Deși GDPR a intrat în vigoare în urmă cu doi ani, Comisia Europeană (CE) a emis un raport ale cărui rezultate indică faptul că setul său de reglementări cu privire la protecția datelor private rămâne departe de obiectivele trasate. General Data Protection Regulation (GDPR) reprezintă un pas mare în direcția limitării puterii unor platforme digitale de mare anvergură, precum Google, Facebook și Twitter, însă aplicarea în statele membre rămâne o provocare.
În raport, CE subliniază creșterea gradului de conștientizare cu privire la măsurile de protecție a confidențialității datelor personale în Europa, precum și numărul tot mai mare de acțiuni îndreptate împotriva companiilor de tehnologie. În același timp raportul a constatat că impactul GDPR continuă să fie limitat, din cauza fragmentării în statele sale membre și a resurselor insuficiente ale unora dintre cele mai importante autorități cu atribuții în domeniul protecției confidențialității datelor personale.
Deși este cu greu de emis o judecată finală, evaluarea perioadei de doi ani va fi atent examinată de țările luând în considerare propriile lor reglementări privind confidențialitatea datelor, și probabil de către companiile din tehnologie. Perceperea succesului sau eșecului GDPR ar putea avea un impact mare asupra faptului că astfel de companii se vor confrunta cu o serie de reglementări și mai dure.
„Opinia generală este că doi ani după ce a început să se aplice, GDPR și-a îndeplinit cu succes obiectivele de consolidare a protecției dreptului persoanei la protecția datelor cu caracter personal și de garantare a utilizării acestora”, se arată în raport. „Cu toate acestea, au fost identificate și câteva domenii în care sunt necesare îmbunătățiri viitoare.”
Pe partea pozitivă, raportul citează un sondaj care a constatat că 69% din populația UE (cu vârsta de 16 ani sau peste) era conștientă de GDPR și 71% dintre oameni au auzit de autoritatea lor națională de protecție a datelor. Adoptarea GDPR a încurajat și alte țări – cum ar fi Australia și Noua Zeelandă – să ia în considerare măsuri similare.
Însă raportul identifică o serie de puncte slabe care trebuie abordate. Unul dintre cele mai important este faptul că setul de reguli rămâne puternic fragmentat. În timp ce UE adopta GDPR la nivel general, statele membre au fost în continuare obligate să adopte legi care să armonizeze legislația locală cu noile reglementări. În timp ce GDPR a fost destul de detaliat, a inclus un grad suficient de generalizare încât regulile adoptate de fiecare stat membru să varieze destul de mult. „Dezvoltarea unei culturi europene cu adevărat comune de protecție a datelor între autoritățile de protecție a datelor este încă un proces continuu”, spune raportul.
Aplicarea normelor GDPR revine autorităților din statele membre individuale. Și diferențele de reguli între țări fac dificilă cooperarea pentru aceste cazuri și luarea de măsuri comune de punere în aplicare. Într-un exemplu, CE a observat că țările mai au vârste diferite de consimțământ pentru copii. În rarele cazuri când cooperarea este necesară, autoritățile trebuie să aplice cea mai slabă dintre cele două seturi de reguli. Aplicările diferite generează confunzie și în rândul companiilor multinaționale care operează în regiune.
„Această fragmentare creează provocări pentru derularea de afaceri transfrontaliere, a activităților de inovare, în special atunci când privește noile dezvoltări tehnologice și soluții de securitate cibernetică”, se arată în raport.
Bugetele pentru protecția datelor au crescut cu 49% între 2016 și 2019, iar personalul autorităților locale pentru protecția datelor personale a crescut cu 42%. Totuși, guvernele din Irlanda și Luxemburg, unde multe companii tehnologice își au sediul internațional, nu dispun de resursele necesare pentru a-și gestiona numărul mare de cazuri cu care se confruntă, se mai arată în raport.
CE intenționează să studieze legislația națională adoptată ca urmare a GDPR pentru a găsi modalități de reconciliere a acestor reguli la nivelul continentului. Iar organismul de reglementare îndeamnă din nou statele membre să investească suficient pentru a permite legislației să își îndeplinească promisiunile făcute la momentul adoptării GDPR.
