Novanta giorni di GDPR. Primi risultati e qualche inconveniente

159
90 GIORNI DI GDPR
adv

Sono passati novanta giorni dall’entrata in vigore del nuovo regolamento europeo sulla privacy. Tre mesi in cui privati e amministrazioni pubbliche hanno avuto modo di testare i primi risultati dell’applicazione della normativa. Professionisti e istituti di ricerca hanno riscontrato alcuni dati interessanti a riguardo.

Il dato principale, su cui ci si può sbilanciare senza timore di smentita, è l’attenzione aumentata in maniera esponenziale, in questi mesi, su temi come la tutela della privacy e la protezione dei dati. Qualcosa di simile a ciò che nel nostro paese si era vissuto a metà degli anni Novanta, con l’entrata in vigore della prima legge sulla privacy, la 675 del 1996. Rispetto a quell’epoca, però, la nuova normativa europea entra in maniera più diretta nella vita e nel lavoro di piccole e soprattutto grandi aziende, che fino a questo momento avevano solo relativamente fatto i conti con una materia così “scottante”.

Diplomazie del trattamento dati

Uno degli elementi più caldi è l’emersione di una vero e proprio conflitto tra Europa e Stati Uniti, rispetto alle modalità del trattamento dei dati dei propri cittadini. Una frattura che è diventata evidente agli analisti di tutto il mondo quando l’Unione Europea ha chiesto di ritornare, parallelamente all’entrata in vigore del GDPR, sugli accordi riconducibili al cosiddetto Privacy Shield. Un piano adottato anche dall’Unione nel 2016, ma poi considerato insufficiente rispetto alle tutele che si intendevano garantire ai propri cittadini (l’accordo entrava nel merito delle modalità di scambio di dati tra Europa e Usa). Gli Stati Uniti, ad oggi, si rifiutano di rinegoziare l’accordo, evidenziando priorità assai diverse rispetto a quelle dell’Unione, e schierandosi di fatto al fianco delle grandi aziende piuttosto che dal lato della riservatezza dei propri cittadini.

Regolamentare una tecnologia che corre veloce

Qualche dubbio c’è però anche nel Continente, probabilmente dovuto all’importanza della sfida che si è posta il GDPR: la tutela di una enorme mole di popolazione internazionale e dei suoi dati (basta pensare che il solo Facebook conta due miliardi di iscritti).

In una recente intervista, l’avvocato Guido Scorza, docente di Diritto delle nuove tecnologie, ha riflettuto su un aspetto che riguarda il regolamento e che è collegato alla materia che questo intende normare: quelle stesse tecnologie il cui avanzamento è talmente veloce da mettere in difficoltà qualsiasi tentativo di argine o controllo dei suoi aspetti più delicati. «Si tratta – ha spiegato l’avvocato Scorza – di un regolamento che sotto certi aspetti nasce un po’ vecchio. Per elaborarlo infatti sono stati necessari cinque o sei anni, anni durante i quali le modalità e le dinamiche di trattamento dei dati si sono molto evolute, e non sono più quelle mappate dal GDPR. Almeno non più solo quelle».

È il caso delle cosiddette “comunicazioni elettroniche” (a cominciare dalle app di messaggistica istantanea, come Whatsapp), per le quali si è assistito a un incredibile boom proprio in questi anni, e la cui copertura della privacy non è competenza del regolamento attuale, ma rientrerà in quello apposito dell’ePrivacy, in fase di elaborazione da parte dell’Unione.

Informazione, cookie e privacy

C’è poi un interessante rapporto, pubblicato dall’Istituto per gli studi di giornalismo dell’università di Oxford, che ha analizzato il comportamento di circa duecento portali di informazione europei, dopo l’entrata in vigore del regolamento. Conseguenza immediata è la diminuzione verticale della quantità di cookie (-22%), soprattutto quelli per la raccolta di dati ai fini di marketing. Una quantità rilevante di siti (7%) ha scelto addirittura di rinunciare ai pulsanti di condivisione dei propri articoli sui social, “lavandosi le mani”, in sostanza (lasciandola ai propri inserzionisti), della responsabilità di ottemperare agli obblighi del regolamento; un escamotage che non consente su quei siti la pratica della “profilazione”, che nel marketing consiste nell’elaborazione dei dati relativi un utente, allo scopo di “impacchettarli” in gruppi, in base ai propri gusti, interessi e comportamenti.

Le mosse del Garante

Per far fronte alle violazioni, e alle possibili scorciatoie che in tanti stanno cercando, provando a trovare (come da copione) l’inganno, una volta fatta la legge, l’Autorità per la privacy sta facendo un duro lavoro da mesi. La sua stessa struttura (che ha in organico oltre cento persone) si sta riorganizzando per gestire al meglio il Gdpr e capire come e quando applicare le severissime sanzioni previste dall’articolo 83 del Regolamento.