Il GDPR non sta funzionando come dovrebbe

A quattro anni dalla sua entrata in vigore l’applicazione del regolamento europeo sui dati è ancora troppo lenta e inefficiente, soprattutto nei confronti delle Big Tech.

 

Sono passati più di quattro anni da quando l’organizzazione no-profit per i diritti dei dati Noyb ha presentato i primi reclami nel quadro del GDPR, il Regolamento generale sulla protezione dei dati dell’Unione europea (Ue).

Google, WhatsApp, Facebook e Instagram avrebbero costretto gli utenti a cedere i propri dati senza ottenere prima il consenso necessario, sostiene Romain Robert, responsabile dei programmi della no-profit.

I reclami sono stati presentati il 25 maggio 2018, lo stesso giorno in cui il GDPR è entrato in vigore rafforzando il diritto alla privacy di 740 milioni di europei. Quattro anni dopo, Noyb è ancora in attesa del verdetto finale. E non è la sola.

Dall’entrata in vigore del GDPR, le autorità di regolamentazione incaricate di far rispettare la legge hanno faticato a dar seguito in modo tempestivo ai reclami contro le Big Tech e le aziende del nebuloso settore della pubblicità online.

Attualmente, ci sono decine di casi ancora in sospeso. Sebbene abbia rafforzato sensibilmente il diritto alla privacy di milioni di persone dentro e fuori l’Europa, il GDPR non ha risolto i problemi più gravi: i data broker – gli intermediari che raccolgono e commerciano i dati – continuano ad accumulare e vendere le vostre informazioni, e il settore della pubblicità online è ancora pieno di potenziali abusi.

Oggi diverse associazioni della società civile hanno sviluppato un senso di frustrazione a causa delle limitazioni del GDPR, mentre le autorità di regolamentazione di alcuni paesi lamentano il fatto che il sistema di gestione dei reclami internazionali è saturo e rallenta l’applicazione delle norme.

Di contro, l’economia dell’informazione continua a muoversi a grande velocità. Noyb ha appena raggiunto un accordo su una causa contro i ritardi nei reclami relativi al consenso.

Ci sono ancora quello che noi definiamo un gap di applicazione e problemi con l’applicazione transfrontaliera e contro i grandi attori“, aggiunge David Martin Ruiz, un funzionario legale presso l’Organizzazione europea dei consumatori, che quattro anni fa ha presentato un reclamo sul tracciamento della posizione da parte di Google.

I legislatori di Bruxelles hanno proposto per la prima volta una riforma delle norme europee sui dati nel gennaio 2012.

Il testo definitivo della legge è stato approvato nel 2016, e ha concesso ad aziende e organizzazioni due anni di tempo per conformarsi.

Il GDPR si basa sulle precedenti normative in materia di dati, rafforza i vostri diritti e modifica il modo in cui le aziende devono gestire i dati personali degli utenti, come il vostro nome o indirizzo ip.

In alcuni casi specifici il regolamento non vieta l’uso dei dati – come ad esempio per il ricorso da parte della polizia a tecnologie di riconoscimento facciale invasive – ma si basa su sette principi che disciplinano il trattamento, l’archiviazione e l’uso dei vostri dati. Questi principi si applicano in egual misura a enti di beneficenza e governi, aziende farmaceutiche e colossi tecnologici.

Il GDPR ha conferito all’autorità responsabili della regolamentazione dei dati di ciascun paese dell’Ue il potere di comminare multe fino al 4 per cento del fatturato globale di un’azienda e di ordinare alle società di interrompere le pratiche che violano i principi del regolamento.

Era ampiamente previsto che le multe e l’applicazione del GDPR da parte delle autorità di regolamentazione non sarebbero state rapide, ma a quattro anni dall’entrata in vigore del regolamento il numero di decisioni importanti adottate contro le aziende più potenti del mondo rimane incredibilmente basso.

 

Un processo farraginoso

In base alla fitta serie di norme che compongono il GDPR, i reclami presentati contro un’azienda che opera in più paesi dell’Ue vengono generalmente indirizzati al paese che ospita la sua sede principale in Europa. Il cosiddetto processo a sportello unico prevede che sia questo paese a svolgere l’indagine. Di conseguenza, il Lussemburgo gestisce i reclami contro Amazon, i Paesi Bassi si occupano di Netflix, la Svezia di Spotify mentre l’Irlanda è responsabile di Meta, Facebook, WhatsApp e Instagram, oltre a tutti i servizi di Google, Airbnb, Yahoo, Twitter, Microsoft, Apple e LinkedIn.

L’afflusso immediato di reclami intricati nel quadro del GDPR ha portato all’accumulo di casi arretrati presso le autorità di regolamentazione, compreso l’ente irlandese, mentre la cooperazione internazionale è stata rallentata dalle pratiche burocratiche.

Da maggio del 2018, l’autorità di regolamentazione irlandese ha portato a termine il 65 per cento dei casi che comportavano decisioni transfrontaliere , e secondo le statistiche dell’ente ne restano ancora quattrocento in sospeso. Anche altri reclami presentati da Noyb contro Netflix (Paesi Bassi), Spotify (Svezia) e PimEyes (Polonia) si trascinano da anni.

 

Le autorità europee che regolamentano i dati sostengono che l’applicazione del Gdpr sia ancora in fase di evoluzione, ma che il sistema stia funzionando bene e stia migliorando nel tempo (per questo articolo sono stati intervistati funzionari di Francia, Irlanda, Germania, Norvegia, Lussemburgo, Italia, Regno Unito e dei due organismi indipendenti europei, il Garante europeo della protezione dei dati (Gepd) e il Comitato europeo per la protezione dei dati). Il numero di multe è aumentato, raggiungendo un totale di 1,6 miliardi di euro. Per citare i due provvedimenti ad oggi più corposi, il Lussemburgo ha multato Amazon per 746 milioni di euro e lo scorso anno l’Irlanda ha sanzionato WhatsApp per 225 milioni di euro (entrambe le aziende hanno presentato ricorso).

Tuttavia, le autorità ammettono che modificare le modalità di applicazione del GDPR potrebbe accelerare il processo e garantire una maggiore rapidità d’azione.

Condividi