Gdpr, gli eurodeputati chiedono una procedura d’infrazione contro l’Irlanda

[Shutterstock]

Il Parlamento europeo ha votato giovedì (20 maggio) a favore di una risoluzione che chiede alla Commissione europea di aprire una procedura di infrazione contro l’Irlanda per la mancata applicazione del regolamento generale sulla protezione dei dati (Gdpr).

In una risoluzione sul caso Schrems II, una storica sentenza giudiziaria che ha invalidato lo scudo Ue-Usa per la privacy, i deputati hanno espresso il loro disappunto per il fatto che nel procedimento giudiziario, il commissario irlandese per la protezione dei dati (Dpc) ha preferito portare il procedimento legale in tribunale piuttosto che prendere una decisione da solo, come aveva il potere di fare.

Il Dpc ha anche cercato, senza successo, di mettere le spese giudiziarie a carico dei convenuti, il che avrebbe avuto “un enorme effetto raggelante”, scoraggiando i cittadini europei a sostenere i loro diritti in tribunale, hanno detto i deputati.

Tuttavia, il vero punto critico è il fatto che l’autorità irlandese per la protezione dei dati non ha ancora deciso su molti dei reclami sulla privacy che sono stati presentati dall’entrata in vigore del Gdpr nel maggio 2018. ‘I numeri sono sconcertanti’ ha detto a EURACTIV l’attivista della privacy Max Schrems, l’iniziatore della causa giudiziaria.

‘Il Dpc ha riportato circa 10.000 reclami l’anno scorso, ma non ha preso alcuna decisione formale su nessuno di questi reclami. Il Dpc ha riconosciuto apertamente in una recente audizione in parlamento che la “gestione” di un reclamo consiste anche in chiuderlo semplicemente senza un’indagine.

Questo significa che la via principale per far valere un diritto fondamentale è fallita al 100% in Irlanda nel 2020. Se questo non è un caso per una procedura d’infrazione, allora non saprei cosa lo sia”, ha aggiunto.

Nonostante le migliaia di denunce, il Dpc ha emesso solo una sanzione per una violazione del Gdpr. Per i legislatori dell’Ue questa inazione è in contraddizione con il regolamento sulla protezione dei dati, poiché l’articolo 60 richiede che l’autorità competente agisca “senza ritardo”. Inoltre, la risoluzione ritiene che le autorità di vigilanza non avrebbero intrapreso azioni sufficienti per rendere il commissario conforme al Gdpr.

La maggior parte delle aziende Big Tech hanno la loro sede europea in Irlanda a causa del suo sistema fiscale. Di conseguenza, il Dpc è la principale autorità di protezione dei dati per decidere sulle violazioni del Gdpr e sui reclami sulla privacy contro questi giganti tecnologici. I critici sostengono che ci potrebbe essere una tentazione per l’Irlanda di minimizzare l’applicazione del Gdpr, in quanto è nel suo interesse economico che le grandi società tecnologiche rimangano basate sul suo territorio.

Per la deputata irlandese Clare Daly (The Left), l’attenzione sul Dpc è eccessiva, in quanto ritiene che l’agenzia irlandese sia parte di un problema più ampio relativo al regime di applicazione del Gdpr. “Pensiamo assolutamente che sia corretto esaminare il lavoro del commissario irlandese, visto quanto è significativo il suo ruolo, ma non pensiamo che questo debba avvenire a scapito del controllo del sistema in tutta Europa e dei suoi difetti e mancanze”, ha detto a EURACTIV.

La tensione tra il Dpc e le sue controparti di altri paesi europei è a volte scoppiata in pubblico. A marzo, l’agenzia di protezione dei dati tedesca ha criticato la lentezza del Dpc nell’affrontare i reclami. Il commissario per la protezione dei dati Helen Dixon ha giustificato questi ritardi con la mancanza di risorse. Il budget del commissario è aumentato costantemente negli ultimi anni, raggiungendo 19,1 milioni di euro nel 2021.

‘Abbiamo visto alcune di queste risorse entrare in funzione, e ci sono stati miglioramenti, ma c’è ancora margine per aumentare le risorse del Dpc, dato che le aziende che dovrebbe regolare hanno fondi quasi illimitati per combattere e contestare i casi’ ha aggiunto Daly.

Il finanziamento insufficiente in Irlanda e Lussemburgo è stato già menzionato nella revisione della Commissione europea del Gdpr a due anni dalla sua applicazione.

In quell’occasione, il commissario per la giustizia e i diritti dei consumatori Didier Reynders ha detto a EURACTIV che la Commissione europea avrebbe preso in considerazione un’azione contro l’Irlanda, specificando che altre azioni sarebbero state intraprese prima per garantire la conformità al Gdpr prima di avviare una procedura formale.

Alla domanda su quali azioni fossero state intraprese per garantire la conformità alla protezione dei dati, un funzionario della Commissione ha detto a EURACTIV che “recentemente sono stati fatti diversi passi in questa direzione all’interno del comitato [europeo per la protezione dei dati], in particolare, per migliorare le procedure per il cosiddetto sistema a sportello unico. La Commissione continuerà a sostenere il lavoro del consiglio e seguirà attentamente i progressi fatti”.

‘Affinché il nuovo sistema di governance del Gdpr basato sull’autorità di protezione dei dati indipendenti funzioni in modo efficiente, è essenziale sviluppare la fiducia e uno spirito europeo di cooperazione’ ha aggiunto la fonte. Il funzionario Ue ha rifiutato di commentare riguardo all’eventualità dell’apertura di una procedura di infrazione contro l’Irlanda da parte della Commissione. EURACTIV ha anche contattato il Dpc per un commento, senza successo.