Il bilancio dei primi 10 mesi di applicazione presenta una serie di dati rilevanti, e contrastanti, il primo dei quali è probabilmente rappresentato dall’alto interesse che l’argomento ha suscitato in tutta Europa.

Secondo i dati della Commissione UE, nel maggio 2018 proprio in concomitanza con l’entrata in vigore del GDPR in tutti gli stati membri, il regolamento sulla privacy è stato più “popolare” online ovvero è stato l’argormento, la materia più cercata su google. Nonostante il grande interesse sono ancora tante,  le aziende che devono ancora capire che l’adeguamento privacy oltre che obbligatorio è anche uno strumento aziendale utile sotto molteplici aspetti uno tra tanti quello relativo alla sicurezza.

A tal proposito, infatti, analizzando i primi dati si evidenzia che : Telemarketing, messaggi pubblicitari in posta elettronica, telecamere di videosorveglianza sono le tre principali cause di protesta segnalate dai cittadini europei negli oltre 95mila reclami che sono arrivati alle autorità dei diversi stati per violazione del GDPR. Segnalazioni che hanno avuto il picco maggiore nell’estate e stabilizzate nel corso dell’autunno per poi conoscere un nuovo picco fra dicembre e gennaio. Le attività segnalate come maggiormente moleste sono il telemarketing, le email promozionali e la videosorveglianza.
La stessa progressione evidenziata per le segnalazioni di violazioni privacy dei cittadini si rileva anche per le notificazioni di data breach, ovvero le violazioni relative ai dati personali che le imprese devono necessariamente segnalare : 41mila 502 tra maggio e fine gennaio.

E in Italia?

Molto più contenuti i numeri relativa alla sola Italia (che si riferiscono al 31 dicembre 2018): 4mila 704 segnalazioni (in crescita, rispetto alle 3mila 378 dell’analogo periodo maggio-dicembre 2017, quando ancora non era in vigore il GDPR) e 630 notificazioni di data breach. All’Autorità italiana sono inoltre arrivate 43.269 comunicazioni sui DPO (Responsabili per la Protezione dei Dati).

In italia l’arrivo del GDPR ha rappresentato da un lato  comprendere il significato della nuova regolazione europea e gli obblighi che essa comporta per i titolari e i responsabili del trattamento, dall’altro  definire le modifiche da introdurre nella legislazione nazionale per adeguare il vecchio Codice privacy alla nuova normativa.  Non vi è dubbio che per alcuni mesi in Italia, ma anche in altri Paesi dell’Unione l’entrata in vigore del GDPR ha costituito un fatto di grande rilevanza e, anche in ragione delle sanzioni molto elevate che le Autorità di vigilanza possono comminare, ha preoccupato molto imprese e operatori.

A questo si è aggiunto, il fatto che il GDPR prevede la figura del DPO, istituzione nuova per il nostro Paese, ma già diffusa da molti anni in altri Stati dell’Unione.

Si sconta inoltre il ritardo proprio della società italiana rispetto alla comprensione del ruolo fondamentale che le regole e l’attività regolatoria in generale hanno nella società ad alto uso tecnologico, accentuato dall’innata italica convinzione che le regole, e in particolare quelle di protezione dati, siano fatte più per sanzionare che per rendere più efficienti, sicuri e rispettosi dei diritti di tutti la convivenza e lo sviluppo delle società, specialmente di quelle ad alto uso di tecnologie digitali.

In altre parole, sembra che il nostro Paese faccia molta fatica ad accettare l’idea che la tutela dei dati personali e dei loro trattamenti è prima di tutto essenziale per garantire la libera circolazione dei dati nella società digitale, promuovendo insieme lo sviluppo economico e la fiducia dei cittadini.

Si continua a registrare una resistenza all’applicazione di regole viste come un costo e percepite come essenzialmente interdittive, mentre lo scopo del GDPR non consiste nel prevedere sanzioni elevate ma nel chiedere il rispetto di norme che costituiscono innanzitutto una metodologia, tutta orientata a stimolare la responsabilizzazione dei titolari e dei responsabili, ad assicurare la minimizzazione dei rischi e a garantire il controllo degli interessati sui trattamenti dei dati che li riguardano.

A tal proposito va riconosciuto il lavoro fatto in questi anni in ambito europeo dal WP29 prima, e dell’EDPB ora, che è stato estremamente utile e positivo; e non meno apprezzabile è stato il lavoro svolto dalla Autorità Garante italiana. Da un lato, essa ha operato incisivamente per diffondere la logica e i contenuti della nuova normativa europea e per implementare l’attuazione del GDPR, anche adottando provvedimenti di carattere generale, spesso di soft law, o documenti a carattere dichiaratamente illustrativo, finalizzati ad aiutare gli operatori nella comprensione dei nuovi istituti, tra i quali uno di quelli che più ha preoccupato ma anche aiutato, sia pure forse in misura non sufficiente, è stato quello relativo ai registri dei trattamenti.

Va sottolineato, il grande lavoro svolto con l’entrata in vigore del d.lgs. n.101/2018 avvenuta il 15 settembre, e quello fatto in materia di verifica della compatibilità col GDPR dei vecchi Codici deontologici e di buona condotta, alcuni dei quali ora sono stati riadottati, in conformità col d.lgs. n. 101 e in coerenza col GDPR, come regole deontologiche, depurate dei contenuti non compatibili con la nuova normativa europea.

Certamente si parla di grande impegno di tutte le parti coinvolte,  ma ciò non basta; è urgente incentivare lo sviluppo di ogni accorgimento tecnologico che possa rendere effettivamente e concretamente tutelabili i diritti degli interessati, a cominciare da quello relativo al controllo dei trattamenti relativi ai dati che li riguardano. Un diritto, questo, che è il cuore stesso del GDPR dal punto di vista dell’interessato; così come la accountability lo è dal punto di vista del titolare.

Ci auguriamo tutti che il 2019 sia l’anno della consapevolezza e l’anno delle opportunità che si possono ottenere se si sfrutta in positivo ciò che apparentemente viene visto da tutti come un ostacolo ulteriore in capo alle aziende italiane. Adeguarsi al nuovo Regolamento privacy definire i ruoli, i diritti e gli obblighi delle parti coinvolte rappresenta un’opportunità di crescita aziendale non da poco conto.