Domani, 25 maggio 2019, sarà il primo anniversario dall’entrata in vigore del General Data Protection Regulation (GDPR) che ha interessato e interessa tutte le aziende che trattano dati personali di cittadini dell’Unione Europea.
I due anni che hanno preceduto l’entrata in vigore del GDPR, nel 2018, hanno visto una corsa senza precedenti da parte delle aziende, le quali hanno esaminato e modificato le proprie pratiche per cercare di conformarsi al GDPR ed evitare così una potenziale ammenda fino al 4% dei propri ricavi globali, in caso di mancata dichiarazione di un avvenuto incidente informatico. Nel corso degli ultimi 12 mesi, dalla corsa iniziale si è passati ad un un ritmo di adeguamento più cauto, man mano che le autorità di regolamentazione sviluppavano il processo di revisione delle centinaia di migliaia di denunce di violazione già presentate. Ad oggi, il numero di azioni intraprese a seguito di incidenti è stato molto limitato, con un tasso relativamente basso di ammende comminate, in quanto le autorità di regolamentazione si sono impegnate maggiormente a rendere il GDPR più efficace.
Nel corso di una tavola rotonda tenutasi durante il Global Privacy Summit dell’International Association of Privacy Professionals a Washington D.C. – è emerso come le indagini su eventuali violazioni dei dati richiedono almeno 6 mesi di tempo per completarsi.
Nel ciclo di vita di un’interrogazione, le autorità di regolamentazione devono prima di tutto determinare se, a prima vista, un reclamo che proviene da un residente nell’UE sia pertinente e se presenti un’effettiva potenziale violazione del GDPR. Molte delle centinaia di migliaia di reclami ricevuti nell’ultimo anno dalle autorità di protezione dei dati si sono dimostrate essere semplici richieste di opt-out della pubblicità – che non sono coperte dal Regolamento -, nel caso di reclami validi, le autorità di regolamentazione devono invece procedere con l’informarsi di più sull’argomento e sulla relativa tecnologia in questione. Per fare questo, come è naturale immaginarsi, devono contattare direttamente le aziende oggetto del reclamo per richiedere maggiori informazioni.
I benefici per i consumatori
Al di là delle indagini rivolte alle aziende, il GDPR ha anche portato benefici per i consumatori dell’Unione Europea, in quanto le aziende hanno intensificato notevolmente il proprio impegno per educare il pubblico sulle pratiche in materia di dati. L’istituzione di meccanismi di accesso, rettifica e cancellazione delle richieste, ha dato a milioni di persone un metodo semplice per controllare meglio l’utilizzo dei loro dati personali. Inoltre, i diritti conferiti ai consumatori dall’UE hanno un effetto a valle su molti consumatori di Paesi terzi che possono così beneficiare di pratiche rafforzate, in quanto le imprese adottano adesso un approccio comune alla riservatezza dei dati.
Il GDPR sta inoltre dando l’esempio per rafforzare le leggi sulla privacy negli Stati Uniti. Il California Consumer Privacy Act (CCPA), che sta ancora prendendo forma, presenta analogie con il GDPR, quali il diritto di accesso dei cittadini della California ai dati personali raccolti su di loro da parte delle aziende. Tuttavia, il CCPA potrebbe superare il GDPR, consentendo un diritto di azione privata che potrebbe sfociare in class action legali in tema di privacy contro le aziende che violano la legge. La California non è la sola, in quanto altri Stati stanno inserendo gli insegnamenti tratti dal GDPR in una legislazione che potrebbe trasformarsi in un mosaico contraddittorio e oneroso da seguire per le aziende. Un potenziale effetto potrebbe essere l’approvazione di una legislazione federale sulla privacy, che standardizzerebbe i requisiti, sebbene sia improbabile che diventi legge prima dell’entrata in vigore delle varie leggi statali.
Tuttavia una cosa che è chiara in questo primo anniversario della sua entrata in vigore è che il GDPR ha già plasmato notevolmente l’approccio che migliaia di aziende adottano nella gestione dei dati. Inoltre, con l’evolversi del panorama della privacy e delle norme che lo disciplinano, in tutto il mondo continueranno a sorgere nuove questioni e nuovi approcci alla privacy dei dati.
COMMENTI