*di Sarah Yacoubi – Il 25 maggio 2018, tre anni dopo la prima pubblicazione nella Gazzetta Ufficiale europea, è entrato in vigore il GDPR (General Data Protection Regulation), con lo scopo di regolamentare la circolazione e l’utilizzo dei dati personali all’interno dell’Unione Europea e verso le altre parti del mondo.
L’ obiettivo generale del GDPR è quello di aumentare la protezione dei cittadini appartenenti all’area dell’UE, anche i non residenti, restituendo loro il controllo dei propri dati personali e facilitando, allo stesso tempo, la circolazione degli stessi.
Come? Obbligando aziende, imprese e organizzazioni a trattare le informazioni sensibili solo dopo esplicito consenso, con la massima chiarezza e indicando in modo trasparente le finalità, le modalità e la durata del trattamento. Ciò comporta l’archiviazione dei dati esclusivamente per il periodo necessario al raggiungimento delle finalità dichiarate.
A tre anni di distanza dalla sua applicazione è lecito interrogarsi sullo stato di avanzamento della normativa e sugli effetti che essa ha prodotto
La regolamentazione europea del trattamento dei dati è diventata un punto di riferimento sull’argomento a livello globale e l’importanza per i cittadini di avere un pieno controllo delle proprie informazioni personali in un mondo che sempre più si basa sul trattamento dei dati è evidente. Nonostante i numerosi progressi e il cambiamento radicale che il Regolamento ha portato nel panorama europeo, ci sono ancora passi avanti da fare sul piano della conformità delle regole:
è fondamentale che i cittadini abbiano la certezza che i loro dati siano protetti.
Il regolamento generale per la protezione dei dati, però, quando ha visto la luce 36 mesi, aveva le idee ben chiare. Con multe fino a 20 milioni di euro, pari al 4% del fatturato annuo globale, è stato chiaro da subito a tutti che l’UE non stava scherzando in materia di protezione dei dati.
Cosa è cambiato davvero in questi 3 anni?
Innanzitutto, anche se le multe sono state effettivamente applicate, sono state intraprese molte altre azioni da parte dei legislatori locali per far rispettare i principi del GDPR.
Tutte le autorità europee – a partire da Francia, Germania, Polonia, Danimarca, Austria, Portogallo e Italia – hanno applicato sanzioni per tutte le organizzazioni ritenute colpevoli di aver violato il regolamento e sono stati presentati migliaia di reclami agli organismi di tutta Europa.
L’impatto del GDPR è stato finora relativamente lieve in termini di multe e casi giudiziari, ma l’effetto più importante del regolamento è stato quello di dare il via a tantissime discussioni e azioni legate al rispetto della privacy, in tutto il mondo.
Tanti Paesi hanno iniziato a lavorare, o aggiornare, le proprie leggi sulla protezione dei dati, sulla scia dell’esempio europeo.
La conseguenza più importante dall’entrata in vigore del GDPR, 3 anni fa, è stata la sua influenza su alcune mega aziende di tecnologia, essendo state costrette a prendere sul serio la privacy dei dati e a creare soluzioni attente a questo importante requisito.
Stiamo cominciando a vedere una nuova frontiera nello sviluppo del web.
I vari aggiornamenti ITP di Apple sono stati un segnale d’allarme per l’intero mondo della tecnologia e della pubblicità online, mettendola in guardia sull’utilizzo di dati e di sistemi di tracciamento non necessari.
A distanza di 3 anni , il concetto di “privacy by design e by default” sta diventando sempre più un principio fondamentale per le aziende della rete.
Ad accelerare il tutto è stata la grave crisi sanitaria che sta attraversando tutto il mondo e che ha visto l’Europa protagonista, poiché sono state emanate diverse disposizioni normative finalizzate sia a contenere e prevenire la diffusione del virus nel territorio europeo, sia a introdurre nuove misure a sostegno di famiglie, lavoratori e imprese per contrastare gli effetti dell’emergenza coronavirus sull’economia italiana (numerosi governi europei hanno emanato disposizioni normative che influiscono sulla materia della protezione dei dati personali). Infatti, è evidente che le summenzionate misure, siano esse a carattere sanitario oppure a carattere economico, possono implicare un trattamento di dati personali, a volte anche di quelli appartenenti alla categoria di dati particolari di cui all’art. 9 del Regolamento Europeo 2016/679 (c.d. GDPR)
Proprio il contesto pandemico dimostra come la privacy, tutt’altro che ostativa alle esigenze collettive, si sia invece dimostrata uno dei principali fattori in grado di garantire un’azione di contrasto della pandemia tale, tuttavia, da non rinnegare il carattere liberale del nostro ordinamento e da coniugare istanze solidaristiche e libertà individuali.
Tanto è stato fatto, ma tanto ancora c’è da fare: oggi le Autorità della Protezione Dati hanno come obiettivo il rafforzamento delle applicazioni di queste regole e il coordinamento delle azioni nazionali grazie alla cooperazione con il Comitato europeo per la protezione dei dati, il quale avrà l’incarico di fornire linee guida sugli aspetti chiave del GDPR per permettere una piena attuazione delle regole.
Vale a dire che la privacy, al pari della Costituzione, non è certo un patto suicida, ma un presupposto di libertà sempre più prezioso nella complessità dell’oggi.
*Data protection Officer
Privacy officer (CDP)
