Il Regolamento Europeo 2016/679, denominato anche General Data Protection Regulation (il “GDPR”), compie tre anni.
Il GDPR è entrato, infatti, in vigore il 25 maggio 2018, divenendo il punto di riferimento globale in materia di protezione dei dati personali nonché fattore di convergenza nell'elaborazione delle norme. Con l'adozione del GDPR, l’Unione europea ha assunto un ruolo di primo piano nel panorama internazionale sulla protezione dei dati, spingendo diversi paesi terzi ad allineare al GDPR le proprie normative in materia di protezione dei dati. Restano da trovare nuove soluzioni che contemperino la tutela dei dati personali con la relativa circolazione ad esempio con riguardo ai rapporti e agli scambi commerciali con gli Stati Uniti dopo la sentenza della Corte di Giustizia Europea Schrems II che ha invalidato il Privacy Shield.
Il GDPR ha certamente rivoluzionato l’approccio di aziende e cittadini alla privacy, che da Cenerentola del diritto è diventata materia prioritaria, ed i motivi sono molteplici.
Al primo posto nella lista dei motivi vi è sicuramente l’introduzione di una vasta gamma di sanzioni amministrative. La principale novità è stata rappresentata in particolare dalla durata, dall’entità e dalla gravità di alcune di tali sanzioni, che possono arrivare: (i) da un massimo di Euro 10.000.000 o alternativamente fino al 2% del fatturato annuo a livello mondiale, in determinate ipotesi, o (ii) ad un massimo di Euro 20.000.000 o fino al 4% del fatturato annuo di gruppo a livello mondiale nei casi più gravi. In alcuni casi, i più gravi, si giunge al rischio di reato penale.
Ciò ha condotto ad un esponenziale aumento degli adeguamenti delle imprese alle norme introdotte dal GDPR e da un livello di maggior attenzione al rischio privacy anche da parte dei vertici aziendali.
Un’altra novità importante è stata la creazione di una nuova figura lavorativa: il Responsabile della protezione dei dati personali, denominato anche Data Protection Officer o nella ormai nota sigla, DPO. Nuovo “attore” del “sistema privacy” che ha contribuito in maniera sostanziale al successo del GDPR. La presenza infatti di numerosissimi DPO (si registrano oggi migliaia di DPO), a parte il lavoro svolto nell’ambito della struttura del titolare che ha proceduto alla nomina, ha fatto nascere un peculiare fenomeno: la richiesta del requisito dell’adeguamento, o di elementi di esso, agli altri titolari con cui il suo entra in contatto per porre in essere, proseguire, mantenere rapporti, commerciali o meno. Ciò ha creato un imprevisto effetto domino che ha portato ad un’esigenza di adeguamento che negli anni scorsi era legata soprattutto al timore del controllo dell’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”).
E poi i principi di privacy by design & by default, la accountability e i tanti diritti degli interessati tra cui quello all’oblio.
In Italia, il Garante Privacy ha reso noto che, dall’entrata in vigore del GDPR sino al 31 marzo 2021, sono pervenute
Tre anni dopo la sua entrata in applicazione, il GDPR può essere globalmente considerato un successo, tuttavia, la sfida è ancora lunga: si dovrà continuare a porre l'accento sul miglioramento dell'attuazione e sulle azioni volte a rafforzare l'applicazione della normativa privacy nonché sulla necessità di un’applicazione rigorosa ed efficace del GDPR e di un’aumentata consapevolezza della gestione dei dati personali, della loro fondamentale importanza nella società dell’informazione, di una maggiore “maturità digitale” da parte degli interessati e di una crescente responsabilizzazione dei titolari delle piattaforme digitali, delle imprese integrate e di altri servizi digitali di grandi dimensioni, in particolare nei settori della pubblicità online, del micro-targeting, della profilazione algoritmica, della scienza e della genomica, della classificazione, della diffusione e dell'amplificazione dei contenuti.
In conclusione, il GDPR ha raccolto notevole interesse e attenzione alla luce del boom del mercato digitale e dei big data. Le Istituzioni europee hanno superato con lungimiranza il regime giuridico in materia di privacy a dir poco frastagliato tra uno stato membro e l’altro. Il GDPR rappresenta sicuramente una rivoluzione nel Diritto alla Privacy dell’Unione Europea.
Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Marco Cappa e Claudia Colamonaco.