Il grande cambiamento portato dall’introduzione del GDPR in Europa è una scommessa che va oltre la funzionalità interna e apre un dibattito più generale su scala mondiale dove l’Europa punta a essere d’esempio. È questa la premessa di Giovanni Buttarelli, Garante europeo della Protezione dei Dati, che precisa: “Il nostro successo o insuccesso orienterà flussi normativi su scala planetaria”. Sono già 134 i paesi che nel mondo si sono dotati di una normativa simile a quella europea, anche se spesso più leggera: “Lo hanno fatto nella convinzione che l’Europa abbia individuato la soluzione giusta”, aggiunge. Esaminando la lista dei Paesi che stanno adottando un regolamento simile a GDPR (l’elenco completo si trova sul sito dell’Università di Sidney), circa 80 sono fuori dall’Europa geograficamente intesa. Ma pur essendo in minoranza, l’Europa resta un riferimento per i valori alla base della protezione dei dati personali. “Grandi player come Google, pur contestando in pubblico il Regolamento, finiscono poi prenderlo come standard, pur essendo il più severo, per mettesi al riparo da qualunque contestazione, non potendo frammentare la privacy policy per i diversi Paesi”, evidenzia.
GDPR in Europa: i Paesi non hanno svolto in modo adeguato i compiti a casa
Come conseguenza dell’entrata in vigore del GDPR il 25 maggio dello scorso anno , si è verificato, come Buttarelli riferisce, un picco di reclami e segnalazioni, arrivati a fine aprile a 255mila. Nonostante 600 casi di procedure cross border, relative a società che trattano i dati operanti in più di un paese membro, è stato scongiurato il rischio di conflitto. “In nessun di questi casi c’è stata tensione o necessità rivolgersi al comitato plenario per risolvere il disaccordo, ma è prevalso l’atteggiamento di cooperazione”, sottolinea il Garante.
Meno positivo è stato invece il comportamento dei legislatori nazionali:“I legislatori nazionali, se dovessero essere valutati per il loro operato, riceverebbero una sufficienza scarsa e alcuni sarebbero rimandati a settembre – è la metafora – Va però riconosciuto che tutti hanno rispettato il fatto di trovarsi di fronte a un regolamento europeo e nessuno ha tentato di stravolgerlo a livello nazionale”. Tuttavia quasi nessuno ha fatto il lavoro che gli competeva adattando e aggiornando alcune categorie di norme per rendere il Regolamento pienamente armonioso con il contesto nazionale.
Ogni paese si è distinto per alcune scelte controverse:
- La Germania, ad esempio, ha legiferato in materia di consenso con una norma non del tutto armoniosa con il Regolamento.
- La Francia ha fatto una norma sull’applicazione del GDPR nei casi di competenza di più stati che stabilisce che se una società risiede, ad esempio, sia in Germania sia in Francia è competente l’autorità francese.
- La Romania ha emanato una disciplina che permette di applicare in maniera controversa la legge sulla privacy ai giornalisti in chiave di accesso alle loro fonti.
- La Spagna ha fatto una norma ambigua sull’uso dei dati che i partiti possono trovare liberamente on line per motivi di propaganda elettorale, confondendo pubblicità di fatto e di diritto.
- L’Italia ha avuto un percorso ritardato e affannoso e ha raggiunto a mala pena la sufficienza: “Eravamo al top della credibilità mondiale con il codice del 2003 che racchiudeva in un unico testo normativo lo sforzo di anni, a disposizione di tutti gli attori”, commenta ricordando che il testo oggi a disposizione è invece complesso e poco chiaro.
C’è dunque ancora molto da fare. Nel frattempo il regolamento vive di vita propria: in realtà non servono leggi nazionali se non per applicare sanzioni o istituire l’autorità o rendere impugnabili i regolamenti.
Nonostante questi limiti il bilancio è positivo e si vedrà cosa si può fare dopo le elezioni europee.
Un Regolamento scalabile per dimensione di impresa
L’attenzione è stata monopolizzata dai giganti dell’informazione mentre è stata insufficiente per le PMI che, soprattutto in paesi come il nostro, rappresentano la maggioranza del tessuto imprenditoriale, sostiene Buttarelli che precisa: “Una delle caratteristiche del regolamento è la sua scalabilità, ossia la possibilità di graduare i provvedimenti in funzione della complessità dell’organizzazione, campo in cui c’è ancora molto da lavorare. Ho notato anche che alcuni settori, dove si era in ritardo con l’applicazione della precedente legge sulla privacy, si sono attivati per il timore delle sanzioni, in qualche caso vittime di consulenze spregiudicate che le hanno spinte a rifare cose che non dovevano essere rifatte”.
Un’ulteriore criticità è rappresentata da un eccesso di formalismo e burocraticità, in contrasto con l’approccio del nuovo regolamento che punta invece più sull’accountability che sui provvedimenti formali. “Troppi documenti di richiesta di consenso scritti in ‘legalese’ sembrano volti soprattutto a proteggere l’organizzazione più che la riservatezza dei dati”, sottolinea.
Non una pena da esternalizzare, ma un’occasione per sviluppare la capacità trattare i dati
Si deve invece tenere conto che, a differenza della normativa precedente, il GDPR punta molto all’auto-responsabilizzazione: l’organizzazione responsabile del trattamento è chiamata non solo alla mera compliance ma a scegliere, fra le azioni sostenibili, le più appropriate, in un continuo divenire andando a distribuire le responsabilità, nella continua verifica dei ruoli, predisponendo un audit interno fatto da persone non gravate dal day by day… In questa logica un sistema iper-prescrittivo non funziona più.
L’autorità europea, in coordinamento con le autorità nazionali, ha individuato una serie di buone pratiche che vengono consigliate, offrendo un ventaglio di soluzioni con la consapevolezza che non esiste una prassi buona per tutti.
“Le organizzazioni non devono considerare il Regolamento una pena da affidare all’esterno o all’ufficio legale, agli informatici, …”, incalza Buttarelli, sostenendo che l’applicazione del GDPR dovrebbe essere considerata invece un modo per sviluppare la capacità dell’organizzazione di trattare i dati, in prospettiva i big data. “L’organizzazione che non conosce la capacità propria capacità informativa e non è in grado di gestire la risorsa che sarà sempre più importante, in dati, non è in grado di fare buon business”.
In arrivo la proposta ePrivacy, relativa alla tutela delle comunicazioni
La proposta servirà a specificare e particolareggiare il diritto alla riservatezza in merito alle comunicazioni elettroniche a disposizione del pubblico e verrà portata il 7 giugno al consiglio dei ministri sotto la presidenza rumena. Tuttavia, con ogni probabilità, la formalizzazione avverrà nel corso del nuovo mandato conseguente alle elezioni europee e presumibilmente si concretizzerà nel primo semestre del 2020.
“I giganti dell’informazione, come accaduto sulla riforma del copyright, vedono questo appuntamento come a una rivincita per quanto non hanno ottenuto con il GDPR, mentre le istituzione europee non vogliono altro che un elenco selettivo delle specifiche senza rimettere in discussione le scelte di fondo del regolamento generale”, evidenzia Buttarelli, prevedendo che attorno a queste due grandi tendenze si svolgerà un intenso dibattito nel nuovo parlamento europeo. “Il Regolamento padre rappresenta il testo normativo più a lungo discusso nella storia delle comunità europee e dell’Unione Europea”. Il dibattito per varare il GDPR in Europa è durato 4 anni con migliaia di emendamenti e dunque non può essere rimesso in discussione. Si spera che quello sulla ePrivacy si risolva in tempi più contenuti, superando le resistenze delle lobby.