Il bilancio dei primi quattro anni di GDPR

Quattro anni in cui è cambiato il mondo reale. Quattro anni in cui l’arrivo di un regolamento ad hoc avrebbe dovuto cambiare quel che accade nel mondo virtuale. Il 25 maggio di quattro anni fa, in Europa entrava in vigore il GDPR (o RGDP): il Regolamento generale sulla protezione dei dati. Un impianto di norme che ha come obiettivo quello di, per l’appunto, regolamentare il trattamento dei dati personali online. Dal 2018 al 2022, dunque, ma cosa è realmente cambiato? Quali sono stati (se ci sono stati) i reali cambiamenti condizionati da queste leggi recepite anche dai singoli Stati membri?

LEGGI ANCHE > Se il Garante per la privacy è costretto a multare il Ministero dell’Interno per alcuni video online

Dire che, almeno fino a ora, il bilancio del GDPR sia negativo è forse troppo. L’impianto di leggi inserite in questa normativa ha senza dubbio contribuito a dare un’etichetta ben precisa ai problemi presenti in rete, aumentando i paletti e fornendo agli enti regolatori e alle agenzie garanti dei singoli paletti delle cornici molto più precise all’interno delle quali muoversi per prendere i propri provvedimenti. Ma da quel 27 aprile del 2016 (giorno in cui è stato adottato dall’Unione Europea), passando per il 4 maggio dello stesso anno (quando è stato pubblicato in Gazzetta Ufficiale Europea) affinché entrasse effettivamente in vigore il 25 maggio del 2018 fino ad arrivare a quattro anni dopo, sembrano esserci più ombre che luci.

GDPR, il bilancio dopo i primi quattro anni

L’effetto più tangibile e positivo riguarda, sicuramente, il tracciamento dei vari siti online. Prima dell’entrata in vigore del GDPR, infatti, moltissimi portali adottavano questa pratica all’oscuro dei visitatori e webnauti. Bastava collegarsi a un sito e il tracciamento si avviava direttamente. Con l’introduzione di questo impianto di regole, però, tutto quel che avviene su internet ha iniziato a rispondere a quel criterio di “consenso informato” – poi sta al singolo cittadino andarsi a leggere tutti i dettagli, prima di “cliccare” su “accetto” – o “esplicito”. E con questi paletti, almeno all’inizio, si è registrata una netta riduzione del tracciamento di cookie di terze parti. Ma si è trattato di un evento fisiologico: una volta assestato il sistema, tutto ciò è tornato a essere largamente utilizzato nelle dinamiche online. Dal 2018, però, almeno sta all’utente decidere se e quali tracciamenti autorizzare durante la sua navigazione sui vari siti online.

Passi avanti, ma pochi. Perché uno dei problemi fondamentali del GDPR è quello dell’uniformità. L’impianto di norme che regolamenta la gestione dei dati personali è stato adottato da tutti gli Stati Membri. Come, però, accade spesso in queste occasioni, non tutti agiscono allo stesso modo e non tutti hanno portato ai vertici delle gerarchie (anche nella gestione della cause, delle denunce e delle controversie per casi di violazione della privacy) questo argomento. E non solamente nel dibattito pubblico. Il caso, per esempio, dell’acquisizione dei dati biometrici ha diviso – nella gestione – molti Paesi. Dinamiche e priorità differenti che, ovviamente, hanno dei riflessi importanti.

Le cause ancora in piedi con i Big Tech

E nel mirino finiscono, inevitabilmente, i Big Tech, le grandi aziende che operano online. Perché fin dall’inizio il braccio di ferro tra le istituzioni europee (ma il GDPR è stato poi esteso, con modelli simili, anche ad altri Paesi del mondo) e i giganti del web è stato tenace. Alla fine, però, si è arrivati a una convergenza e – anche se l’utente non ne ha percezione quotidiana – l’importanza della privacy è diventata argomento fondamentale per le varie piattaforme. Ma ci sono anche problemi, come quelli evidenziati dall’organizzazione no-profit NOYB che si occupa proprio di privacy e diritti degli utenti online: «Su circa 50 casi transnazionali che la Noyb ha presentato negli ultimi quattro anni, nessuno ha ancora visto una decisione finale. Mese dopo mese, senza un’adeguata applicazione delle norme, sarà sempre più difficile rimettere in piedi la situazione. Mentre alcune autorità sembrano preoccuparsi più della percezione pubblica che dell’effettiva applicazione della legge, altre sembrano essersi rese conto della situazione e fanno del loro meglio per andare avanti».

Si tratta, dunque, della problematica affrontata in precedenza: non tutti gli Stati UE hanno adottato e recepito l’impianto di norme in difesa della privacy degli utenti allo stesso modo, creando dei vulnus differenti che hanno portato a una fase di stallo diverse cause presentate proprio dall’entrata in vigore – il 25 maggio del 2018 – del GDPR. Quattro anni in cui molte decisioni finali (con annesse sanzioni e obbligo di modificare alcuni comportamenti da parte delle aziende che operano sul web) non sono ancora arrivate. E queste denunce erano state mosse contro Google e le tre piattaforme del gruppo Meta (Facebook, Instagram e Whatsapp).

Il caso Italia

Insomma, non tutto sta andando per il verso giusto. Non tutto sta andando secondo le regole. L’Italia, però, fa eccezione (in positivo). Secondo i dati ufficiali raccolti dal GDPR Enforcement Tracker – che ha il focus proprio sul tipo, sul numero e sulla cifra delle sanzioni totali comminate in Europa e suddivise in base ai singoli Stati – il nostro Paese è il secondo (dietro alla Spagna) per numero di multe comminate dal Garante per la privacy, per un totale di multe che piazza l’Italia al quarto posto (dietro Lussemburgo, Francia e Irlanda). Sintomo che l’autorità italiana sia stata sempre sul pezzo e sempre pronta a ricevere segnalazioni, avviare procedure e sanzionare tutte quelle aziende che, nel mondo online, non hanno rispettato le leggi introdotte recepite quattro anni fa con l’entrata in vigore del Regolamento generale sulla protezione dei dati