Germania le autorità propongono modifiche al GDPR
Nicola Vanin
Chief Information Security Officer │ CSO at CDP Cassa Depositi e Prestiti | Co-Founder @ ASSOCISO
Il 2 dicembre 2019, le autorità di controllo tedesche hanno pubblicato una relazione in cui valuta l'attuazione del #GDPR nel paese ed elenca le disposizioni del #GDPR che considerano problematiche nella pratica.
Per ciascuna di queste disposizioni, la relazione discute il problema percepito e propone una modifica.
Il rapporto inizia rilevando che il GDPR ha aumentato in modo significativo il carico di lavoro delle autorità di vigilanza tedesche nell'ultimo anno e mezzo. Ciò è dovuto non solo a una "enorme crescita" del numero di denunce e richieste di consultazione ricevute, ma anche a lavori supplementari derivanti dalla procedura di cooperazione transfrontaliera del GDPR. Dal momento che l'aumento del carico di lavoro non ha sempre incontrato maggiori risorse, le autorità hanno avuto difficoltà a controllare efficacemente la conformità. Apparentemente i controllori ne sono consapevoli e, di conseguenza, hanno trascurato i loro doveri di essere conformi al #GDPR.
Il rapporto elenca quindi le disposizioni del GDPR che le autorità di vigilanza tedesche ritengono abbiano portato in pratica ad alcuni problemi, vale a dire:
-Articolo 5, paragrafo 1, lettera b) (limitazione delle finalità);
-Articolo 13 (diritto di informazione);
-Articolo 15, paragrafo 3 (diritto a una copia dei propri dati personali);
-Articolo 25 (protezione dei dati secondo la progettazione);
-Articolo 33, paragrafo 1 (notifica della violazione dei dati);
-Articolo 37, paragrafo 7 (notifica del responsabile della protezione dei dati ("RPD"));
-Articolo 41 (accreditamento);
-Articolo 58, paragrafo 2, lettera b) (competenze delle autorità di controllo); e 97 (2) (b) (sanzioni).
Il rapporto afferma inoltre che al GDPR mancano le disposizioni appropriate in materia di profilazione e marketing diretto.
- Di seguito, discutiamo alcune delle modifiche al GDPR proposte dalle autorità di vigilanza tedesche: Articolo 5, paragrafo 2 (limitazione delle finalità) -Le autorità di controllo tedesche trovano difficile accettare che il trattamento di dati personali per scopi compatibili (articolo 6, paragrafo 4) non richieda una base giuridica separata. Sostengono anche che l'eccezione della ricerca scientifica nell'Art. 5 (2) (b) è troppo ampio.
- Articolo 13 (diritto all'informazione) - L'obbligo di trasparenza può costituire un fastidio per gli interessati, in particolare in circostanze offline (ad es. Chiamate telefoniche).
- Le autorità di controllo suggeriscono di adottare un'eccezione per i casi in cui gli interessati si aspettano che il trattamento dei dati abbia luogo, nel qual caso le informazioni dovrebbero essere fornite solo su richiesta dell'interessato.
- Inoltre, i responsabili del trattamento dovrebbero essere esonerati dall'obbligo di fornire informazioni sul trattamento equo se il trattamento è necessario per proteggere gli interessi vitali dell'interessato o di un'altra persona fisica (articolo 6, paragrafo 1, lettera b)).
- -Articolo 24 (protezione dei dati secondo la progettazione) - Questa disposizione stabilisce principi che sono di fatto rivolti ai produttori di hardware e software, che in realtà non sono soggetti al GDPR (le società che utilizzano hardware e software sono i responsabili del trattamento dei dati). Le autorità di vigilanza propongono di includere una definizione di "produttore" nel GDPR e di assoggettare espressamente tali parti all'obbligo di sviluppare e progettare prodotti, servizi e applicazioni in conformità con i requisiti del GDPR.
- Articolo 33, paragrafo 1 (notifica della violazione dei dati) - Le società non dovrebbero essere tenute a notificare le violazioni dei dati che potrebbero essere a basso rischio per i diritti e le libertà delle persone interessate. La relazione suggerisce inoltre di inserire l'obbligo per i responsabili del trattamento di notificare incidenti di sicurezza (anche se non confermati violazioni dei dati) che possono presentare un rischio elevato per i diritti e le libertà degli interessati.
- Articolo 37, paragrafo 7 (notifica di un responsabile della protezione dei dati) - L'obbligo di notificare le informazioni di contatto del responsabile della protezione dei dati alle autorità di vigilanza dovrebbe essere eliminato in considerazione del fatto che il responsabile del trattamento deve rendere pubbliche tali informazioni.
In relazione al marketing diretto, la relazione sottolinea che le aspettative degli interessati sembrano variare tra i diversi Stati membri dell'UE. Ciò può portare a risultati diversi nel bilanciamento degli interessi legittimi del responsabile del trattamento rispetto agli interessi degli interessati.
Per questo motivo, i legislatori dell'UE dovrebbero introdurre criteri comuni su come bilanciare questi interessi.
Per quanto riguarda la profilazione, la relazione richiede regole più specifiche e consentire la profilazione solo quando un responsabile del trattamento ha ottenuto il consenso (o ha stipulato un contratto con) l'interessato.
Le autorità di vigilanza tedesche concludono il rapporto invitando la Commissione europea a prendere in considerazione i loro suggerimenti nella sua prossima revisione biennale del GDPR prevista per il 25 maggio 2020
| Consulente Commerciale | Specialista IT | Gestione e Sicurezza dei Dati Aziendali | Stampanti | Hardware & Software |
4 anniCaro amico Nicola io ne ho già abbastanza problemi con questa privacy non commento cosa vogliamo i tedeschi francesi ecc. siamo in proroga per la nomina del nuovo garante, continui incontri per modificare articoli che purtroppo non vengono recepiti dalle nostre PMI e lasciamo stare la pubblica amministrazione . Mi sono appassionato alla privacy dalla sua entrata in vigore da decenni ... adesso speriamo che ci sia meno innovazioni più semplificazioni. Ci sarà qualcuno che si arrabbierà ma non siamo capaci di far decollare il GDPR in Italia e pensiamo a modificare... dobbiamo essere sempre a spendere soldi per aggiornare... chi può le procedure. Scusami ma a me sembra una grande scusa per le grandi aziende.... e la maggior parte delle piccole aziende manderanno tutti noi consulenti a ....... buona giornata e buona settimana.
Security, Data Protection, Privacy. Comments are on my own unique responsibility :-)
5 anniChe noia i tedeschi fanno anche il loro lavoro e persino hanno maturato esperienza e propongono modifiche... Prendessero esempio da noi che invece il GDPR ancora non sappiamo cosa sia 🤣 #quellidelfascicoloP
40+ years in Information and IT Security & ISO compliance
5 anniGrazie Nicola... a ben pensarci era solo questione di tempo. Un puro esercizio di "Common Law" buttato dentro un sistema prevalentemente di "Civil (Roman) Law". E sempre col senno di poi: chi meglio dei tedeschi era in lizza per la gara a chi avrebbe messo in discussione il GDPR? Fra cuore del Sacro Romano Impero[¹] ed il "Ordnung und Disciplinen" fatto sostanza solida? :-) Giacomo? [¹] che non era "Sacro", tantomeno "Romano" e molto poco "Impero" (but that's another story...) .
Innovation & Communication Advisor | Contributor @ Forbes & Dealflower Tech & Legal | Moderatore Eventi Tech & Legal
5 anniInteressante la proposta di modifica all’art. 25 del GDPR, Privacy by Design & by Default. Tuttavia, se mai dovesse essere limitata la portata in via “restrittiva” ai soli costruttori, credo che sarebbe una grossa perdita. Vero che l’applicazione della norma ha un forte impatto sui produttori di hardware e software, ma non si limita affatto a loro. Anzi, dovrebbe essere punto chiave di qualsiasi nuovo servizio realizzato/progettato dal Titolare, racchiudendo in sé i principi via via previsti nel Regolamento.
Tra i punti evidenziati sono d’accordo solo sull’inserimento della definizione di produttore, sviluppatore, progettista nel Gdpr (in applicazione del considerando 78). Per quanto riguarda, invece gli altri punti: 1) il DPO è’ un punto di contatto non solo per gli interessati, ma anche per l’Autorita’, ritengo sia importante comunicare i dati di contatto. Inoltre, Autorita’ deve poter controllare requisiti e competenze. 2) articolo 33 il gdpr parla di “in caso di violazione” e parla di probabilità di rischio dei diritti e le libertà fondamentali, articolo 33 e’ chiaro, spetta a noi Giuristi saper valutare; 3) le informazioni di cui articolo 13 del Gdpr vanno rilasciate al momento in cui i dati sono ottenuti. Anche questo articolo è’ chiaro e non lascia dubbi, senza eccezioni. 4) l’aspettativa nutrita dall’interessato sul trattamento non incide sulle informazioni che devono essere fornite all’interessato.