blog per seguire queste storie e altri sviluppi relativi al GDPR. Se è la prima volta che visiti il blog, abbiamo creato un elenco di controllo GDPR e una panoramica del regolamento per aiutare i proprietari di aziende a conformarsi. E se gestisci un'attività negli Stati Uniti, abbiamo anche una lista di controllo per te .