Qualche giorno fa abbiamo festeggiato i primi tre anni di applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR).
Un momento simbolico, ma di indubbia importanza storica. L’incidenza del GDPR nella vita di imprese, pubbliche amministrazioni e professionisti è ormai sotto gli occhi di tutti e quindi innegabile.
Qual è dunque il bilancio di questo primo triennio di vigenza? Ho provato a rispondere a questa domanda che mi ha posto il Direttore Alessandro Longo, che ringrazio, prendendo in considerazione tre diverse angolature da cui ritengo si possano meglio osservare gli ottimi risultati di questi primi tre anni di applicazione (oltre alle sfide che ancora ci aspettano per gli anni che verranno).
GDPR, codici di condotta e certificazioni: lo stato dell’arte tra sfide e opportunità
L’attività dell’EDPB
La prima prospettiva da cui poter guardare a questi primi tre anni di GDPR è sicuramente quella europea. L’angolo visuale deve essere focalizzato sull’attività di un’istituzione in particolare, vale a dire l’European Data Protection Board (EDPB).
E non potrebbe essere altrimenti, dato che l’EDPB o Comitato Europeo per la Protezione dei Dati nasce proprio con il regolamento europeo che ha sostituito la direttiva 95/46/CE. Direttiva che a suo tempo aveva istituito quel Gruppo di lavoro ai sensi dell’Articolo 29 della direttiva stessa (WP29) i cui pareri e linee guida ancora oggi costituiscono le pietre miliari della materia, anche nella pratica quotidiana.
A tre anni di distanza da quell’epocale passaggio di consegne, possiamo affermare che l’EDPB ha iniziato a comprendere la natura del suo ruolo, quanto meno rispetto alla necessità di fornire continui orizzonti in una materia in forte evoluzione e con un impatto vastissimo dentro e fuori i confini dell’UE.
L’EDPB non ha mancato, in questi anni, di svolgere bene il ruolo di primo consulente di istituzioni, imprese e cittadini, nella delicata fase di lancio del GDPR.
I segni di immaturità
Tutti i principali adempimenti, vecchi e nuovi, introdotti dal GDPR rispetto alla Direttiva 95/46/Ce sono stati oggetto di analisi e di provvedimenti ad hoc. Fredda e ancora poco incisiva è stata invece la risposta del EDPB sui temi più scivolosi e che ancora si mostrano solo in controluce sui mercati, come quelli relativi al posizionamento e alle pratiche diffuse di trattamento dati da parte delle big tech, o con riferimento ai temi spinosi della monetizzazione dei dati personali e alla remunerazione delle persone fisiche rispetto alla circolazione dei propri dati personali.
Anche sul fronte delle sanzioni e dei meccanismi di risoluzione delle controversie tra Autorità di garanzia, l’EDPB non ha ancora lasciato il segno. E’ questo un indice anche della necessità che l’EDPB comprenda appieno la centralità del suo ruolo nel mondo della data economy, anche in vista delle scelte che dovrà compiere e delle sfide a cui tutti saremo chiamati nei prossimi mesi. Mi riferisco, ad esempio alle quattro proposte di regolamento adottate dalla Commissione Europea (Data Governance Act, Digital Services Act, Digital Markets Act e Artificial Intelligence Act).
A tal riguardo, lo scorso 19 maggio il Comitato ha dato alle stampe lo Statement 05/2021 on the Data Governance Act in light of the legislative developments, mentre a marzo l’EDPB e l’European Data Protection Supervisor (EDPS) hanno adottato la Joint Opinion 03/2021 on the Proposal for a regulation of the European Parliament and of the Council on European data governance (Data Governance Act).
Tale ultimo riferimento non è casuale. Occorre infatti sempre ricordare come, in questi primi anni di applicazione del nuovo regolamento europeo, anche l’attività dell’EDPS, prima guidata dal compianto Giovanni Buttarelli ed ora da Wojciech Wiewiórowski ha avuto un ruolo fondamentale e di assoluto rilievo per gli interpreti e gli operatori del settore. Un impegno imprescindibile, anche in veste collaborativa con l’EDPB, un’unione delle forze che fa bene al mercato e che ci si augura possa diventare sempre più frequente.
Gdpr in Italia: il nostro Garante privacy
Una diversa lente di ingrandimento attraverso cui poter osservare il dispiegarsi degli effetti del GDPR e misurarne la portata dell’impatto che hanno avuto questi primi tre anni di vigenza, con particolare riguardo al nostro ordinamento nazionale, è quella dell’attività svolta dall’Autorità Garante per la protezione dei dati personali. Autorità che proprio nel bel mezzo di tale arco temporale ha vissuto il cambio del suo Collegio, avvenuto il 29 luglio 2020, con non poche difficoltà, dovute alla situazione pandemica, che ha costretto il Collegio presieduto da Antonello Soro ad una lunga proroga.
Il nuovo Collegio, presieduto da Pasquale Stanzione, vede alla vicepresidenza Ginevra Cerrina Feroni e come componenti Agostino Ghiglia e Guido Scorza. Con il nuovo Collegio, per la prima volta in sincrono, è anche cambiato il Segretario Generale, da sempre espressione interna dell’Ufficio del Garante – con la sola eccezione della breve parentesi del Presidente Patroni Griffi – con la nomina del Cons. Fabio Mattei.
Il Garante dei record
I numeri parlano chiaro. Infatti, in attesa della Relazione annuale del 2020, il Garante si presenta al momento come il “Garante dei record”: solo nel 2019 sono stati 232 i provvedimenti collegiali adottati, 147 le ispezioni effettuate in numerosi settori, più di 8.000 i riscontri forniti a reclami e segnalazioni e ben 1443 i data breach notificati da parte di soggetti pubblici e privati.
Cifre che dimostrano il grande livello di attenzione posto dall’Autorità nel difendere e applicare l’impianto normativo introdotto dal GDPR e che testimoniano gli sforzi profusi nella battaglia per la protezione dei dati personali e, più in generale, nella salvaguardia dei diritti e dei valori fondanti della tradizione giuridica occidentale. A quanto sin qui detto, va aggiunta la centralità dei provvedimenti volti a chiarire l’applicazione della nuova disciplina europea in specifici ambiti, come ad esempio quello sanitario, e che attestano come l’Autorità italiana si sia prodigata, conscia delle sue responsabilità e dell’importanza del suo ruolo, nel promuovere un’implementazione corretta e puntuale dei principi e degli istituti del Regolamento.
E ancora, per quanto riguarda le sanzioni, ulteriore importante banco di prova del nuovo regime di enforcement dettato dal GDPR, il Garante non ha mancato di far sentire la sua voce: basti pensare che l’ammontare totale delle sanzioni comminate nel primo biennio ha raggiunto i 50 milioni di euro, per arrivare, ad inizio 2020, ad una tra le sanzioni più alte irrogate in Europa dall’entrata in vigore del GDPR, di importo pari a 27,8 milioni di euro, nel delicato settore del telemarketing.
I temi caldi
Allo stato attuale, l’attività del nuovo Collegio sembra andare in modo spedito, non solo grazie ai numerosi e variegati interventi assunti nel pieno delle proprie facoltà – tra provvedimenti, ordinanze e linee guida – ma anche per la centralità assunta nel dibattito pubblico sui temi a forte impatto sulla protezione dei dati, come quelli relativi ai vaccini in azienda e alle famose “certificazioni verdi”, indicando con decisione alle imprese e alle istituzioni le misure da adottare.
E a ciò si aggiungano i provvedimenti, prima, e la ricerca del dialogo, poi, con le big tech, uno su tutti il caso TikTok, che chi scrive ha peraltro avuto il privilegio di seguire in prima persona avendo assistito la società, mostrando così di aver ormai maturato piena consapevolezza e padronanza di tutti gli strumenti messi a disposizione dal Regolamento.
Ovviamente il percorso è ancora lungo e la sfida della protezione dei diritti e delle libertà sempre più difficile, vista la velocità con cui avanza il progresso tecnologico.
Come fare meglio
Per restare al passo e per uscirne vincitori sarà necessario adottare un approccio trasversale e dinamico, capace di cogliere e comprendere tutti gli aspetti, le opportunità e le criticità che caratterizzano le diverse tecnologie che vengono continuamente immesse sul mercato, anche attraverso una valutazione economica ex ante dell’impatto della regolazione sui mercati.
E ciò sarà possibile soltanto attraverso un coordinamento con le altre autorità indipendenti, nazionali e internazionali, pur nella necessaria diversità di compiti, attribuzioni e perimetro di controllo e garanzia, e mantenendo vivo il dialogo con tutti i protagonisti dell’ecosistema costruito dal GDPR, dalle aziende ai DPO, dalle istituzioni agli interessati, alle associazioni rilevanti nel settore, contribuendo così a diffondere ed arricchire la cultura della privacy.
Gdpr e mercato
Utile quanto importante – ai fini di un bilancio completo – è l’incisività del GDPR all’interno del mercato, analizzabile attraverso uno sguardo di insieme sulle opportunità di lavoro e di crescita professionale.
Un dato che certamente rileva è il trend di crescita costante del numero di DPO comunicati all’Autorità. Dai dati ufficiali rilasciati dal Garante emerge che, al termine del primo semestre, al 31 dicembre 2018, i DPO censiti erano 43269; l’anno successivo, al termine del 2019, il numero era salito a 54425; una crescita confermata anche al termine dello scorso anno – pur in una situazione economica e sociale difficile, a causa della pandemia – giungendo a 58752. Il primo trimestre del 2021, sulla scia positiva del periodo passato, porta il numero di DPO comunicati al Garante pari a 59838.
Trovare una ragione univoca al perché questi numeri continuino a crescere richiederebbe un’indagine per ogni singola legal entity che abbia inteso dotarsi della figura del Data Protection Officer.
Tuttavia, tra le plausibili ragioni potrebbero annoverarsi la costituzione di nuove società; la crescita del proprio core business e, quindi, di una maggior presenza sul mercato; il mutamento delle strategie aziendali, sempre più basate sui dati personali e sull’utilizzo di nuove tecnologie; nonché la crescita della consapevolezza sulle attività di trattamento poste in essere, promuovendo in moltissimi soggetti una maturazione delle proprie posizioni, scardinando la falsa convinzione di non trattare dati personali o di non aver bisogno di un DPO.
Nel corso di questi primi anni, è stato lo stesso Garante a sottolineare – anche implicitamente – quanto possa essere importante per un titolare o responsabile del trattamento la presenza di un DPO e del suo coinvolgimento nelle fasi di valutazione e di strutturazione dei processi di trattamento.
Infatti, nel luglio dello scorso anno, nell’ambito di un’ordinanza di ingiunzione e del relativo calcolo della sanzione, il Garante ha inteso conferire il grado di “attenuante” all’avvenuta consultazione del DPO da parte del titolare del trattamento.
Ma anche le stesse imprese, che come noto non sempre sono tenute alla nomina del DPO, iniziano a comprendere la portata pregiudiziale e competitivamente vincente di avere un DPO (e il suo team) a bordo. Nei casi più articolati e di maggiore maturazione, si registra peraltro una scelta felice che vede la nomina di un DPO esterno a corredo e come contraltare alla strutturazione di un ufficio privacy interno all’azienda. E’ questa la modalità che nei casi più complessi e articolati garantisce al tempo stesso la comprensione in tempo reale di tutti i fenomeni che coinvolgono i dati ed il presidio indipendente e terzo di un DPO che in tal modo può dedicarsi all’alta consulenza strategica e ai controlli, lontano dal rischio di conflitti di interesse e pressioni indebite.
Se da un lato la presenza del DPO sul mercato si allarga a macchia d’olio, lo stesso può dirsi delle opportunità di crescita professionale e di formazione. Infatti, con uno sguardo d’insieme su quanto emerge dalla rete, è possibile trarre la conclusione che le offerte formative abbiano esteso la propria portata. Ciò è stato possibile, da una parte, per la sempre più crescente domanda e, dall’altra, grazie alla necessaria virtualizzazione degli spazi – dovuta alla pandemia – che ha permesso a moltissime società di poter raggiungere prospect che, in tempi normali, non avrebbero usufruito dei training in presenza.
Un esempio, tra tutti, è l’incremento delle opportunità di formazione offerte dalla International Association of Privacy Professionals (IAPP) che, grazie ai suoi Official Training Partner sparsi in tutto il mondo, ha permesso e permette a moltissimi professionisti di dotarsi di certificazioni riconosciute a livello globale in materia di protezione dei dati personali.
Il numero dei certificati CIPP/E, CIPM e CIPT, infatti, è in costante crescita, anche sul mercato italiano, a dimostrazione che i professionisti sentono la necessità di svolgere un percorso di alta formazione utile ad approfondire la propria conoscenza in materia e consolidare la propria posizione in un mercato dinamico e in forte ascesa.