A più di sei anni dall’entrata in vigore del GDPR, il Regolamento europeo per la protezione dei dati personali, occorre interrogarsi sui possibili scenari futuri della protezione dei dati, al fine di garantirne un’applicazione efficace nel mondo digitale.
Nonostante il GDPR rappresenti oggi la pietra miliare a cui fare riferimento in ambito data privacy e sia ormai considerato il benchmark per un corretto trattamento e utilizzo dei dati dei consumatori nel mondo digitale, contenendo tutti gli strumenti necessari a garantire il perseguimento di tale fine, a oggi, infatti, non si può ancora parlare di un’applicazione efficace del Regolamento.
Vediamo allora quali sono i principali ostacoli che ne impediscono un’applicazione uniforme e gli strumenti giuridici da integrare per coglierne tutti i vantaggi.
GDPR, più danni che benefici? Una prima valutazione degli effetti economici
L’impatto del Gdpr e il futuro della data privacy
L’impatto del GDPR su tutti gli attori della filiera (professionisti di sicurezza informatica, DPO, ecc.) è stato considerevole: tutti oggigiorno sanno cosa significa applicare la data privacy al proprio lavoro. Ma quello che più forse impressiona è che nei sei anni trascorsi dall’introduzione del GDPR, si è verificato un evidente cambiamento nella consapevolezza dei consumatori su questo tema.
Ai fini della comprensione delle sfide future caratterizzanti l’ambito data privacy occorre preliminarmente concentrarsi sulla necessità di garantire un’applicazione efficace del GDPR e riflettere sull’opportunità di assicurare uno sforzo collettivo volto alla costruzione di una cultura della conformità, anche alla luce di un primo bilancio su ciò che attualmente funziona nell’ambito del modello di governance del Regolamento GDPR e su ciò che potrebbe essere migliorato.
Il concetto di “applicazione efficace” del GDPR
Negli ultimi mesi si è spesso discusso del tema relativo al concetto di “applicazione efficace” del Regolamento GDPR, ed è stata sottolineata la stretta interconnessione esistente tra compliance ed enforcement. Molti commentatori hanno in particolare evidenziato come l’applicazione, infatti, non rappresenti un obiettivo in sé, bensì un mezzo per raggiungere la conformità al GDPR.
È indubbio che i benefici legati all’implementazione del GDPR siano evidenti. Tra questi è sicuramente da menzionare l’impatto che il regolamento GDPR ha provocato anche oltre i confini europei, tanto che tra gli studiosi del settore è ormai consuetudine parlare di cosiddetto “effetto Bruxelles”. Per effetto Bruxelles si allude alla pressione avvertita dalle organizzazioni internazionali per aderire ai più alti standard di protezione globali assicurati dal regolamento GDPR, che ha consentito, come conseguenza, all’Unione Europea, di estendere de facto le proprie leggi a livello internazionale.
Questo effetto positivo indiretto generato dall’implementazione del regolamento GDPR è tuttavia oggi giorno messo in pericolo a causa della mancanza di una sua applicazione uniforme e consistente, tanto che da più parti si è evidenziato il timore che il GDPR finisca per perdere il suo status di “golden standard”.
I problemi che impediscono un’applicazione uniforme del GDPR
In questo senso, tra i problemi principali legati a un’applicazione uniforme del GDPR sono state annoverate le discrepanze tra le procedure nazionali, che ostacolano il funzionamento del meccanismo di cooperazione tra le Autorità di controllo, il cosiddetto principio del One-Stop-Shop (“OSS”), nonché la mancanza di risorse e di personale esperto a disposizione dei Garanti europei.
Del resto, la necessità di assicurare un’applicazione uniforme del GDPR rappresenta un’esigenza fortemente sentita dalla stessa Commissione Europea.
La cooperazione tra le Autorità nazionali di controllo
Didier Reynders, Commissario europeo per la Giustizia, i diritti fondamentali e la cittadinanza, in un recente convegno sul futuro della data privacy ha illustrato l’impegno della Commissione europea nell’applicazione del GDPR e sottolineato l’importanza, ai fini di un’applicazione effettiva ed efficace del Regolamento, della cooperazione tra le Autorità nazionali di controllo, ricordando che tra gli obiettivi all’origine del GDPR figuravano la necessità di preservare il principio di prossimità, in modo da consentire ai cittadini di interfacciarsi facilmente con Autorità che condividessero con loro valori culturali e lingua, e quello di garantire la collaborazione tra le Autorità nazionali, in modo da assicurare su tutto il territorio europeo gli stessi elevati standard di data protection.
Con l’intento di assicurare una maggiore uniformità di applicazione del GDPR si è spesso discusso di come migliorare i meccanismi di cooperazione tra le Autorità nazionali di controllo previsti dal GDPR. Numerosi osservatori hanno messo in luce i benefici ma anche le difficoltà sperimentate legate all’incontro tra diversi background culturali e approcci non omogenei alla data protection. Svariate anche le soluzioni proposte per assicurare un’applicazione efficace del GDPR: maggiori risorse, procedure allineate di gestione dei reclami, operazioni congiunte su casi strategici, e maggiore coinvolgimento e trasparenza da parte dell’EDPB (European Data Protection Board).
Le indicazioni Edpb in materia di cooperazione tra le Autorità nazionali di controllo
In tal senso la Dichiarazione adottata dall’EDPB lo scorso 28 aprile a Vienna, contenente alcune linee guida essenziali in materia di cooperazione tra le Autorità nazionali di controllo, ha rappresentato il primo passo verso un’applicazione efficace del GDPR. Ricordiamo che in tale occasione l’EDPB ha indicato alcune linee strategiche essenziali, tra cui:
- individuazione su base regolare dei casi transfrontalieri di importanza strategica, sui quali la cooperazione avrà natura prioritaria con il supporto del Comitato. A tale scopo, sono stati indicati, e saranno precisati ulteriormente, alcuni criteri qualitativi e quantitativi (p.es., numero elevato di interessati coinvolti, problemi strutturali o ricorrenti in più Stati membri, casi che vedono l’interazione fra protezione dei dati e altri ambiti giuridici, ecc.). Per la gestione di questi casi strategici, la Dichiarazione prevede che venga definito un piano di azione, sotto il coordinamento dell’autorità capofila volta per volta competente, in modo da assicurare massima efficienza e tempestività;
- massima condivisione di tutte le informazioni utili, fin dalle fasi iniziali della trattazione di questi casi, per garantire una decisione consensuale e rapida;
- possibilità di condurre attività investigative e istruttorie in forma congiunta, attraverso gruppi di lavoro ad hoc che si divideranno i compiti specifici, e in taluni casi attraverso la costituzione di una task force.
Il rapporto tra privacy e concorrenza
I dibattiti più recenti hanno anche riguardato il delicato rapporto tra privacy e concorrenza, derivante dal ruolo strategico assunto dai data nel contesto del mercato digitale.
A tal proposito, è stato a più riprese messa in luce la necessità di concentrare lo sforzo collettivo dei Garanti nazionali su casi di importanza strategica che, spesso, vedono coinvolte le big tech, nei confronti delle quali l’applicazione del GDPR è ancora troppo lenta e inefficiente. Sul tema, è stata anche sottolineata la stretta interconnessione esistente tra meccanismi di sorveglianza e forme “degenerative” di capitalismo; è innegabile che oggigiorno ogni individuo sia “sorvegliato” e i dati che fornisce, gratuitamente e spesso inconsapevolmente, attraverso lo svolgimento delle proprie attività quotidiane, on-line e off-line, rappresentino la materia prima che permette ai grandi colossi aziendali di indirizzare i consumi e di “predirli”. Del resto, sono sotto gli occhi di tutti le conseguenze che l’uso improprio dei dati personali e i comportamenti intrusivi della privacy possono avere in termini di concorrenza ai danni di consumatori, società e, più in generale, della democrazia.
Le novità introdotte dal Digital Market Act
Sul tema è importante ricordare le novità introdotte dal Digital Market Act, la cui struttura è volta a limitare il potere delle grandi piattaforme online e ad assicurare il corretto funzionamento del sistema concorrenziale. In tal senso, ii documento evidenzia l’importanza e la necessità di creare un quadro normativo di riferimento sicuro e democratico. Il successo della digital transition, infatti, dipende in primo luogo dalla capacità delle istituzioni regolamentari di costruire un clima di solida fiducia dei cittadini nei confronti delle nuove tecnologie.
Conclusioni
Peraltro, è opinione consolidata quella per cui la principale sfida per il futuro consista nella necessità di procedere a una integrazione reciproca degli strumenti giuridici propri di settori diversi quali quelli della competition, data protection e consumer protection. Solo in questo modo sarà possibile per l’Europa difendere i suoi valori e propugnare i suoi principi nel mondo digitale. Si tratta, in sostanza, di utilizzare tutti gli strumenti giuridici disponibili, non solo l’applicazione della regolamentazione in materia di protezione dei dati, per promuovere un’Europa digitale più equa e sostenibile.
Sulla scorta delle considerazioni sopra esposte, sembra dunque potersi concludere che la possibilità di garantire una protezione reale e coerente ad alto livello dei diritti fondamentali relativi alla protezione dei dati e alla privacy in tutta l’Unione Europea (UE) sia indissolubilmente legata alla capacità di fare ricorso a strumenti giuridici di tutela propri di settori diversi e, contemporaneamente, alla creazione di un modello paneuropeo uniforme di applicazione della protezione dei dati.
