Il regolamento generale sulla protezione dei dati (GDPR) sta compiendo cinque anni: come sappiamo, si tratta di una legislazione fondamentale per garantire la protezione dei diritti fondamentali in rete. Eppure, dopo cinque anni di applicazione, milioni di persone stanno ancora aspettando che molti diritti si materializzino a causa di un’applicazione lenta e lacunosa: i modelli di business Big Tech rimangono incentrati su un’eccessiva raccolta e sfruttamento dei dati. Mentre si denota una certa precarietà in merito alla gestione del GDPR, la Commissione europea sta finalmente intervenendo per affrontare alcune delle sfide di applicazione, pertanto, breve dovrebbe proporre un nuovo regolamento che chiarirà le procedure di applicazione e favorirà il coordinamento tra le autorità di protezione dei dati.
Si sa che il GDPR ha reso il blocco europeo un leader nella politica digitale e ha concesso ai cittadini ampi diritti su come venivano utilizzati i loro dati, ma la sua implementazione è stata – ed è tuttora – un processo lungo e talvolta impegnativo. Quando è entrato in vigore nel 2018, molte realtà aziendali hanno faticato a capire cosa era necessario e come dovevano cambiare. Le autorità di regolamentazione hanno risposto fornendo indicazioni e collaborando con le aziende per aiutarle a capire cosa ci si aspettava da loro. Entro il 2020, i guanti erano tolti e siamo entrati in una nuova era di applicazione con multe multimilionarie emesse a società internazionali.
Negli ultimi cinque anni le organizzazioni hanno sviluppato una comprensione molto più sofisticata del campo della protezione dei dati. Molti ora comprendono i vantaggi della cura dei propri dati, comprese le misure che dimostrano la loro responsabilità, come i programmi di gestione della privacy ma le questioni chiave relative alla sua interpretazione e applicazione sono tutt’altro che risolte. Gli ultimi cinque anni hanno dimostrato che la protezione dei dati in Europa è un’area dinamica che richiede alle aziende di essere agili, comprendere l’UE e il contesto locale e disporre di strategie solide.
In occasione del quinto “compleanno” del GDPR, riepiloghiamo alcuni passi importanti dalla sua implementazione. In primo luogo, quando è stato introdotto il GDPR, molte aziende presumevano di poter creare una politica sulla privacy, archiviarla e poi dimenticarsene senza far caso al fatto che il documento sia in continua evoluzione. Un chiaro esempio di come si è evoluto il GDPR è nell’area dei trasferimenti di dati: ad esempio, nel 2018, le aziende avevano un livello di stabilità nel modo in cui trasferivano i dati tra l’UE e gli Stati Uniti. Molte aziende si sono affidate all’accordo transatlantico “Privacy Shield” come base giuridica per trasferire i dati. Altri hanno fatto affidamento sulle clausole contrattuali standard (SCC) della Commissione europea come base legale per trasferire i dati negli Stati Uniti e in altri paesi terzi.
Tutto è cambiato nel luglio 2020, quando l’attivista austriaco per la privacy Max Schrems ha vinto la sua causa presso la Corte di giustizia europea (CGE). La sentenza ha invalidato l’accordo sullo scudo per la privacy e ha fornito ulteriore giurisprudenza vincolante su come le aziende valutano l’impatto delle leggi sulla sicurezza nazionale nei paesi terzi quando utilizzano le SCC. Negli ultimi tre anni le aziende hanno affrontato molte incertezze su come trasferire in modo sicuro e legale i dati personali negli Stati Uniti e i costi di conformità sono aumentati in modo significativo. Negli ultimi tre anni, il governo degli Stati Uniti ha negoziato i termini per un nuovo quadro per sostituire il Privacy Shield con la Commissione europea. Il 27 ottobre 2022, il presidente Biden ha firmato un ordine esecutivo che, si spera, porterà a un nuovo quadro sulla privacy UE-USA. Il nuovo accordo affronta le due questioni principali sollevate nella sentenza della Corte di giustizia in merito alla raccolta dei dati sulla sicurezza nazionale e ai meccanismi di ricorso per i residenti nell’UE.
La Commissione europea, insieme agli Stati membri e alle autorità per la protezione dei dati, compreso il comitato europeo per la protezione dei dati, procederà a valutare e approvare il nuovo quadro. Gli Stati Uniti istituiranno un nuovo tribunale per il riesame della protezione dei dati per garantire la conformità da parte di agenzie e società e aggiorneranno i principi sulla privacy in base al nuovo accordo. Non è chiaro quanto tempo impiegheranno questi processi nell’UE e negli Stati Uniti, ma si spera che i governi degli Stati Uniti e dell’Europa raggiungano un nuovo accordo sui trasferimenti di dati entro le prossime settimane.
Scrivi un commento
Devi accedere, per commentare.