GDPR un anno dopo: cos’è cambiato davvero in 12 mesi?

Gabriele Zanoni, Consulting Systems Engineer di FireEye, riflette su cosa sia davvero cambiato per aziende e utenti a 12 mesi dall’introduzione del GDPR.

gdpr
Credit: TheDigitalArtist/Pete Linforth

Domani 25 maggio 2019 sarà il primo anniversario dall’entrata in vigore del General Data Protection Regulation (GDPR) che ha interessato e interessa tutte le aziende che trattano dati personali di cittadini dell’Unione Europea. I due anni che hanno preceduto l’entrata in vigore del GDPR hanno visto una corsa senza precedenti da parte delle aziende, le quali hanno esaminato e modificato le proprie pratiche per cercare di conformarsi al nuovo regolamento ed evitare così una potenziale ammenda fino al 4% dei propri ricavi globali, in caso di mancata dichiarazione di un avvenuto incidente informatico.

Per l’occasione FireEye, per voce del suo Consulting Systems Engineer Gabriele Zanoni, propone una riflessione sugli effetti del GDPR sia sulle aziende, sia sugli utenti finali. Nel corso degli ultimi 12 mesi, dalla corsa iniziale si è passati a un ritmo di adeguamento più cauto man mano che le autorità di regolamentazione sviluppavano il processo di revisione delle centinaia di migliaia di denunce di violazione già presentate. Ad oggi il numero di azioni intraprese a seguito di incidenti è stato molto limitato, con un tasso relativamente basso di ammende comminate, in quanto le autorità di regolamentazione si sono impegnate maggiormente a rendere il GDPR più efficace.

Nel corso di una tavola rotonda tenutasi all’inizio del mese di maggio durante il Global Privacy Summit dell’International Association of Privacy Professionals a Washington D.C., Elizabeth Denham della commissione Information e Andrea Jelinek, Presidente dell’European Data Protection Board, hanno sottolineato che le indagini su eventuali violazioni dei dati richiedono almeno 6 mesi di tempo per completarsi.

Nel ciclo di vita di un’interrogazione, le autorità di regolamentazione devono prima di tutto determinare se, a prima vista, un reclamo che proviene da un residente nell’UE sia pertinente e se presenti un’effettiva potenziale violazione del GDPR. Molte delle centinaia di migliaia di reclami ricevuti nell’ultimo anno dalle autorità di protezione dei dati si sono dimostrate essere semplici richieste di opt-out della pubblicità. Nel caso di reclami validi le autorità di regolamentazione devono invece procedere con l’informarsi di più sull’argomento e sulla relativa tecnologia in questione. Per fare questo, come è naturale immaginarsi, devono contattare direttamente le aziende oggetto del reclamo per richiedere maggiori informazioni.

Al di là delle indagini rivolte alle aziende, il GDPR ha anche portato benefici per i consumatori dell’Unione Europea, in quanto le aziende hanno intensificato notevolmente il proprio impegno per educare il pubblico sulle pratiche in materia di dati. L’istituzione di meccanismi di accesso, rettifica e cancellazione delle richieste ha dato a milioni di persone un metodo semplice per controllare meglio l’utilizzo dei loro dati personali. Inoltre, i diritti conferiti ai consumatori dall’UE hanno un effetto a valle su molti consumatori di Paesi terzi che possono così beneficiare di pratiche rafforzate, in quanto le imprese adottano adesso un approccio comune alla riservatezza dei dati.

conformità normativa

Venendo così meno i grandi titoli su indagini chiuse e su multe onerose, una delle domande oggi più ricorrente sul GDPR è se le aziende diventeranno compiacenti e ridimensioneranno di conseguenza i loro programmi per la privacy. Qualsiasi ritrattazione è per sua natura rischiosa, poiché l’uso di vecchie valutazioni di impatto sulla privacy o di inventari/elenchi obsoleti implica una incompleta gestione delle attività di trattamento dei dati.

Queste lacune sono un segno evidente per le autorità di regolamentazione che il mantenimento di un programma di tutela della privacy è carente e probabilmente meritevole di un esame più attento. Un’altra questione importante è se le rivendicazioni di conformità delle aziende saranno verificate da terzi o rimarranno incontestate fino a quando le autorità di regolamentazione non si faranno sentire o non si dichiarino soddisfatte di ciò che rilevano.

Il GDPR sta inoltre dando l’esempio per rafforzare le leggi sulla privacy negli Stati Uniti. Il California Consumer Privacy Act (CCPA), che sta ancora prendendo forma, presenta analogie con il GDPR, quali il diritto di accesso dei cittadini della California ai dati personali raccolti su di loro da parte delle aziende. Tuttavia, il CCPA potrebbe superare il GDPR, consentendo un diritto di azione privata che potrebbe sfociare in class action legali in tema di privacy contro le aziende che violano la legge.

La California non è la sola, in quanto altri Stati stanno inserendo gli insegnamenti tratti dal GDPR in una legislazione che potrebbe trasformarsi in un mosaico contraddittorio e oneroso da seguire per le aziende. Un potenziale effetto potrebbe essere l’approvazione di una legislazione federale sulla privacy, che standardizzerebbe i requisiti, sebbene sia improbabile che diventi legge prima dell’entrata in vigore delle varie leggi statali.

Nel frattempo, il risultato quasi certamente potrebbe portare a confusione nei consumatori in merito ai loro diritti, nella responsabilità delle aziende, e nell’applicazione delle norme e nel loro studio. È stato detto che la Data Protection Directive del 1995, che ha preceduto il GDPR, è stata oggetto di interpretazione per 23 anni, fino a quando non è stata sostituita dalla regolamentazione attuale. Il GDPR è agli inizi e senza dubbio la sua interpretazione cambierà con il passare del tempo.

Tuttavia una cosa che è chiara in questo primo anniversario della sua entrata in vigore è che il GDPR ha già plasmato notevolmente l’approccio che migliaia di aziende adottano nella gestione dei dati. Inoltre, con l’evolversi del panorama della privacy e delle norme che lo disciplinano, in tutto il mondo continueranno a sorgere nuove questioni e nuovi approcci alla privacy dei dati.