Il Garante Europeo della Privacy vuole riformare il GDPR

Secondo il garante europeo della privacy Wojciech Wiewiórowski occorre intervenire sul regolamento per la protezione dei dati per renderlo più efficace e risolvere le storture delle sue applicazioni.

 

Il Garante europeo della privacy vuole un cambio di passo sul modo in cui il regolamento europeo sulla protezione dei dati, il GDPR, viene fatto rispettare in Europa. Dopo quattro anni dalla sua entrata in vigore e dieci anni dall’inizio dei lavori delle istituzioni europee per aggiornare le norme sulla protezione dei dati, il GDPR fa il suo esame di coscienza.

Il 16 e 17 giugno si è tenuta a Bruxelles una conferenza per fare il punto sull’applicazione del regolamento, organizzata e fortemente voluta proprio dal garante europeo della privacy Wojciech Wiewiórowski, perché “le cose che possono essere definite ora dovrebbero essere definite ora, non in un futuro imprecisato”.

Non ci sono troppi giri di parole nel discorso finale del garante che ritiene che il GDPR sia ancora difficile da far rispettare, soprattutto quando si parla di Big Tech. Tra gli ostacoli ad una migliore e e più efficiente implementazione Wiewiórowski cita “una ripartizione disuguale degli oneri; differenze di diritto procedurale che ostacolano la cooperazione (tra le autorità); lo scarso e tardivo coinvolgimento del comitato dei garanti europei”.

 

A quattro anni dalla sua entrata in vigore l’applicazione del regolamento europeo sui dati è ancora troppo lenta e inefficiente, soprattutto nei confronti delle Big Tech.

Una norma a velocità diverse

Come si nota da anni, nonostante il GDPR sia stato scritto per essere scalabile, senza richiedere un “impegno” di pmi e multinazionali in egual maniera, e pur prevedendo meccanismi di collaborazione tra le autorità per gestire i casi più complessi, l’effetto riscontrato in questi primi quattro anni è che il peso si è sentito molto per le pmi e poco per le Big Tech.

Per Wiewiórowski queste ultime, forti delle maggiori risorse economiche e della lentezza delle autorità, non hanno subito troppo gli effetti del nuovo regolamento e hanno potuto continuare ad approfittare della propria posizione di favore rispetto ai competitor più piccoli. D’altro canto, le persone che hanno fatto reclamo davanti alle autorità garanti aspettano anni prima di vedere rispettati i propri diritti, anche quando si tratta di casi molto semplici.

Non è un caso che tra gli ospiti del convegno ci fosse proprio Max Schrems, avvocato e attivista che con la sua Noyb ha sfidato Facebook nel 2018 e che, durante i due giorni, ha parlato di come sia stato complesso, lungo e costosissimo il percorso per far valere i suoi diritti, inclusa la battaglia legale con la stessa autorità irlandese.

Questi ritardi, infatti, dipendono dal sistema previsto dal GDPR per le aziende che operano su più Stati, il meccanismo di one-stop-shop.

Per facilitare la vita alle aziende, europee e straniere, che vogliono operare in tutta Europa, invece di chiedere loro di interagire con 27 garanti diversi, fu previsto che tutto il contenzioso passasse dall’autorità dove hanno stabilito la propria sede europea. Questo vuol dire Lussemburgo per Amazon, Paesi bassi per Netflix e Irlanda per Meta, Google, Microsoft, Apple e tante altre.

Complice anche il fatto di avere poche risorse umane ed economiche a disposizione in rapporto ai casi complessi che deve trattare, circostanza da imputare anche al governo irlandese, responsabile come tutti i governi europei per il budget delle Autorità nazionali, il caso di Noyb iniziato nel 2018 non ha ancora visto la luce ed è in attesa di verdetto del Garante irlandese.

 

Se il messaggio per le aziende è chiaro, anche ai governi il Garante dedica alcune battute ricordando come sia a livello nazionale che europeo, “quando la protezione dei dati viene presa sul serio, quando significa che le autorità pubbliche non possono, per una volta, fare ciò che vogliono, si tenta di minacciare l’indipendenza delle autorità di protezione dei dati o di intervenire a livello legislativo per contrastare le decisioni dell’autorità di regolamentazione”. A livello europeo il riferimento esplicito è all’Europol, la polizia europea di cui il Garante europeo è l’autorità competente per la protezione dei dati, per cui la Commissione ha stabilito che potrà continuare ad usare i dati raccolti finora sui cittadini europei, anche se non collegati a crimini o indagini, annullando gli effetti della decisione del Garante europeo che ne chiedeva la cancellazione.

A livello nazionale, invece, si potrebbe menzionare il decreto capienze dell’ottobre 2021, che ha depotenziato il Garante italiano lasciando maggior libertà alla pubblica amministrazione relativamente alle scelte fatte sul trattamento dei dati personali, anche in caso di rischio per le libertà individuali.

La ricetta del Garante europeo

Per Wiewiórowski, se una centralizzazione totale è impossibile, un maggior coordinamento è la via da seguire, anche se non risolverà tutti i problemi del meccanismo attuale del one-stop-shop, i cui costi sono in aumento senza però garantire la giustizia richiesta dai cittadini europei.

Il Garante europeo guarda dunque al Digital Markets Act e alle nuove leggi europee della data economy, che prevedono un ruolo più centrale per la Commissione europea, seppur non totalizzante. Per il garante è l’unico modo “per garantire una protezione reale e coerente ad alto livello dei diritti fondamentali alla protezione dei dati e della privacy in tutta l’Unione europea. Questo modello non solo attenuerebbe il problema dell’assegnazione disomogenea delle responsabilità, ma garantirebbe anche una reale coerenza in tutta l’Europa, anche attraverso forti meccanismi di collegialità”.

Non è un caso che di avviso simile sia anche il Parlamento europeo, che, tra gli emendamenti alla proposta della Commissione sul regolamento dell’intelligenza artificiale, l’AI Act, ne ha aggiunti alcuni, a firma dei co-relatori Brando Benifei e Dragos Tudorache, proprio sulla governance. Per evitare infatti il ripetersi di quanto accaduto con il Gdpr, la posizione dei due co-relatori del Parlamento è quella di prevedere, per le grandi aziende con un impatto su milioni di persone in più Paesi europei, che sia la Commissione ad agire al posto dell’autorità di controllo locale. Tale possibilità è suggerita anche in quei casi in cui l’autorità nazionale non agisca o sia troppo lenta. In tal modo, pertanto, non ci sarà alcuna differenza se l’azienda abbia la propria sede in Irlanda o in Francia, perché le investigazioni e le sanzioni saranno gestite centralmente da Bruxelles con l’ausilio dell’autorità locale. Il dado è tratto, ora resta da vedere cosa farà la Commissione e come si comporteranno autorità e governi.

Condividi