Il Comitato Europeo per la Protezione dei Dati (Edpb) annuncia l’avvio dei lavori del nuovo Coordinated Enforcement Framework (Cef) per il 2025.
Dopo l’azione coordinata dedicata al diritto di accesso nel 2024, quest’anno la priorità sarà il diritto alla cancellazione, noto anche come “diritto all’oblio” (il riferimento è all’articolo 17 del Gdpr). Una scelta strategica motivata dalla frequenza con cui cittadini e utenti europei esercitano questo diritto, sollevando reclami alle autorità garanti dei diversi Paesi.
L’iniziativa coinvolge 32 autorità di protezione dei dati (Dpa) distribuite in tutta Europa, impegnate in controlli approfonditi e coordinati sull’attuazione pratica del diritto all’oblio da parte dei titolari del trattamento dati. Questi ultimi dovranno rispondere alle richieste di cancellazione avanzate dagli utenti e, nello specifico, dimostrare come gestiscono le condizioni e le eccezioni previste dal Gdpr.
In concreto, nel corso del 2025, le autorità nazionali coinvolte intraprenderanno quindi indagini formali o attività conoscitive mirate su diverse realtà appartenenti a vari settori, con la possibilità di estendere l’attività ispettiva o sanzionatoria laddove emergessero criticità significative. Le conclusioni raccolte saranno condivise e discusse periodicamente tra le autorità coinvolte, per arrivare a un quadro dettagliato e comune della situazione. Questa modalità di azione coordinata mira a fornire indicazioni precise, tanto a livello nazionale quanto europeo, per facilitare successivi interventi mirati e armonizzati.
Strategia coordinata per la protezione dati 2024-2027
La decisione di concentrarsi sul diritto all’oblio non è casuale. Questo diritto risulta tra quelli maggiormente esercitati dai cittadini europei, ma allo stesso tempo è anche uno dei più problematici da attuare per le aziende, spesso indecise su come applicare correttamente eccezioni e condizioni previste dalla normativa. La strategia 2024-2027 dell’Edpb, di cui il Cef rappresenta un’unità operativa fondamentale, mira proprio a facilitare una cooperazione efficace tra le autorità nazionali di protezione dati per garantire un’applicazione coerente e rigorosa del Gdpr.
In particolare, le esperienze maturate negli ultimi tre anni di applicazione del Coordinated Enforcement Framework rappresentano una base di partenza. Negli scorsi anni, l’Edpb ha concentrato l’attenzione su temi cruciali come l’utilizzo di servizi cloud nel settore pubblico, la posizione e il ruolo dei Data Protection Officer (Dpo), e più recentemente sul diritto di accesso. In particolare l’azione sul cloud nel settore pubblico ha evidenziato diverse criticità nell’affidamento esterno della gestione dati sensibili, mentre quella relativa alla posizione e alla designazione dei Dpo ha fatto emergere carenze strutturali e organizzative diffuse, con un impatto diretto sulla conformità complessiva delle aziende e l‘indagine sul diritto di accesso, condotta nel 2024, ha rappresentato già un primo passaggio chiave per testare la risposta operativa delle aziende alle richieste degli utenti, mostrando che spesso queste richieste vengono gestite con ritardi e modalità non sempre trasparenti.
Un nuovo banco di prova per le aziende
Il diritto all’oblio rappresenta dunque un banco di prova ancora più sfidante per aziende e pubbliche amministrazioni, che dovranno dimostrare non solo di rispondere rapidamente alle richieste degli utenti, ma anche di avere procedure interne chiare e conformi al Gdpr. Il diritto alla cancellazione comporta infatti l’obbligo di eliminare tempestivamente i dati personali, salvo casi specifici che ne consentano la conservazione, come l’adempimento di obblighi legali o la tutela di interessi pubblici prevalenti. Questo aspetto rende il diritto alla cancellazione un tema particolarmente sensibile e strategico, sul quale – come accennato – spesso si sono concentrate controversie legali e reclami da parte di singoli utenti. Non sorprende dunque che l’Edpb abbia deciso di dedicare un anno intero di attività coordinate al fine di ottenere una visione approfondita dello stato di conformità nell’Unione Europea.
Verso una cultura della privacy diffusa
La scelta dell’Edpb rappresenta anche un segnale forte verso la promozione di una cultura della privacy diffusa e solida in Europa. L’attuazione pratica del diritto all’oblio obbliga infatti le aziende a ripensare le proprie policy interne e i processi organizzativi legati alla gestione dei dati, andando ben oltre la mera compliance formale. In questo contesto, il lavoro delle 32 autorità di protezione dati diventa cruciale per stabilire degli standard comuni e fornire orientamenti pratici che possano aiutare le aziende e gli enti pubblici europei a garantire il rispetto del Gdpr non solo nella teoria, ma nella concreta gestione quotidiana dei dati ed il lavoro del Coordinated Enforcement Framework del 2025 rappresenterà quindi un passaggio cruciale per verificare concretamente il livello di maturità nel garantire i diritti fondamentali alla protezione dei dati, ponendo le basi per un’applicazione sempre più efficace, coerente e armonizzata del Gdpr nei prossimi anni.
© RIPRODUZIONE RISERVATA
