Gabriele Zanoni, Consulting Systems Engineer di FireEye, fa il punto sul General Data Protection Regulation, ad un anno dalla sua entrata in vigore.
Il 25 maggio è stato il primo anniversario dall’entrata in vigore del General Data Protection Regulation (GDPR) che ha interessato e interessa tutte le aziende che trattano dati personali di cittadini dell’Unione Europea.
I due anni che hanno preceduto l’entrata in vigore del GDPR, nel 2018, hanno visto una corsa senza precedenti da parte delle aziende, le quali hanno esaminato e modificato le proprie pratiche per cercare di conformarsi al GDPR ed evitare così una potenziale ammenda fino al 4% dei propri ricavi globali, in caso di mancata dichiarazione di un avvenuto incidente informatico. Nel corso degli ultimi 12 mesi, dalla corsa iniziale si è passati ad un un ritmo di adeguamento più cauto, man mano che le autorità di regolamentazione sviluppavano il processo di revisione delle centinaia di migliaia di denunce di violazione già presentate.
Ad oggi, il numero di azioni intraprese a seguito di incidenti è stato molto limitato, con un tasso relativamente basso di ammende comminate, in quanto le autorità di regolamentazione si sono impegnate maggiormente a rendere il GDPR più efficace.
Nel corso di una tavola rotonda tenutasi all’inizio del mese di maggio durante il Global Privacy Summit dell’International Association of Privacy Professionals a Washington D.C. – riunione annuale di 4.000 professionisti della privacy provenienti da tutto il mondo – tra cui Helen Dixon della commissione “Data Protection” Irlandese, , l’inglese Elizabeth Denham della commissione “Information” e Andrea Jelinek il Presidente dell’ “European Data Protection Board”, hanno sottolineato che le indagini su eventuali violazioni dei dati richiedono almeno 6 mesi di tempo per completarsi.
Nel ciclo di vita di un’interrogazione, le autorità di regolamentazione devono prima di tutto determinare se, a prima vista, un reclamo che proviene da un residente nell’UE sia pertinente e se presenti un’effettiva potenziale violazione del GDPR. Molte delle centinaia di migliaia di reclami ricevuti nell’ultimo anno dalle autorità di protezione dei dati si sono dimostrate essere semplici richieste di opt-out della pubblicità – che non sono coperte dal Regolamento -, nel caso di reclami validi, le autorità di regolamentazione devono invece procedere con l’informarsi di più sull’argomento e sulla relativa tecnologia in questione. Per fare questo, come è naturale immaginarsi, devono contattare direttamente le aziende oggetto del reclamo per richiedere maggiori informazioni.
Il confronto tra autorità di regolamentazione e aziende serve anche come mezzo per risolvere i reclami, come ha sottolineato il commissario Dixon, indicando la propria preferenza per l’uso della “carota” rispetto al “bastone”. Questo approccio fa eco alle sue stesse osservazioni che aveva formulato lo scorso anno, in cui affermava appunto che le multe non sono l’unico strumento a disposizione delle autorità di regolamentazione. Il primo insegnamento per le aziende è che impegnarsi attivamente con le autorità di regolamentazione può portare a risultati migliori rispetto a quelli che si potrebbero ottenere non collaborando.
I benefici per i consumatori
Al di là delle indagini rivolte alle aziende, il GDPR ha anche portato benefici per i consumatori dell’Unione Europea, in quanto le aziende hanno intensificato notevolmente il proprio impegno per educare il pubblico sulle pratiche in materia di dati. L’istituzione di meccanismi di accesso, rettifica e cancellazione delle richieste, ha dato a milioni di persone un metodo semplice per controllare meglio l’utilizzo dei loro dati personali. Inoltre, i diritti conferiti ai consumatori dall’UE hanno un effetto a valle su molti consumatori di Paesi terzi che possono così beneficiare di pratiche rafforzate, in quanto le imprese adottano adesso un approccio comune alla riservatezza dei dati.
Venendo così meno i grandi titoli su indagini chiuse e su multe onerose, una delle domande oggi più ricorrente sul GDPR è se le aziende diventeranno compiacenti e ridimensioneranno di conseguenza i loro programmi per la privacy. Qualsiasi ritrattazione è per sua natura rischiosa, poiché l’uso di vecchie valutazioni di impatto sulla privacy o di inventari/elenchi obsoleti implicano una incompleta gestione delle attività di trattamento dei dati. Queste lacune sono un segno evidente per le autorità di regolamentazione che il mantenimento di un programma di tutela della privacy è carente e probabilmente meritevole di un esame più attento. Un’altra questione importante è se le rivendicazioni di conformità delle aziende saranno verificate da terzi o rimarranno incontestate fino a quando le autorità di regolamentazione non si faranno sentire o non si dichiarino soddisfatte di ciò che rilevano.
Il GDPR sta inoltre dando l’esempio per rafforzare le leggi sulla privacy negli Stati Uniti. Il California Consumer Privacy Act (CCPA), che sta ancora prendendo forma, presenta analogie con il GDPR, quali il diritto di accesso dei cittadini della California ai dati personali raccolti su di loro da parte delle aziende. Tuttavia, il CCPA potrebbe superare il GDPR, consentendo un diritto di azione privata che potrebbe sfociare in class action legali in tema di privacy contro le aziende che violano la legge. La California non è la sola, in quanto altri Stati stanno inserendo gli insegnamenti tratti dal GDPR in una legislazione che potrebbe trasformarsi in un mosaico contraddittorio e oneroso da seguire per le aziende. Un potenziale effetto potrebbe essere l’approvazione di una legislazione federale sulla privacy, che standardizzerebbe i requisiti, sebbene sia improbabile che diventi legge prima dell’entrata in vigore delle varie leggi statali.
Nel frattempo, il risultato quasi certamente potrebbe portare a confusione nei consumatori in merito ai loro diritti, nella responsabilità delle aziende, e nell’applicazione delle norme e nel loro studio.
È stato detto che la Data Protection Directive del 1995, che ha preceduto il GDPR, è stata oggetto di interpretazione per 23 anni, fino a quando non è stata sostituita dalla regolamentazione attuale. Il GDPR è agli inizi e senza dubbio la sua interpretazione cambierà con il passare del tempo.
Tuttavia una cosa che è chiara in questo primo anniversario della sua entrata in vigore è che il GDPR ha già plasmato notevolmente l’approccio che migliaia di aziende adottano nella gestione dei dati. Inoltre, con l’evolversi del panorama della privacy e delle norme che lo disciplinano, in tutto il mondo continueranno a sorgere nuove questioni e nuovi approcci alla privacy dei dati.