C’è molto da fare in materia di trattamento dati personali a livello europeo e i tempi stringono. Alcune autorità Garanti della Privacy hanno, infatti, espresso forte preoccupazione per la lentezza con cui gli Stati dell’Unione stanno procedendo per adattare le norme interne al GDPR. La maggior parte degli Stati membri, infatti, appare essere in forte ritardo, lo ha affermato la ex presidente del Gruppo di lavoro Art.29 sulla protezione dei dati, Isabelle Falque-Pierrotin (sostituita recentemente da Andrea Jelinek). Il gruppo di lavoro, come stabilito dal GDPR, sarà sostituito a breve dal Comitato europeo per la protezione dei dati, che dovrebbe iniziare i propri lavori il prossimo 25 maggio, tuttavia potrebbe non essere in grado di assumere decisioni in base al meccanismo di coerenza (art. 63 GDPR) se non tutte le autorità nazionali preposte alla protezione dei dati, saranno autorizzate ad aderire attraverso leggi interne. Il Comitato sarà, infatti, composto dalla figura di vertice di un’autorità di controllo (Garante della Privacy) per ciascuno Stato membro e dal garante europeo della protezione dei dati, o dai rispettivi rappresentanti; il GDPR prevede poi all’art. 68 la possibilità per gli Stati membri di designare un rappresentante unico, qualora vi siano più autorità di controllo nazionali preposte a vigilare sul rispetto delle leggi in materia di privacy.
Il GDPR fissa importanti compiti per il Comitato, come quello di fornire linee guida per i trattamenti, quello di verificare la conformità al GDPR dei codici di condotta, approvare i criteri per il rilascio delle certificazioni, esprimere pareri, adottare decisioni giuridicamente vincolanti, conservare gli elenchi delle DPIA e molto altro. Si comprende bene, dunque, l’importanza di questo organo a livello dell’Unione in materia di privacy; pertanto, qualora i lavori del Comitato iniziassero in ritardo, l’intero riordino della privacy a livello europeo ne risentirebbe.
Finora, solo la Germania e l’Austria hanno adottato nuove leggi.
L’obiettivo che il Gruppo Art. 29 oggi si propone è quello di cambiare la propria visione, orientandola verso una maggiore cooperazione con le autorità garanti nazionali e con gli stakeholder, cooperazione che si farà ancora più forte nell’ambito del Consiglio europeo per la protezione dei dati; gli stakeholders non sono visti solo come parte destinataria delle norme, ma come soggetti che possono fornire un valido supporto ai Garanti nell’elaborazione di linee guida, policy e buone prassi. Le autorità garanti nazionali e gli stakeholders, ma anche i DPO, figura che il gruppo Art. 29 ritiene avere un ruolo chiave nella verifica della corretta applicazione delle norme in materia di privacy da parte di imprese e p.a., dunque, sono chiamati ad aprirsi ad una visione più ampia, meno nazionale, impegnandosi a vigilare sul rispetto delle leggi a livello dell’Unione.
Il Gruppo Art. 29 ha preparato 12 linee guida sul GDPR per aiutare i Garanti nazionali e gli operatori economici alla opportuna interpretazione delle norme e alla loro corretta applicazione, tuttavia, come affermato dalla portavoce del Gruppo Art. 29 non si tratta di linee guida stabili, in quanto verranno periodicamente riviste per adattarsi alla realtà che cambia continuamente, in particolare nel settore IT. Il periodo di consultazione relativo a questa prima serie di linee guida è terminato e il Gruppo Art. 29 adotterà presto le versioni finali, ma con molta probabilità altre ne verranno in futuro.