Blog

Tre anni di GDPR

Posted by:

Tre anni di GDPR

Come ha cambiato le nostre vite: molto ma non ancora abbastanza

Abbiamo festeggiato i primi tre anni di applicazione, dal maggio 2018, del Regolamento Generale sulla Protezione dei Dati (GDPR). Un momento simbolico, ma di indubbia importanza storica. L’incidenza del GDPR nella vita di imprese, pubbliche amministrazioni e professionisti è sotto gli occhi di tutti ed è quindi innegabile. Con il ruolo del Garante della privacy italiano, che è da record, l’incidenza del Regolamento Europeo 2016/679 su aziende, professionisti, PA, mercato, sta esprimendo un crescente entusiasmo, anche se il “European Data Protection Board (EDPB)” non è ancora maturo.

Molto va fatto sul fronte del coordinamento delle Autorità. Ma qual’è il bilancio di questo primo triennio di vigenza? Prendiamolo in considerazione da diverse angolature, per meglio osservare gli ottimi risultati di questi primi tre anni di applicazione (oltre alle sfide che ancora ci aspettano per gli anni che verranno).

La prima prospettiva da cui guardare al GDPR è sicuramente quella europea. L’angolo visuale deve essere focalizzato sull’attività di un’istituzione in particolare, vale a dire l’EDPB. Non potrebbe essere altrimenti, dato che l’EDPB o Comitato Europeo per la Protezione dei Dati, nasce proprio con il regolamento europeo, in sostituzione della direttiva 95/46/CE, che a suo tempo aveva istituito quel Gruppo di lavoro ai sensi dell’Articolo 29 (WP29) della direttiva stessa.

I pareri e le linee guida del WP29, ancora oggi costituiscono le pietre miliari della materia, anche nella pratica quotidiana. A tre anni di distanza da quell’epocale passaggio di consegne, possiamo affermare che l’EDPB ha iniziato a comprendere la natura del suo ruolo, quanto meno rispetto alla necessità di fornire continui orizzonti, in una materia in forte evoluzione e con un impatto vastissimo dentro e fuori i confini dell’UE.

L’EDPB non ha mancato, in questi anni, di svolgere bene il ruolo di primo consulente di istituzioni, imprese e cittadini, nella delicata fase di lancio del GDPR. Tutti i principali adempimenti, vecchi e nuovi, introdotti dal GDPR, rispetto alla Direttiva 95/46/CE, sono stati oggetto di analisi e di provvedimenti ad hoc.

Per contro fredda e ancora poco incisiva è stata invece la risposta del EDPB sui temi più scivolosi e che ancora si mostrano solo in controluce sui mercati, come quelli relativi al posizionamento e alle pratiche diffuse di trattamento dati, da parte delle big tech, aprendo temi spinosi relativi alla monetizzazione dei dati personali ed alla remunerazione delle persone fisiche, rispetto alla circolazione dei propri dati personali.

Anche sul fronte delle sanzioni e dei meccanismi di risoluzione delle controversie, tra diverse Autorità di garanzia, l’EDPB non ha ancora lasciato il segno. E’ questo un indice anche della necessità che l’EDPB comprenda appieno la centralità del suo ruolo, nel mondo della data economy, anche in vista delle scelte che dovrà compiere e delle sfide a cui tutti saremo chiamati nei prossimi mesi.

Sono ben quattro le proposte di regolamento adottate dalla Commissione Europea (Data Governance Act, Digital Services Act, Digital Markets Act e Artificial Intelligence Act). A tal riguardo, lo scorso 19 maggio il Comitato ha dato alle stampe lo Statement 05/2021 on “the Data Governance Act in light of the legislative developments”, mentre a marzo l’EDPB e il “European Data Protection Supervisor (EDPS)” hanno adottato la Joint Opinion 03/2021on the Proposal for a regulation of the European Parliament and of the Council on European data governance” (Data Governance Act).

Tale ultimo riferimento non è casuale. Occorre infatti sempre ricordare come, in questi primi anni di applicazione del nuovo regolamento europeo, anche l’attività dell’EDPS, prima guidata dal compianto Giovanni Buttarelli ed ora da Wojciech Wiewiórowski, ha avuto un ruolo fondamentale e di assoluto rilievo per gli interpreti e gli operatori del settore. Un impegno imprescindibile, anche in veste collaborativa con l’EDPB, un’unione delle forze che fa bene al mercato e che ci si augura possa diventare sempre più frequente.

GDPR in Italia. Una diversa lente attraverso cui poter osservare il dispiegarsi degli effetti del GDPR e misurarne la portata dell’impatto che hanno avuto questi primi tre anni di vigenza, con particolare riguardo al nostro ordinamento nazionale, è quella dell’attività svolta dall’Autorità Garante per la protezione dei dati personali. Autorità che proprio nel bel mezzo di tale arco temporale ha vissuto il cambio del suo Collegio, avvenuto il 29 luglio 2020, con non poche difficoltà, dovute alla situazione pandemica, che ha costretto il Collegio presieduto da Antonello Soro (precedente Presidente) ad una lunga proroga.

I numeri parlano chiaro. L’Autorità, nel corso di un anno (il 2020) caratterizzato dall’impatto della pandemia e dell’emergenza sanitaria legata al Covid-19, si è espressa su tutti i settori della vita nazionale e dal massiccio ricorso a piattaforme on line. La necessità di assicurare, da una parte, un funzionale trattamento dei dati – in particolare di quelli sulla salute – e, dall’altra, il rispetto dei diritti delle persone, ha visto il Garante impegnato in una costante opera di bilanciamento al momento di fornire pareri e indicare misure di garanzia.

Il Garante si presenta, al momento, come il “L’autorità dei record”: 21 le ispezioni effettuate nel 2020, 278 i provvedimenti collegiali adottati, i pareri sono stati 7 sulle norme di rango primario, 60 su atti regolamentari e amministrativi, 18 in materia di accesso civico. I riscontri dell’Ufficio Relazioni col Pubblico (URP) sono 15040, gli accessi al sito web 5.829.946. I “data breach” notificati da parte di soggetti pubblici e privati sono stati 1387, in alcuni casi relativi anche a dati sanitari.

Le sanzioni sono un ulteriore importante banco di prova del nuovo regime di enforcement dettato dal GDPR. Il Garante non ha mancato di far sentire la sua voce: basti pensare ai provvedimenti contro il telemarketing aggressivo, per un importo complessivo di 57 milioni di euro, nel solo 2020.  Le sanzioni riscosse sono state pari a oltre 38 milioni di euro. Le comunicazioni di notizie di reato all’autorità giudiziaria sono state 8 e hanno riguardato violazioni in materia di: 1 – controllo a distanza dei lavoratori; 2 – accessi abusivi a sistemi informatici; 3 – trattamento illecito dei dati; 4 – falsità nelle dichiarazioni.

Cifre che dimostrano il grande livello di attenzione posto dall’Autorità nel difendere e applicare l’impianto normativo introdotto dal GDPR e che testimoniano gli sforzi profusi nella battaglia per la protezione dei dati personali e, più in generale, nella salvaguardia dei diritti e dei valori fondanti della tradizione giuridica occidentale.

Va aggiunta la centralità dei provvedimenti volti a chiarire l’applicazione della nuova disciplina europea, in specifici ambiti, come ad esempio quello sanitario, in particolare con quelli relativi ai vaccini in azienda e alle famose “certificazioni verdi” (green pass), indicando con decisione alle imprese e alle istituzioni le misure da adottare, che attestano come l’Autorità italiana si sia prodigata, conscia delle sue responsabilità e dell’importanza del suo ruolo, nel promuovere un’implementazione corretta e puntuale dei principi e degli istituti del Regolamento.

Si aggiungano i provvedimenti a favore dei minori e la ricerca del dialogo, con le big tech, uno su tutti il caso TikTok, mostrando così di aver ormai maturato piena consapevolezza e padronanza di tutti gli strumenti messi a disposizione dal Regolamento. Ovviamente il percorso è ancora lungo e la sfida della protezione dei diritti e delle libertà sempre più difficile, vista la velocità con cui avanza il progresso tecnologico.

Il Sito web del Garante della protezione dei dati personali si è sviluppato e ampliato ulteriormente, con sempre più video, dedicati a molteplici temi e, in particolare, al Cyberbullismo per spiegare ai ragazzi come difendersi (avvalendosi della Legge 71/2017, che prevede che le vittime possano rivolgersi al Garante per un intervento sui contenuti molesti pubblicati online) oppure con il nuovo Servizio telematico dedicato al “data breach”.

BIBLIOWEB:

Statement (dichiarazione) 05/2021 sulla legge sulla governance dei dati alla luce degli sviluppi legislativi https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-052021-data-governance-act-light-legislative_en
Parere congiunto EDPB-GEPD 03/2021 sulla proposta di regolamento del Parlamento europeo e del Consiglio sulla governance europea dei dati (atto sulla governance dei dati) https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-032021-proposal_it
Sito web Garante della protezione dei dati personali  https://www.garanteprivacy.it/
Video sul Cyberbullismo https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9675899
I tuoi dati sono un tesoro https://newmicro.altervista.org/?p=8404
Fascicolo Sanitario Elettronico personale https://newmicro.altervista.org/?p=8220
Diffamazione elettronica https://newmicro.altervista.org/?p=8175
Vishing https://newmicro.altervista.org/?p=7854
Il nuovo Garante Privacy https://newmicro.altervista.org/?p=7698
Un anno di Privacy https://newmicro.altervista.org/?p=7567
Cyber Crime https://newmicro.altervista.org/?p=7813
Reati Connessi all’Informatica https://newmicro.altervista.org/?p=7300
Sicurezza dei dati sanitari http://newmicro.altervista.org/?p=5934

 Dispositivi Medici – ISO – Regolamenti 2017/745 e 746 (PDF-FlipBook)

Un Click per Leggere



Articoli correlati:

0
Giovanni Casiraghi

About the Author

Email: [email protected]
Go To Top
AVVERTENZA: Questo sito web utilizza i Cookies al fine di offrire un servizio migliore agli Utenti Maggiori informazioni