Qualche giorno fa abbiamo festeggiato i primi tre anni di applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR).
Un momento simbolico, ma di indubbia importanza storica. L’incidenza del GDPR nella vita di imprese, pubbliche amministrazioni e professionisti è ormai sotto gli occhi di tutti e quindi innegabile.
Qual è dunque il bilancio di questo primo triennio di vigenza?
La prima prospettiva da cui poter guardare a questi primi tre anni di GDPR è sicuramente quella europea. L’angolo visuale deve essere focalizzato sull’attività di un’istituzione in particolare, vale a dire l’European Data Protection Board (EDPB).
E non potrebbe essere altrimenti, dato che l’EDPB o Comitato Europeo per la Protezione dei Dati nasce proprio con il regolamento europeo che ha sostituito la direttiva 95/46/CE. Direttiva che a suo tempo aveva istituito quel Gruppo di lavoro ai sensi dell’Articolo 29 della direttiva stessa (WP29) i cui pareri e linee guida ancora oggi costituiscono le pietre miliari della materia, anche nella pratica quotidiana.
A tre anni di distanza da quell’epocale passaggio di consegne, possiamo affermare che l’EDPB ha iniziato a comprendere la natura del suo ruolo, quanto meno rispetto alla necessità di fornire continui orizzonti in una materia in forte evoluzione e con un impatto vastissimo dentro e fuori i confini dell’UE.
L’EDPB non ha mancato, in questi anni, di svolgere bene il ruolo di primo consulente di istituzioni, imprese e cittadini, nella delicata fase di lancio del GDPR.
Gdpr in Italia: il nostro Garante Privacy
Una diversa lente di ingrandimento attraverso cui poter osservare il dispiegarsi degli effetti del GDPR e misurarne la portata dell’impatto che hanno avuto questi primi tre anni di vigenza, con particolare riguardo al nostro ordinamento nazionale, è quella dell’attività svolta dall’Autorità Garante per la protezione dei dati personali.
I numeri parlano chiaro. Infatti, in attesa della Relazione annuale del 2020, il Garante si presenta al momento come il “Garante dei record”: solo nel 2019 sono stati 232 i provvedimenti collegiali adottati, 147 le ispezioni effettuate in numerosi settori, più di 8.000 i riscontri forniti a reclami e segnalazioni e ben 1443 i data breach notificati da parte di soggetti pubblici e privati.
Cifre che dimostrano il grande livello di attenzione posto dall’Autorità nel difendere e applicare l’impianto normativo introdotto dal GDPR e che testimoniano gli sforzi profusi nella battaglia per la protezione dei dati personali e, più in generale, nella salvaguardia dei diritti e dei valori fondanti della tradizione giuridica occidentale. A quanto sin qui detto, va aggiunta la centralità dei provvedimenti volti a chiarire l’applicazione della nuova disciplina europea in specifici ambiti, come ad esempio quello sanitario, e che attestano come l’Autorità italiana si sia prodigata, conscia delle sue responsabilità e dell’importanza del suo ruolo, nel promuovere un’implementazione corretta e puntuale dei principi e degli istituti del Regolamento.
E ancora, per quanto riguarda le sanzioni, ulteriore importante banco di prova del nuovo regime di enforcement dettato dal GDPR, il Garante non ha mancato di far sentire la sua voce: basti pensare che l’ammontare totale delle sanzioni comminate nel primo biennio ha raggiunto i 50 milioni di euro, per arrivare, ad inizio 2020, ad una tra le sanzioni più alte irrogate in Europa dall’entrata in vigore del GDPR, di importo pari a 27,8 milioni di euro, nel delicato settore del telemarketing.
Allo stato attuale, l’attività del nuovo Collegio sembra andare in modo spedito, non solo grazie ai numerosi e variegati interventi assunti nel pieno delle proprie facoltà – tra provvedimenti, ordinanze e linee guida – ma anche per la centralità assunta nel dibattito pubblico sui temi a forte impatto sulla protezione dei dati, come quelli relativi ai vaccini in azienda e alle famose “certificazioni verdi”, indicando con decisione alle imprese e alle istituzioni le misure da adottare.
E a ciò si aggiungano i provvedimenti, prima, e la ricerca del dialogo, poi, con le big tech, uno su tutti il caso TikTok, che chi scrive ha peraltro avuto il privilegio di seguire in prima persona avendo assistito la società, mostrando così di aver ormai maturato piena consapevolezza e padronanza di tutti gli strumenti messi a disposizione dal Regolamento.
Ovviamente il percorso è ancora lungo e la sfida della protezione dei diritti e delle libertà sempre più difficile, vista la velocità con cui avanza il progresso tecnologico.