Sono trascorsi tre anni da quando, il 25 maggio 2018, il Regolamento Generale sulla Protezione dei Dati Personali (GDPR) è divenuto applicabile e ben cinque dalla sua entrata in vigore, il 25 maggio 2016.
Da allora, l’Europa ha lasciato un segno indelebile in tema di regole in materia di dati personali che ha costretto diverse nazioni del mondo – e i giganti tech – ad adeguarsi implementando legislazioni simili, in grado di valorizzare e mettere al centro del nuovo ecosistema giuridico i diritti e le libertà dell’interessato.
Tre anni di GDPR, come ha cambiato le nostre vite: molto ma non ancora abbastanza
Tutela dei diritti: così il Gdpr ha aumentato la nostra consapevolezza
Benché per gli addetti ai lavori il Regolamento europeo si ponga sotto molti punti di vista in continuità con la normativa previgente, alcune novità e l’introduzione del principio di responsabilizzazione ha obbligato i Titolari del trattamento a passare da meri adempimenti e dalla pigra adozione dell’Allegato B del Codice Privacy a una proattività in grado di adattare le prassi, i termini e i metodi del trattamento alle esigenze del Titolare e alla sua attività concreta. Questo passaggio ha determinato un po’ di incertezza applicativa che si è tradotta nella necessità da parte del Board dei Garanti europei (l’European Data Protection Board) di emanare una serie di linee guida che potessero aiutare i titolari nell’applicazione dei principi generali indicati dal Regolamento
Il Garante Privacy ha pubblicato un resoconto della sua attività nei tre anni di enforcement del Regolamento ed è emerso un aumento della sensibilizzazione degli interessati in relazione al tema dei diritti con circa 27.192 reclami e segnalazioni di infrazione al Garante. L’alto numero di segnalazioni, circa 24 al giorno, 365 giorni l’anno per tre anni, dimostra che l’adozione del GDPR ha senz’altro aumentato la consapevolezza degli interessati in relazione all’esistenza dei propri diritti e alla richiesta di una loro tutela.
Le segnalazioni sono aumentate a 2839 nel trimestre tra il primo gennaio e il 31 marzo 2021, segno che l’anno di pandemia con la digitalizzazione di molte attività ha comportato anche una maggiore attenzione degli utenti al tema della protezione dei dati personali.
Parimenti, ci sono state 3.873 notifiche di Data breach (circa 3,5 al giorno) che sono poche se comparate con le statistiche sugli attacchi informatici, ma comunque indicative dell’importanza di adottare politiche e strumenti di sicurezza che aiutino a prevenirli. Aspetto fondamentale, in ogni caso, la formazione del personale e la sensibilizzazione sul tema della sicurezza e sui comportamenti da tenere in caso di richieste non conformi alle procedure aziendali.
Sono stati comunicati i nominativi di 59.838 Responsabili della Protezione dei Dati (anche noti come DPO) e non tutti da parte delle Pubbliche Amministrazioni che, in base al Regolamento, sono obbligate a nominare un DPO. Ciò a dimostrazione di quanto l’esigenza di avere una figura di coordinamento, sorveglianza e contatto tra l’Autorità di controllo, gli interessati del trattamento e il titolare sia vista come un’esigenza importante.
Sul fronte sanzionatorio, in Europa si sono svolti 654 procedimenti per complessivi € 283,757,083, (fonte), guardando le statistiche divise per paesi, l’Italia si pone al primo posto per l’entità complessiva delle sanzioni irrogate per € 76,298,601 in 79 provvedimenti, a conferma dell’attività del Garante italiano e dell’attenzione con cui vengono gestiti i reclami e le segnalazioni. Tale conteggio, naturalmente, considera solo le sanzioni irrogate ai sensi dell’art. 83 GDPR e non tiene in considerazione di eventuali risarcimenti del danno o indennizzi versati agli interessati i cui diritti sono stati violati.
Come dichiarato dai membri dell’Autorità di controllo in occasione dell’anniversario del Regolamento UE, resta molta strada da fare per coniugare la digitalizzazione degli Stati membri con una gestione sicura delle infrastrutture. La crescita del perimetro di vulnerabilità delle imprese, dovuta all’adozione, più o meno forzata, di soluzioni di lavoro remoto richiede ai titolari di ripensare i flussi di dati e le procedure di sicurezza all’interno delle proprie organizzazioni.
GDPR, gli effetti del Gdpr oltre l’Europa
Anche rivolgendo lo sguardo oltre i confini nazionali, non passano inosservati i lavori e i traguardi ottenuti in questi primi tre anni di applicazione del GDPR, così come i passi che devono ancora essere intrapresi.
L’European Data Protection Board (EDPB), nato proprio con il GDPR e naturale erede del WorkingParty29, è insieme all’European Data Protection Supervisor (EDPS) l’istituzione che più ha contribuito allo sviluppo di questa disciplina, fornendo pareri, raccomandazioni e Linee Guida a supporto di tutti gli operatori del settore, permettendo uno sviluppo e una comprensione più profonda e informata della materia, delle novità introdotte dal GDPR, così come dell’applicazione dei principi della data protection europea anche alle più recenti tecnologie.
Entrambe le istituzioni hanno infatti dovuto affrontare temi e problematiche assai varie, seguendo da vicino quello che è stato e sarà nei prossimi anni il “destino” del dato, un asset indissolubilmente legato alla creazione di nuove soluzioni tecnologiche che necessitano, per loro natura, di trattare quantità sempre più elevate di dati personali. Alcuni degli interventi dell’EDPB hanno toccato infatti ambiti come il trattamento dei dati personali nel contesto dei veicoli connessi (smart car) e delle applicazioni legate alla mobilità, o quello effettuato dai cd. Virtual Voice Assistant, a dimostrazione del fatto che è necessario proteggere i dati personali, indipendentemente dal settore industriale di riferimento.
La Sentenza Schrems II
Dal 2018 a oggi, l’Unione Europea è stata anche protagonista di una serie di rivoluzioni da molti definite “Copernicane”, prima fra tutte la vicenda legata al trasferimento dei dati personali verso Paesi extra-UE, con la famosa Sentenza Schrems II della Corte di Giustizia Europea del 16 luglio 2020. Con questo milestone, infatti, l’Europa ha preso una forte posizione, abrogando il precedente Privacy Shield e opponendosi ai trasferimenti di dati personali di cittadini europei verso Paesi (nello specifico, gli USA) che non garantiscono dei livelli di protezione dei dati personali adeguato. Segnale, questo, di una notevole presa di coscienza delle Istituzioni Europee, così come dei cittadini, sull’importanza del rispetto degli standard posti dal GDPR a tutela di questi dati.
Trasferimento dati extra UE, cosa sta succedendo dopo Schrems II
Su questo tema l’EDPB è intervenuto in molteplici occasioni, pubblicando anche le Recommendations 01/2020 e 02/2020, finalizzate a fornire ai professionisti europei gli elementi necessari per valutare l’adeguatezza delle misure poste a tutela dei dati personali in Paesi terzi all’Unione Europea, e a valutare i casi in cui le ingerenze delle Pubbliche Autorità sui dati personali dei cittadini europei siano giustificabili o meno. A pochi giorni dal terzo anniversario dell’applicazione del GDPR la Commissione Europea ha inoltre approvato la versione definitiva del nuovo set di Standard Contractual Clauses (SCCs).
In questi 3 anni, l’innovazione che il GDPR ha portato nel campo della protezione dei dati personali e l’impatto che ha avuto in Europa su tutti i player del settore, Big Tech comprese, ha fatto sì che il Regolamento Europeo fosse considerato un benchmark a livello globale, fungendo da musa ispiratrice per la creazione di altre leggi sulla protezione dei dati personali. Lo stesso Wojciech Wiewiórowski (European Data Protection Supervisor), in occasione proprio di questo terzo anniversario, ha affermato che “The GDPR has been a sensational achievement for Europe and its citizens, acting as a lighthouse for the entire global policy-making scene… It has acted as a catalyst for many jurisdictions around the world to draft and implement their own privacy and data protection legislation.”
La struttura orientata all’accountability, l’empowerment dei data subject ottenuto attraverso la previsione di un ventaglio più ampio di diritti azionabili a tutela dei propri dati, nonché la previsione di un sistema sanzionatorio come quello introdotto dal GDPR hanno ispirato, infatti, molte delle più recenti normative sulla privacy a livello globale, prima fra tutti la California, che con il suo California Consumer Privacy Act (a breve Californa Privacy Rights and Enforcement Act – CPRA) è diventata il primo Paese degli Stati Uniti con una normativa organica sulla privacy dei consumatori. In Brasile, la recentissima Brazilian General Data Protection Law (LGPD) è un altro esempio perfetto dell’influenza globale ottenuta dal GDPR, essendo quasi interamente allineata con la disciplina europea. Da non dimenticare, inoltre, il Protection of Personal Information Act (POPIA) in Sudafrica ed il Personal Information Protection Act (PIPA) in Corea del Sud.
Conclusioni
Un retaggio notevole se si tiene in considerazione la giovane età di questo Regolamento.
La sfida per i prossimi anni sarà sicuramente in capo alle Istituzioni europee e nazionali, che dovranno proseguire il loro lavoro e i loro compiti istituzionali affrontando uno scenario in continua evoluzione, che quasi certamente vedrà un’attenzione speciale sul tema dell’utilizzo dei dati personali da parte di tecnologie come l’Intelligenza Artificiale.
La sfida dell’Europa rimane, infatti, quella di difendere la propria posizione di garante per i diritti dei cittadini alla protezione dei propri dati personali e, contemporaneamente, mostrarsi come leader della prossima rivoluzione tecnologica, AI-driven e non solo, dimostrando ancora una volta la sua autorevolezza.