“È insopportabile”. Con queste parole Ulrich Kelber, il commissario federale tedesco per la protezione dei dati personali, ha attaccato l’omologo irlandese accusandolo di lassismo nei confronti di Facebook&Co.
“È passato più di un anno e mezzo dall’entrata in vigore il GDPR e l’Autorità non ha adottato nessun provvedimento per violazione del Regolamento europeo sui dossier importanti, come Facebook, WhatsApp e Microsoft”, ha detto Kelber ad un evento a Berlino. “È insopportabile”, ha aggiunto.
Quale il contesto della polemica?
L’Autorità privacy irlandese ha la responsabilità esclusiva, rispetto agli altri Garanti Ue, di vigilare sulla conformità di quasi tutti gli OTT al Regolamento Ue, secondo il principio, introdotto dallo stesso GDPR, dello sportello unico (one stop shop). Il principio stabilisce, quindi, che le imprese, e in genere i titolari del trattamento e i responsabili del trattamento dei dati transfrontalieri, hanno a che fare con una sola Autorità di controllo, cioè quella del Paese dove hanno la sede principale, piuttosto che ogni Autorità dei 28 Stati europei. E quasi tutti gli over the top, Facebook e Microsoft compresi, hanno in Irlanda la sede europea.
Così gli altri garanti nazionali europei hanno un po’ le mani legati nel far rispettare il GDPR agli over the top. Per esempio, il responsabile della protezione dei dati di Amburgo, Johannes Caspar, che è la persona di contatto in Germania per i reclami contro Facebook, deve segnalare eventuali violazioni del GDPR ai suoi colleghi irlandesi, che decideranno quindi su ulteriori misure. “Abbiamo offerto supporto ai colleghi irlandesi”, ha fatto sapere il garante privacy tedesco Kelber, “ma non abbiamo ancora ricevuto una risposta.”
Cosa propone il garante privacy tedesco?
Ulrich Kelber, il commissario federale tedesco per la protezione dei dati personali, in virtù all’atteggiamento di “favore”, che ha notato, del garante privacy irlandese nei confronti di Facebook&Co, per superare il limite dello sportello unico (one stop shop) propone:
- “Un’agenzia europea per la protezione dei dati a cui il Comitato europeo per la protezione dei dati può delegare casi transnazionali di grandi dimensioni con una maggioranza di tre quarti”, ha spiegato Kelber. “Affinché una nuova autorità sia in grado di agire efficacemente”, ha aggiunto, “dovrebbe essere vincolata dal diritto amministrativo europeo e non dal diritto nazionale”.
Mentre il responsabile della protezione dei dati di Amburgo, Johannes Caspar, pensa all’introduzione di un “deadline” per i provvedimenti da adottare dal garante privacy irlandese: “la responsabilità di vigilanza può essere presa in considerazione da altre autorità se le autorità principali non presentano un progetto di decisione entro un determinato periodo di tempo”, ha consigliato Caspar.
Ci sembra una proposta logica, perché l’applicazione del GDPR non può avvenire in modo non uniforme in Europa.
