Dall’entrata in vigore del General Data Protection Regulation (GDPR), Regolamento UE 2016/679, il 25 maggio 2018, riservatezza e privacy non hanno più lo stesso significato. Il termine privacy ha assunto un significato più ampio e pregnante, volto alla protezione effettiva dei dati personali dei cittadini europei che col GDPR si cerca di proteggere anche in nuovi ambiti, quali l’e-commerce e l’accountability dei titolari del trattamento dei dati personali. Una differenza fondamentale rispetto ai sistemi di protezione dei dati operati da altri Stati, e che rende il GDPR un sistema normativo più garantista, è dato dall’obbligo anche per le aziende non europee ma che operano all’interno del mercato unico di assicurare strumenti per la protezione dei dati dei cittadini UE. Tuttavia, le novità non terminano qui: le aziende sono ora obbligate a riportare i cosiddetti “Data breach” subiti in modo tale che i consumatori siano consapevoli dei rischi che corrono qualora i loro dati siano stati violati. Il valore dei dati personali diventa più importante dei profitti e dei possibili danni reputazionali aziendali. A tal fine, è stata introdotta la figura del Data Protection Officer (DPO), dotato di autonomia decisionale e terzietà rispetto ad aziende ed enti, il quale si occupa di assicurare la corretta gestione dei dati personali da parte di questi e a cui ci si può rivolgere se si viene a conoscenza di una violazione nell’utilizzo di tali informazioni. Ulteriore punto di novità è stato il rafforzamento del già esistente “diritto all’oblio” relativo alla cancellazione dei dati personali di una persona fisica che ne faccia richiesta, anche con riferimento alla comunità virtuale. Il punto saliente sta nel fatto che il titolare di tali dati, da lui stesso resi pubblici, deve non solo provvedere alla cancellazione dei dati ma anche avvertire della richiesta ricevuta tutti gli altri titolari che utilizzano i dati da lui forniti.
Considerando che la base di partenza in materia era molto scarna, il GDPR costituisce un miglioramento sostanziale nell’ambito del trattamento dei dati personali di tutti i cittadini europei. Eppure, in Italia sono in pochi a conoscerlo: secondo un primo sondaggio portato avanti da Eurobarometro per la Commissione europea, esclusivamente il 49% dei cittadini conosce il GDPR e solo il 17% sa effettivamente di cosa tratti, contro una media europea del 67%. I riscontri più elevati si sono avuti in Svezia e Olanda, rispettivamente con 90% e 87%, mentre in Francia è noto appena al 44% della popolazione. Ciononostante, il Vicepresidente della Commissione e Commissario europeo per il mercato unico digitale Andrus Ansip ha dichiarato una certa soddisfazione per questi primi risultati che segnano il primo passo dell’UE verso l’adeguamento all’era digitale e che cominciano già ad essere considerati un modello a livello internazionale.
Tuttavia, quando si parla di provvedimenti di tale portata internazionale non possono non mancare punti di criticità. Primo fra tutti il livello di effettiva implementazione del GDPR in Italia, dove aziende e pubbliche amministrazioni dimostrano di non essere ancora pronte a rispettare in toto il regolamento non a vendo ancora istituito tutti e tre i pilastri fondamentali del GDPR enunciati dal Garante della Privacy: denuncia dei data breach, designazione di un DPO e istituzione di un registro delle attività relative al trattamento dei dati. Questa situazione può rivelarsi alquanto problematica considerando che il 20 maggio 2019 è scaduto in Italia il periodo di “applicazione attenuata” per consentire un adattamento soft alla nuova normativa e che le sanzioni da ora comminabili possono raggiungere cifre pari ai 20 milioni di euro. Inoltre, la possibilità lasciata agli Stati Membri di legiferare al fine di completare quei vuoti lasciati dal Regolamento alla trattazione dei singoli ordinamenti nazionali consente certamente un qualche livello di flessibilità alla normativa che permette agli Stati di ritenere parte della loro sovranità in ambito di sicurezza nazionale ma al contempo vanifica la possibilità di giungere all’armonizzazione completa della disciplina in ambito UE.
In conclusione, come per tutti i grandi cambiamenti legislativi servirà aspettare ancora qualche anno per poterne apprezzare i risultati, soprattutto in Italia, e vedere se il GDPR sarà in grado di adattarsi più rapidamente di altre normative ai rapidi cambiamenti del mondo digitale e alle esigenze di sicurezza ad esso collegate.
