Cinque anni fa partiva l’applicazione del General Data Protection Regulation, il regolamento sulla protezione dei dati personali. Cosa è cambiato, cosa manca ancora per la nostra privacy e sicurezza digitale.
Applicato dagli Stati membri dell’UE da ormai cinque anni, per il General Data Protection Regulation, meglio noto come GDPR è tempo di bilanci. Il regolamento europeo che armonizza le discipline sulla privacy dei diversi paesi compie il suo primo lustro di vita, anche se in realtà, come sottolinea a Changes l’avvocato Enrico Ferraris, esperto di protezione dei dati personali, «gli anni di applicazione sono 5, ma sono 7 quelli dall’approvazione del regolamento». E la questione non è di mera conta temporale, visto che, «quei due anni in più sono stati spesi male da paesi come l’Italia che si è adeguata alle nuove norme solo sotto scadenza». Niente di nuovo. Ma andiamo in ordine e partiamo dal soggetto: il GDPR.
Gli ambiti del GDPR, la sua applicazione ed esecuzione
Il provvedimento rappresenta una norma sulla protezione dei dati per tutti i soggetti che operano all’interno dell’UE con lo scopo di consentire un maggiore controllo sui dati personali da parte degli utenti interessati.
Il trattamento di questi dati, secondo il GDPR deve procedere secondo i principi di liceità, correttezza e trasparenza nei confronti dell’interessato, limitazione delle finalità, minimizzazione ed esattezza dei dati, limitazione della loro conservazione e Integrità e riservatezza.
Una delle novità principali del regolamento è l’obbligo per aziende o enti di nominare un Data Protection Officer, supervisore indipendente, per il quale viene introdotto il principio di accountability, cioè la responsabilità di decidere come conformarsi alle disposizioni del GDPR.
Per maggiori dettagli sul GDPR rimandiamo a questo articolo di Changes scritto proprio all’indomani della sua pubblicazione sulla Gazzetta Ufficiale. Ora però è arrivato il momento di chiedersi: il GDPR ha avuto un impatto benefico sul trattamento dei dati personali europei in uno scenario di crescente digitalizzazione della nostra vita sociale?
Il GDPR: una best practice?
Uno dei più evidenti segni del successo del GDPR è stato il fatto di aver ispirato a livello internazionale, diverse legislazioni, come quelle di alcuni Stati americani come la California, o come la Personal Information Protection Law (PIPL) cinese promulgata nel 2021, pur con alcune notevoli differenze con la regolamentazione europea.
Ma come sta andando la sua applicazione reale? Guardando all’Italia, secondo i dati diffusi dal Garante della Privacy, dal 25 maggio 2018 al 31 dicembre 2022 al Garante sono pervenuti 65.532 comunicazioni dei dati di contatto dei Responsabili dei dati personali delle organizzazioni (obbligo prescritto dal GDPR), 68.126 reclami e segnalazioni e 6.882 notifiche di violazioni dei dati personali. Per quel che riguarda le comunicazioni dei Responsabili, il dato nel corso degli anni è in netta crescita, segno di una crescente adesione delle aziende ai principi del GDPR, mentre i reclami, le segnalazioni e le notifiche di violazione hanno un trend più costante. Aldilà dei numeri, quello che secondo l’avvocato Ferraris si segnala come uno degli effetti più positivi del GDPR è quello culturale. “Con il regolamento si è creata una nuova sensibilità nelle aziende e nell’opinione pubblica. Il merito del GDPR è quello di aver diffuso una maggiore cultura della protezione dei propri dati personali, pur se ancora oggi la strada è molto lunga”.
Secondo un sondaggio condotto dall’Osservatorio di Federprivacy a cui hanno partecipato quasi mille addetti ai lavori è emerso che il 78% degli intervistati ritiene che le aziende curano il rispetto del GDPR come un mero adempimento burocratico, mentre solo il 18% bada sia alla burocrazia che alla sostanza, e il residuo 4% mira invece alla sostanziale protezione dei dati. L’osservanza del GDPR è quindi solo di facciata? Secondo l’avvocato Enrico Ferraris la situazione tra le aziende non è omogena. «Ad oggi siamo in presenza di aziende che hanno compreso il fattore positivo che può portare la corretta protezione dei dati e ne hanno fatto anche un fattore di differenziazione concorrenziale, altre invece sono meno performanti» sottolinea Ferraris.
Il GDPR e le nuove sfide digitali
Da quel maggio 2018 c’è stata una pandemia, una guerra in Europa che ha stravolto gli equilibri commerciali mondiali e un processo di digitalizzazione crescente con un’accelerazione marcata degli investimenti verso le tecnologie dell’intelligenza artificiale. La vicenda che ha visto il Garante della Privacy bloccare in Italia Chat-GPT ha permesso se non altro di approfondire il nodo AI-dati personali e in questo scenario si può ben inserire anche il GDPR.
«Il regolamento ha il vantaggio di essere una normativa di alto livello, che si adegua alle evoluzioni tecnologiche. Tuttavia, questa astrattezza può essere vista anche come un limite, perché ci sono passaggi meno chiari di altri, che attendono specifiche osservazioni da parte delle Autorità garanti» osserva Ferraris. Una astrattezza che se da un lato, dunque, consente al regolamento di abbracciare nuovi scenari come quelli relativi all’AI, dall’altro pone dubbi interpretativi di non poco conto. «È importante inserire il GDPR in uno scenario più complesso, come per esempio quello che comprende il cosiddetto AI Act, in dirittura d’arrivo in Europa. Dal suo raccordo con il GDPR dipenderà molto del futuro della tutela dei dati personali in Europa, in attesa che anche l’Italia si doti di un’Autorità specifica nel campo dell’Intelligenza artificiale». I prossimi passi dal punto di vista legislativo (sia a livello nazionale che europeo) saranno quindi importanti e dovranno puntare a una maggiore coerenza della disciplina, per evitare sovrapposizioni o addirittura contraddizioni tra le varie norme che rischierebbero di creare nuovi deleteri spazi di incertezza.
