Nonostante sia stato pubblicato sulla Gazzetta Ufficiale europea il 4 maggio 2016 ed entrato in vigore il 24 maggio 2016, l’attuazione del Regolamento europeo 2016/679 è avvenuta solo il 25 maggio 2018. Quest’anno, quindi, si sono celebrati i primi 3 anni di applicazione del Gdpr, motivo per cui il Garante per la Protezione dei Dati Personali tramite i membri del collegio ha colto l’occasione per esporre i principi, le tematiche e le novità più significative del Regolamento.
Secondo il Presidente del Garante Privacy, Pasquale Stanzione, in questi primi anni, all’interno nuovo quadro giuridico europeo, è emersa la lungimiranza nell’aver saputo interpretare questo diritto di libertà, cogliendo lo spirito dei tempi. L’Unione Europea è interprete di un’innovazione in prima battuta intesa come progresso sociale, ma che va ben oltre il solo assetto economico e sociale. Infatti, il Gdpr sta facendo da modello a diversi progetti normativi al di fuori del territorio europeo ed il motivo principale di questa emulazione sembrerebbe essere quello di limitare gli effetti negativi del capitalismo delle grandi piattaforme. La protezione dei dati personali degli individui è una tematica attuale e proiettata verso il futuro, infatti, riportando le parole del Presidente del Garante Privacy: “La prossima sfida è l’affermazione universale di questo diritto come presupposto ad un tempo di libertà e democrazia”.
Altro argomento trattato è il diritto all’oblio, diritto che è stato sancito tramite il Gdpr. Nonostante fosse un diritto emerso ed affermato per la prima volta con la sentenza della Corte di Giustizia del 2014 Google Spain, successivamente tramite diversi interventi del Garante Privacy, solo tramite il Regolamento EU è stato previsto all’art. 17.
In poche parole, il diritto all’oblio consente di non restare esposti a tempo indeterminato alle conseguenze dannose che possono derivare da fatti commessi in passato e divenuti oggetto di cronaca. Il diritto all’oblio permette agli utenti di cancellare dati e link che li riguardano dal Web se non più rilevanti ai fini della cronaca. Perciò è il diritto ad essere dimenticati. Bilancia da una parte il diritto alla riservatezza, il diritto alla privacy dei dati personali, l’autodeterminazione virtuale, la protezione della dignità della persona e dall’altra il diritto alla memoria, il diritto di cronaca, il diritto di informazione, la libertà di manifestazione del pensiero. È perciò da considerarsi un diritto cardine per la dignità della persona.
Novità introdotta con il Regolamento EU è la figura del Responsabile della protezione dati. Di alto profilo, con competenze tecniche e giuridiche, è figura obbligatoria nella PA, nell’Amministrazione Giudiziaria e in alcune società private che trattano dati sensibili, ma ove non vi è obbligatorietà si è rivelata una figura utile per la gestione aziendale privata che tratta dati. Il Gdpr impone numerosi adempimenti di funzioni in capo al Responsabile della protezione dati, ma è un soggetto che ha perseguito, persegue e perseguirà il fine di aiutare la digitalizzazione corretta dello Stato sia nel settore pubblico che privato.
Infine, è stato volto sguardo ai confini di applicazione del Regolamento Generale sulla Protezione dei Dati. Questo perché le regole del Gdpr non proteggono solamente in maniera più sicura i dati personali dei cittadini europei, ma si basano su un principio rivoluzionario. Queste le parole spese dal Garante Privacy: “le nostre regole oggi si applicano: a chiunque tratta i dati personali di chi si trova sul territorio dell’Unione Europea a prescindere dal fatto che sia o meno stabilito in Europa, e che lo faccia o meno dall’Unione Europea, se in Europa offre i propri servizi”. Così facendo le regole europee sono state imposte ai giganti del Web ovunque nel mondo e le regole giuridiche europee sono penetrate negli altri sistemi. Il Gdpr è “uno standard regolamentare, globale, de facto in materia di privacy”. Ovviamente c’è ancora molto da fare, ma l’esperimento sembra aver dato i suoi frutti, tanto che la Commissione Europea sembra voler replicare il modello del Regolamento anche per l’intelligenza artificiale.
Oltre alle osservazioni del Garante, è interessante notare come il Gdpr ha dunque spostato il focus dalla tutela dell’interessato alla responsabilità del titolare o responsabile della protezione dei dati, tramite il principio di accountability, per il concreto rispetto del regolamento tramite comportamenti adeguati. Ad oggi le multe erogate, secondo i dati noti, sono 692 per un ammontare totale pari ad euro 293.830.537. L’Italia, con 73 sanzioni, è al secondo posto per provvedimenti sanzionatori emanati, preceduta solo dalla Spagna (222).
Ricollegando con quanto sopra, in occasione dell’anniversario del Gdpr un noto studio legale internazionale, attraverso una survey realizzata in collaborazione con l’Italian Privacy Think Tank (Iptt) ha riscontrato che le aziende italiane sono ancora alle prese con la corretta interpretazione delle norme, nonostante l’accelerazione digitale, e di tutto quel che ha a che fare con i dati. Il sondaggio è stato condotto su 75 delle maggiori società italiane di ogni campo. Emerge come le aziende italiane siano tra le più sanzionate, non conoscono il termine di conservazione dei dati, ed i data breach non vengono segnalati, infatti i numeri sono bassissimi rispetto alla Germania. Ciononostante, il modello organizzativo di compliance privacy è rispettato dalla maggior parte delle aziende e vi è un interesse crescente rispetto al legal-design per la creazione di documenti legali adeguati.
Questi i dati e le osservazioni principali quindi sul Gdpr a tre anni di distanza dalla sua effettiva attuazione. Il Gdpr è stato il trampolino di lancio per creare un’uniformità regolamentare in Europa sulla protezione dei dati, uno standard di regole che è preso come riferimento anche in altri ordinamenti, ma soprattutto ha iniziato a regolare, per poi raffinare nel tempo, le tecniche e i controlli a tutela della libertà delle persone perché, come recita l’Art. 1 par. 2 del Regolamento UE/2016/679, “il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.
© RIPRODUZIONE RISERVATA