GDPR, i rinvii alla Corte di Giustizia Ue: i principali nodi da sciogliere

tratto da Agenda Digitale

A un anno dalla piena vigenza del GDPR, sono circa una decina i rinvii pregiudiziali pendenti davanti alla Corte di Giustizia. I primi interventi giurisprudenziali influiranno sull’effettiva capacità del regolamento di governare le sfide dello sviluppo tecnologico. Vediamo quali sono gli aspetti al vaglio della Corte Ue.

n modo concreto per fare un primo bilancio su pregi e difetti del GDPR, a un anno dalla piena vigenza, e per azzardare qualche previsione sul futuro, è quello di guardare al contenzioso generato dal Regolamento presso la Corte di Giustizia UE nel corso del suo primo anno di vita.

Dopotutto, in ambito giuridico, il contenzioso rappresenta la cartina al tornasole della qualità di un quadro normativo e delle criticità che esso presenta. Questo è ancora più vero nell’ambito del diritto europeo alla protezione dei dati personali, un ambito in cui si è passati in un arco di tempo relativamente breve da una quasi totale assenza di decisioni giudiziarie (“where have all the judges gone?”, scriveva Lee Bygrave 19 anni fa) ad un’ampia giurisprudenza della Corte di giustizia, la quale ha tracciato le linee guida fondamentali del processo di riforma che ha portato all’adozione del GDPR.

Uno dei principali compiti demandati alla Corte di Giustizia è quello di verificare la compatibilità delle norme nazionali di attuazione di una Direttiva europea o di un Regolamento europeo con la Direttiva od il Regolamento in questione, o più in generale col Diritto dell’Unione. Questo controllo avviene spesso negli anni immediatamente successivi all’entrata in vigore della normativa europea di riferimento. Ad esempio, nei primi anni successivi all’entrata in vigore della Direttiva 95/46/CE (ovvero la Direttiva sulla protezione dei dati personali, oggi sostituita dal GDPR), la Corte si è occupata di verificare se le norme che istituivano le autorità garanti della privacy in Austria, Germania e Ungheria fossero in linea con i requisiti della Direttiva.

Con il passaggio dalla Direttiva 95/46/CE al GDPR è mutata la natura dello strumento normativo di riferimento, con la conseguenza che gli Stati membri non sono più completamente liberi di scegliere le modalità di attuazione del contenuto dello strumento normativo: le norme nazionali di attuazione di un Regolamento, in via di principio, possono essere adottate solo se espressamente autorizzate, cosa che avviene solo in via eccezionale. Si è quindi ridotto di molto lo spazio di manovra concesso agli Stati membri nel regolamentare il trattamento di dati personali.

Quali siano i limiti entro cui gli Stati membri possano derogare al GDPR o introdurre norme ulteriori in materia di privacy sarà molto probabilmente uno dei temi più importanti di cui la Corte si occuperà nei prossimi anni. Il caso Fashion ID (C-40/17) presenta alla Corte una prima occasione per affrontare questo tema, almeno en passant. In particolare, la Corte potrebbe decidere di chiarire i limiti entro cui l’Articolo 80 del Regolamento consenta alla normativa nazionale di riconoscere ad associazioni senza scopo di lucro la legittimazione ad avviare un procedimento giudiziario nei confronti del presunto autore di una violazione della normativa in materia di protezione dei dati, al fine di tutelare gli interessi dei consumatori.

A questo proposito, è bene notare come svariate normative nazionali di attuazione del GDPR contengano norme difficilmente compatibili con una rigida applicazione del principio secondo cui le norme di attuazione di un Regolamento europeo possono essere adottate sole se espressamente autorizzate. Si pensi ai requisiti di pseudonimizzazione imposti dalla normativa tedesca, in assenza di una specifica autorizzazione nel GDPR, o alle numerose definizioni nazionali di termini già definiti dal GDPR. Sarà quindi interessante vedere quanta flessibilità sia disposta a concedere la Corte agli Stati membri che hanno introdotto norme supplementari o derogatorie rispetto al GDPR.

leggi l’articolo completo

This entry was posted in News and tagged , , , , . Bookmark the permalink.