dott. Marco Massimini – Amministratore Unico e Project Manager di Privacy.it

Pubblicato in data 04-10-2021

ALLARME IN CORSO

L’Europa ha un problema di enforcement del GDPR. Le autorità di controllo non sembrano avere la forza necessaria ad imporre un adeguato rispetto delle regole a protezione delle informazioni personali, in particolar modo ai colossi che dominano la data economy. Considerato che negli ultimi tempi la pandemia di Covid-19 ha forzato i cittadini del vecchio continente ad un’ulteriore traslazione tecnologica spingendo quote crescenti della loro vita privata, relazionale e professionale in una dimensione ancor più digitale, la criticità è rilevante.

I motivi di tale diffusa debolezza sono molteplici e di natura complessa, ma alcuni di questi sono ben chiari e costituiscono le fondamenta del problema.

  • C’è innanzitutto un tema di risorse insufficienti allocate alle Data Protection Authority (DPA) la gran maggioranza delle quali lamenta finanziamenti insufficienti e appare palesemente sotto-staffata.
  • C’è poi un elemento di squilibrio negli organici chiamati a valutare ed imporre la corretta applicazione del GDPR: in quasi tutte le DPA, lo staff con competenze IT è grandemente minoritario rispetto al personale di estrazione legale. Il gap di skill informatici tra giudicante e giudicato è davvero una major issue quando si è chiamati a regolamentare un contesto socio-economico animato e pervaso da Big Tech che fondano sugli altrui dati personali il proprio modello di business e che investono ingenti capitali per innovare a ogni piè sospinto le proprie strategie e soluzioni digitali.
  • Infine, c’è uno Stato membro che – grazie ad una fiscalità favorevole – trae vantaggio nell’ospitare le sedi UE di gran parte delle summenzionate Big Tech. Secondo i meccanismi di cooperazione previsti dal GDPR spetta a quel Paese condurre verso queste aziende le attività di enforcement in materia di protezione dei dati personali assumendo il ruolo di autorità capofila e, di fatto, la leadership quanto a tutela della privacy dei cittadini europei rispetto all’operato ai colossi digitali d’oltreoceano. Questo Stato membro è l’Irlanda e la sua DPA non pare a tutt’oggi sostenere adeguatamente il ruolo. Anzi, secondo molti la Irish Data Protection Commission (DPC) è il collo di bottiglia che impedisce un efficace dispiegamento del potere regolamentare del GDPR verso le varie Google, Facebook, Microsoft, TikTok, Apple, Twitter, etc.

Nelle prossime righe vedremo qualche dato che fonda il convincimento che vi sia una criticità in atto e che sia necessario porvi rimedio se non si vuole disperdere l’enorme potenziale del GDPR come strumento per lo sviluppo di una società che sia rispettosa dei diritti e delle libertà individuali nell’era digitale.

L’OVERVIEW DELL’EDPB

Il Comitato europeo per la protezione dei dati (EDPB) ha di recente pubblicato un interessante documento denominato Overview on resources made available by Member States to the Data Protection Authorities and on enforcement actions by the Data Protection Authorities per fornire riscontro ad una specifica richiesta pervenuta dalla Commissione LIBE del Parlamento europeo (Commissione per le libertà civili, la giustizia e gli affari interni) intesa ad ottenere una panoramica sulla capacità operativa delle autorità nazionali di controllo in materia di protezione dei dati personali – il nostro Garante Privacy e le altre DPA – nell’ambito dello Spazio economico europeo (SEE).

Come noto, la tutela delle informazioni personali dei cittadini continentali è affidata in primis alle suddette autorità indipendenti. E per sostenere il ruolo, in un contesto socio-economico altamente digitalizzato e data-centrico, queste devono essere adeguatamente attrezzate ed essere efficienti nella loro azione. Il documento presenta due ambiti di rilevazione aventi ad oggetto:

  • le risorse messe a disposizione delle DPA dai rispettivi governi;
  • le azioni intraprese dalle diverse DPA nell’espletamento dei compiti istituzionali che la normativa assegna loro.

Il report dell’EDPB offre dunque gli elementi salienti per misurare l’energia profusa dagli Stati membri nel garantire la protezione dei dati personali, un diritto sancito nella Carta dei Diritti Fondamentali della UE la cui tutela è disciplinata dal Regolamento UE 2018/679 – GDPR.

Vediamo i risultati più interessanti dell’indagine conoscitiva:

BUDGET

  • La Germania vanta di gran lunga le risorse finanziarie più cospicue: oltre 94 mln di euro nel 2021 (82 nel 2020). Nel valutare il dato occorre tener conto che trattasi dello Stato più popoloso della UE/SEE (83 mln di abitanti) e che la sorveglianza in materia è devoluta non solo ad un’autorità federale (competente su amministrazione centrale e telecomunicazioni) ma anche alle DPA di ciascuno dei 17 Länder (competenti su privati e amministrazioni locali): ragion per cui il complesso di risorse umane impiegate è anch’esso largamente più alto (oltre 1.000 addetti) rispetto ad altri Paesi andando inevitabilmente ad incidere sul fabbisogno di cassa.
  • Il Garante Privacy italiano si piazza al secondo posto quanto a finanziamenti: nel 2021 ha potuto fruire di 35,6 mln di euro (contro i 30,1 dell’anno passato). Considerando il solo criterio della popolazione (60 mln di abitanti), il budget è in percentualmente molto inferiore a quello tedesco, ma è di oltre un terzo superiore a quello della Francia (21,5 mln di euro nel 2021) che pur vanta una popolazione superiore di qualche milione alla nostra (65 mln di abitanti).
  • Più della metà di tutte le DPA nazionali hanno piccoli (5 milioni di euro o meno) budget annuali.
  • L’82% delle DPA – tra cui il nostro Garante – ritiene che il proprio budget sia insufficiente a compiere adeguatamente le proprie attività istituzionali. Tra i pochi soddisfatti c’è l’autorità di vigilanza austriaca che dal 2020 al 2021 ha visto i propri fondi raddoppiati.

RISORSE UMANE

  • Pur evitando – per i summenzionati motivi – il raffronto con gli oltre mille funzionari tedeschi, appare lampante come il nostro Garante risulti ampiamente sotto staffato con i suoi 133 addetti rispetto ai suoi principali omologhi: la Polonia può contare su 271 unità, la Francia su 245, la Spagna su 189, Olanda e Irlanda su 175.
  • Dei 133 funzionari italiani, 62 (poco oltre la metà) sono dediti alla gestione di questioni direttamente inerenti l’applicazione della disciplina quali reclami, atti di enforcement e sanzioni. In Germania sono 717 su 1.083 e in Irlanda 148 su 175, ossia la netta maggioranza.
  • Tra il personale direttamente coinvolto nell’applicazione della normativa si è voluto rilevare quale percentuale fosse coinvolto in questioni transnazionali. Qui i dati sono molto variabili, ovviamente anche in ragione del tipo di economia e della presenza delle multinazionali: si va da un 5% di Polonia e Grecia, passando per il 12% della Spagna per finire al 100% di alcune DPA come quella del Lussemburgo. L’Italia impiega su questioni cross-border il 35% degli addetti mentre l’Irlanda si attesta al 46%.
  • La rilevazione fa luce anche sulle competenze del personale utilizzato con distinzione tra supporto generale (amministrazione finanziaria, HR, traduttori, etc.), legali, IT e altro (categoria residuale). Quel che più merita attenzione è il rapporto tra operatori che vantano un background legale e quelli di estrazione tecnico-informatica. Presso il Garante sono 88 i legali (66% di tutto il personale) e soli 9 gli informatici (6%). In Germania la percentuale di cyber-staff sale al 10%, nel CNIL francese al 12% e nell’organico dell’AEPD spagnolo al 13%. L’Irlanda, pur ospitando gli headquarter UE di numerosi colossi digitali, presenta un misero 2,8% (5 informatici su 175 persone).
  • L’86% delle DPA – tra cui il nostro Garante – ritiene che le risorse umane allocate siano nel loro complesso insufficienti ad assolvere adeguatamente le proprie attività istituzionali.

NUMERO DI CASI AFFRONTATI

  • Tralasciando i dati in progressione del 2021, il computo dei casi affrontati nel 2020 sono indicativi della mole di lavoro a carico delle varie DPA tra reclami, segnalazioni, notifiche di data breach, indagini avviate d’ufficio, analisi e consultazioni a seguito di valutazioni di impatto, e altro ancora.
  • Per quanto concerne i casi di interesse esclusivamente nazionale, in Italia sono stati affrontati oltre 9.600 casi (dato stabile rispetto al 2019 e tale dovrebbe restare nel 2021), più della Francia (7.290) ma meno di Spagna, Polonia e Danimarca (tutti oltre quota 10.000) e ben meno della metà dell’Olanda (quasi 25.000), per non parlare della Germania (oltre 60.000).
  • L’EDPB ha inoltre voluto misurare il coinvolgimento delle diverse DPA nei 1.615 casi cross-border registrati dalla piena entrata in vigore del GDPR nel maggio 2018, distinguendo quante volte – in ossequio ai principi di cooperazione e ai meccanismi “One-stop-shop” introdotti dal Regolamento – ogni DPA ha avuto il pesante ruolo di Lead Supervisory Authority (LSA) piuttosto che di semplice Concerned Supervisory Authorities (CSA). L’Italia è stata coinvolta in 628 casi come CSA ma ne ha condotti solo 31 come LSA mentre la Germania 183, l’Irlanda 164, la Francia 127, la Svezia 111, l’Olanda 108, il Lussemburgo 91, e la Spagna 79. Insomma, rispetto ad altre DPA, raramente il nostro Garante è chiamato ad agire da autorità capofila in un procedimento con implicazioni transnazionali e il motivo è noto: fisco, burocrazia, normative, giustizia, tutele sindacali, etc., per come caratterizzate nel nostro Paese spronano ben poche multinazionali extra UE ad insediare in Italia il proprio caposaldo continentale.
  • Non facili da interpretare i dati sulle investigazioni lanciate d’ufficio. Il 2020 ha visto iperattive la Romania (398), l’Austria (337) e la Francia (247) mentre il nostro garante avrebbe avviato motu proprio solo 15 indagini (ma ne aveva avviati 105 l’anno precedente).
  • Per quanto concerne i casi aperti in base a notifiche di data breach, limitando l’osservazione al 2020, è in testa la Germania (27.652) seguita dall’Olanda (24.055) e dalla più staccata Danimarca (9.118), mentre l’Italia si attesta alla cifra ben inferiore di 1.387 che rivela comunque una media di quasi 4 violazioni al giorno oggetto di notificazione per la loro – quantomeno presunta – gravità.
  • Infine, con riguardo ai casi in cui le DPA hanno imposto misure prescrittive ai titolari o responsabili del trattamento nel lasso dal 25/5/2018 al 31/5/2021, si osservano numeri molto differenti: l’Irlanda è prima (oltre 4.000 casi), poi la Spagna (oltre 2.000) e l’Ungheria (che sfiora i 1.000). Ben staccata l’Italia con 285 casi.

SANZIONI AMMINISTRATIVE PECUNIARIE IRROGATE

  • A far data dall’applicazione del GDPR al 31/5/2021, la Germania è la nazione che ha concluso più casi (606) ingiungendo il pagamento di una multa. Seguono Spagna (279) e poi Italia (228). Curiosamente distanti la Francia (26) e l’Irlanda (7).
  • In riferimento al complesso delle sanzioni irrogate è bene non considerare l’anno in corso e cogliere piuttosto i dati del 2020. Qui l’Italia ha fatto la parte del leone con oltre 60 mln totali (cifra record rispetto a qualsiasi DPA dal 2018) grazie alla mannaia calata sul marketing aggressivo di grandi operatori telefonici ed energetici: 27,5 mln a TIM, 17 a Wind e 11,5 ad ENI Gas e Luce. Un poco indietro la Germania (56 mln di cui ben 35 ad H&M per indebita schedatura dei dipendenti) e terza per distacco alla Svezia (12 mln). La Francia nel 2020 ha multato in maniera sensibilmente più esigua (3,4 mln) rispetto ad altri ma anche rispetto alla propria “perfomance” del 2019 quando arrivò ad un ammontare di 51,3 mln complessivi di cui però ben 50 furono comminati dal CNIL alla sola Google LLC per trattamento illecito dei dati degli utenti Android (in quel momento la multa più elevata mai comminata da uno Stato membro in base al GDPR); è bene ricordare che il procedimento fu condotto dal CNIL in autonomia e in solo riferimento agli utenti Android francesi non potendosi nel caso di specie applicare il one-stop-shop mechanism che dovrebbe vedere capofila l’Irlanda (al tempo dei fatti contestati il colosso californiano aveva il proprio avamposto in UE a Dublino ma questo non aveva i caratteri di “stabilimento principale” che soltanto dal gennaio 2019 sono attribuiti alla neonata Google Ireland Limited).
  • Quando una DPA emette una sanzione è probabile che il sanzionato ricorra impugni il provvedimento e che, di conseguenza, l’autorità debba aggiungere al proprio carico di lavoro la difesa delle decisioni assunte. Ad esempio, dal 26 maggio 2018 il nostro Garante ha visto impugnate ben 233 ordinanze che si erano concluse con l’ingiunzione al pagamento di una sanzione amministrativa pecuniaria: di queste 233 decisioni 144 sono ancora pendenti, 50 sono state confermate dalla giustizia ordinaria, 25 annullate e 14 riformate.

TEMPO MEDIO DELLE DECISIONI

  • Difficile giudicare chi è virtuoso quanto a velocità di decisione piuttosto che no. I numeri riportati dell’EDPB non possono esser letti piattamente ma vanno interpretati con cautela. Ad esempio, se uno Stato ha una media di 26 mesi per concludere un procedimento potrebbe essere che l’average time si riferisca ad una piccola DPA che magari dal 2018 ha deciso su soli due casi di cui uno ha richiesto qualche anno perché molto complesso. Per converso, un’altra DPA potrebbe sembrare velocissima salvo scoprire che una disposizione nazionale le impone di decidere entro pochissimo tempo (come l’autorità norvegese che è tenuta a provvedere entro 1 mese).
  • Il nostro Garante Privacy impiega in media 5 mesi ad emettere un provvedimento di enforcement e 7 mesi se trattasi di questione transnazionale soggetta a meccanismo di cooperazione. Su questo tipo di performance influisce senza dubbio l’art. 143 del Codice Privacy che impone alla nostra Autorità di decidere su un reclamo entro un massimo di 12 mesi (9 + 3 in caso di ulteriori esigenze istruttorie) salvo sospensione dei termini laddove si attivi il meccanismo di cooperazione.
  • La Data Protection Commission irlandese non è tenuta ad osservare una deadline decisionale e impiega in media 23 mesi per disporre sui casi di rilevanza cross-border (che, per le ragioni già menzionate, potrebbero imporre ai funzionari in Dublino un elevato livello di complessità). Ma la DPC non pare un fulmine di guerra nemmeno nella gestione dei casi nazionali che risolve mediamente in 16 mesi.
LA QUESTIONE IRLANDESE

L’Irlanda è lo Stato membro in cui hanno insediato il proprio quartier generale UE grandi compagnie internazionali del calibro di Google (YouTube, Android, etc.), Microsoft, Apple, Facebook (Instagram e Whatsapp), Twitter, TikTok, Tinder, Airbnb, eBay, Dropbox, Oracle, Salesforce, Experian, Verizon, Shopify e altre ancora. La politica business-friendly adottata tempo addietro dall’ “Isola di Smeraldo” ha prodotto nei dintorni di Dublino una concentrazione di colossi digitali attratti da semplificazioni burocratiche e da tangibili benefici economici (in particolare, da una fiscalità vantaggiosa con tassazione aziendale al 12,5%). In pochi anni l’Irlanda ha colto i frutti di questa strategia: disoccupazione ai minimi storici, salari medi in crescita, boom immobiliare, e tanti altri segni positivi che hanno contribuito ad una iper crescita del PIL (nel pre-pandemico 2019, + 5.5% contro il + 1,5 medio del resto della UE). L’effetto volano è ampio perché il Paese, assurgendo col passare dei mesi ad hub continentale dell’innovazione tecnologica, è divenuto una calamita per una costellazione di fornitori che offrono beni e servizi nell’indotto nonché the place to be anche per le start-up digitali europee.

Come diretta conseguenza della presenza delle citate Big Tech extra UE, l’Irlanda è lo Stato membro chiamato ad imporre in prima battuta la corretta applicazione del GDPR laddove queste trattino dati personali dei cittadini europei. Tenuto conto i dati personali sono al centro del business di questi mastodonti, non c’è dubbio che sulle spalle della Data Protection Commission irlandese gravi un compito oltremodo impegnativo.

Tenendo conto che il report dell’EDPB relaziona sul periodo dal 25/5/2018 al 31/5/2021, se si focalizza l’attenzione ai soli dati relativi alla DPC irlandese emerge che questa:

  • ha ottenuto un budget di 19 mln nel 2021 e di quasi 17 mln nel 2020 e si dichiara nella necessità di maggiori finanziamenti;
  • ha uno staff di 175 persone (+30 unità rispetto al 2020) di cui 148 sono impegnate in attività di enforcement. Tra queste il 56% e dedito a casi nazionali, il 46% a casi con implicazioni transnazionali. La DPC si dichiara nella necessità di dotarsi di più personale;
  • per quel che concerne il background dei propri funzionari, solo 5 hanno competenze precipuamente informatiche;
  • in tre anni ha avviato d’ufficio 88 procedimenti di cui 12 chiusi e ben 66 pendenti (pari al 75%);
  • nel medesimo periodo ha assunto il ruolo di Lead Supervisory Authority in 164 casi cross-border chiudendone solo 4. Vale a dire che il 98% è ancora inevaso;
  • pur avendo chiuso oltre 4.000 casi (quasi tutti di interesse nazionale) con misure prescrittive, è stata alquanto “stitica” quanto a sanzioni pecuniarie: zero multe emesse nel 2018 e 2019, 718.000 euro nel 2020 e 90.000 nel primi 5 mesi del 2021: davvero poco per chi ha giurisdizione su numerosi potentati digitali alcuni dei quali accusati, nel periodo in analisi, di aver perpetrato diverse malefatte sui dati degli utenti.

Stando a questi freddi numeri, la struttura della DPC non pare all’altezza della parte che è chiamata ad interpretare. L’impressione si è fatta evidenza quando il 15 giugno 2021 – quindi fuori l’orizzonte temporale al 21 maggio 2021 considerato dalla Overview dell’EDPB – il Lussemburgo si è prodotto in un exploit che ha reso l’idea di cosa possa fare una piccola DPA in qualità di Lead Supervisory Authority: il suo CNPD non avrà deliberate molte decisioni negli ultimi anni, ma quella del giugno scorso – pronunciata nell’ambito dei meccanismi di cooperazione di cui all’art. 60 GDPR – è costata ad Amazon Europe Core S.à r.l la cifra record di 746 milioni di euro per violazione degli obblighi GDPR in tema di raccolta di libero consenso degli utenti alla profilazione per fini pubblicitari (i dettagli di quanto contestato alla compagnia creata da Jeff Bezos non sono ancora noti perché l’ordinamento lussemburghese impone il segreto professionale ai membri dell’Autorità e vieta la pubblicazione della decisione finché non siano scaduti i termini di impugnazione). In un sol giorno il CNPD lussemburghese aveva “stangato” per una cifra quasi dieci volte superiore rispetto alla somma delle multe comminate in tre anni dalla DPC irlandese che pur ha competenza sulle subsidiary di un numero ben più ampio di colossi digitali, alcuni dei quali molto problematici sotto il profilo della data protection.

Rispetto al desolante ritratto scaturente dai numeri riferiti nella panoramica dell’EDPB aggravato dall’impietoso confronto con la dimostrazione di forza lussemburghese, una recente decisione ha tuttavia consentito alla DPC di riguadagnare terreno. Il 2 settembre 2021 la Commission ha annunciato di aver emesso come Lead Supervisory Authority (LDA) un provvedimento sanzionatorio nei confronti di WhatsApp Ireland Limited per scarsa trasparenza verso gli utenti in relazione all’interscambio di dati personali tra la piattaforma di messaggistica istantanea e le altre applicazioni della galassia Facebook, che della stessa è casa madre: una violazione degli artt. 5, 12, 13 e 14 del GDPR che l’autorità irlandese ha punito con 225 mln di euro di multa, la seconda più salata nella storia della normativa continentale di privacy (dopo la citata sanzione lussemburghese comminata ad Amazon). La notizia del provvedimento ha avuto notevole una eco mediatica e chi si fosse limitato a scorrere i lanci di agenzia avrà forse visto nel “garante privacy irlandese” un castigatore dei giganti prepotenti. Ma l’iter della decisione avversa a WhatsApp Ireland – oltre che lungo, perché punto d’arrivo di un’indagine avviata nel 2018 – è stato travagliato e per molti aspetti rivelatore.

Nel dicembre 2020 la DPC (in qualità di Lead Supervisory Authority) aveva sottoposto ai propri colleghi europei (Concerned Supervisory Authorities) un draft di decisione in base alla quale avrebbe irrogato una sanzione da 50 milioni di euro, ma – dopo averlo attentamente analizzato – otto di essi si opposero giudicando inadeguato il provvedimento. In assenza di accordo, nel giugno 2021 la DPC attivò la procedura prevista dall’art.65 GDPR che demanda all’EDPB la composizione delle controversie tra le DPA nazionali. Il Board europeo emanava il seguente 28 luglio una decisione di natura vincolante che disponeva la modifica del progetto di decisione facendo notare alla DPC che:

  • era troppo benevolo il termine semestrale concesso a WhatsApp per adeguare la propria informativa agli obblighi di trasparenza: 3 mesi sarebbero stati più che sufficienti;
  • il novero di disposizioni GDPR infrante da WhatsApp era superiore a quelle contestate e che, in caso di violazioni multiple per operazioni di trattamento identiche o collegate, tutte le violazioni andavano considerate ai fini della sanzione;
  • la pena pecuniaria era inefficace quanto a deterrenza e – benché previsto dal GDPR – non era parametrata sul fatturato consolidato della società madre (Facebook Inc).

In parole povere, la DPC ha avuto “il braccino” e solo l’intervento dei colleghi europei l’ha costretta ad emanare un provvedimento più severo, specie sotto profilo sanzionatorio con una multa da oltre 225 milioni che risulta più che quadrupla rispetto a quella inizialmente proposta da Dublino.

La vicenda relativa alla decisione WhatsApp Ireland concorre ad aumentare il sospetto che la DPC, oltre che non disporre delle risorse necessarie a svolgere un ruolo oggettivamente complicato, sia in qualche modo restia ad usare – quando le circostanze lo richiedono – il pugno duro con le Big Tech che operano nella sua giurisdizione (e che probabilmente confidano in una certa benevolenza a titolo di riconoscenza per aver dislocato nell’isola le loro sussidiarie).

Sulla DPC piovono critiche. Non più tardi del 13 settembre 2021 l’Irish Council for Civil Liberties (ICCL) ha pubblicato un report accusando l’autorità di essere il “collo di bottiglia” che frena l’applicazione del GDPR in Europa. D’altronde, pare ovvio che l’Irlanda sia imputata come fattore di paralisi se in 3 anni risolve solo il 2% dei casi transazionali su cui dovrebbe intervenire come Lead Authority costringendo i watchdog degli altri Stati ad un infinito stand-by sul restante 98% (salvo provvedere inizialmente motu proprio, negli stretti margini recentemente precisati in una decisione del 15 giugno 2021 della Corte di Giustizia europea).

Una simile condizione di inerzia deve essere risolta dall’Irlanda stessa e, quale primo segno in tal senso, una commissione parlamentare ha invocato nel luglio scorso una riforma della DPC con allocazione di maggiori poteri e risorse.

IL RUOLO DECISIVO DEGLI ESECUTIVI NAZIONALI E DELLA COMMISSIONE EUROPEA

Ogni Stato membro è chiamato a conferire alla propria Data Protection Authority le risorse necessarie a consentirle di imporre l’applicazione del GDPR ogni qual volta ciò sia necessario e senza lungaggini che possono causa danni ai cittadini. Dal 2018 ad oggi quasi tutte le DPA hanno visto decrementare i propri finanziamenti, segno di un “calo di attenzione” da parte dei relativi governi che pare davvero inopportuno perché:

  • nell’era della società informazionale, 3 anni sono un’eternità in termini di evoluzione ed innovazione;
  • la pandemia, tra lockdown e altre forti restrizioni, ha costretto centinaia di milioni di cittadini UE – anche i più riottosi verso la tecnologia – a vivere in modalità iperconnessa molti aspetti della propria quotidianità (quali il lavoro, gli approvvigionamenti, le relazioni, e il tempo libero). Nel periodo emergenziale un nugolo di nuove soluzioni sì è presentato sul mercato mentre una miriade di nuovi data subject si catapultava online riversando le proprie informazioni in un oceano già colmo dei dati personali degli user già attivi (che a loro volta, forzati tra le mura domestiche, hanno inevitabilmente moltiplicato le attività sui propri device). Per rendere l’idea del boost digitale legato al Covid, basti dire che il solo settore delle app ha segnato un +40% di ricavi nel 2020 rispetto al 2019;
  • tutti gli studi in materia suggeriscono che le DPA possono giocare un ruolo fondamentale anche per la fiducia nel mercato B2C. I consumatori hanno accolto con grande favore l’avvento di nuove regole a tutela della privacy, ma spesso si sentono disorientati e disarmati. Ad esempio, secondo la recentissima Cisco 2021 Consumer Privacy Survey, il 76% dei consumer non capisce cosa viene fatto dei loro dati, il 46% non sa come tutelarsi, il 36% è convinto che le compagnie non tratteranno i dati come promesso. E’ vero che le persone dovrebbero assumere maggior consapevolezza circa i loro diritti, ma non si può chiedere a tutti di autotutelarsi interpretando le varie privacy policy (perlopiù sterminate e artatamente cervellotiche) alla luce di una normativa complessa. Il rischio è che, a fronte di una crescente “dipendenza tecnologica” che tutti noi stiamo sviluppando, si ingeneri un senso di timore e sfiducia nei provider perché non sappiamo cosa accade e come difenderci, e che alla fine si opti per la fuga (sempre secondo l’indagine 2021 di Cisco, il 33% degli intervistati ha abbandonato un social media, il 28% un fornitore Internet, 23% una compagnia telefonica, il 19% un retailer o una carta di credito, e via andando). Se le DPA avessero, come dovrebbe essere, la capacità di imporre alle aziende maggiore chiarezza e trasparenza, l’agevole esercizio dei diritti agli interessati, e tutti gli altri i requisiti imposti dal GDPR, i consumatori guadagnerebbero fiducia e tutto il mercato ne trarrebbe giovamento.

Ebbene, anziché incrementare la propria capacità di supervisione in ragione dello scenario corrente, gli Stati membri hanno allentato la corda. I dati che abbiamo già passato in rapida rassegna sono piuttosto chiari e costringono a degli interrogativi.

  • Se l’82% delle DPA sostiene di non disporre di un budget sufficiente e l’86% avverte scarsità di personale, come possono svolgere adeguatamente un ruolo di controllo?
  • Se, oltre a ciò, i loro staff difettano serialmente di specialisti IT, come possono comprendere – e quindi investigare – cosa stanno combinando le Big Tech con le informazioni personali in loro possesso? E come potranno fronteggiare le sfide continuamente poste da una rivoluzione tecnologica inarrestabile?
  • Se, infine, la sorveglianza sull’operato di massima parte degli “oligarchi” della new economy è di default assegnato ad una DPA carente di risorse, competenze e fors’anche di ferrea volontà, come può pretendersi che questa imponga loro il rispetto delle regole anche per conto degli altri membri della UE/SEE? Che ne è dei meccanismi di cooperazione del GDPR, se la capofila responsabile dell’enforcement non coopera a dovere? Possono i cittadini UE aspettare ogni volta che una DPA debole impeghi anni per emettere una bozza di provvedimento e che poi questa – magari perché timida nel suo portato prescrittivo e sanzionatorio – sia contestata da altre DPA e infine corretta dall’EDPB?

Gli esecutivi nazionali debbono assolutamente rafforzare le proprie Data Protection Authority se non si vuole mettere a repentaglio la privacy di milioni di individui. Per questo se gli Stati membri – Irlanda in primis – non dovessero darsi una mossa, la governance europea non può restare a guardare. La Commissione UE ha infatti il compito di assicurare che le normative emanate dal legislatore dell’Unione siano osservate.

Il rapporto del ICCL definisce la Commissione di Bruxelles come “quiescente” rispetto alla situazione descritta e accusa l’esecutivo dell’UE di concentrarsi eccessivamente sulla progettazione di nuove normative trascurando l’applicazione del GDPR che rischia di “fallire silenziosamente”.

Il report del ICCL suggerisce che, al fine di verificare che le DPA garantiscano adeguatamente la tutela di un diritto fondamentale come la privacy, la Commissione europea dovrebbe monitorare l’applicazione del GDPR con più rigore e maggiore frequenza (richiedendo, in tal senso, resoconti quadrimestrali alle autorità nazionali e all’EDPB). E, laddove necessario, dovrebbe intervenire d’imperio verso gli Stati membri inefficienti.

In effetti, con riguardo a quest’ultima annotazione, la Commissione europea potrebbe e dovrebbe usare il suo potere ai sensi dell’articolo 258 del Trattato sul funzionamento dell’Unione europea (TFUE) per avviare una procedura di infrazione contro gli Stati membri che non agiscono a dovere in materia: la data protection è uno degli obiettivi dell’Unione e chi non la tutela attivamente è inadempiente rispetto agli obblighi degli Stati membri ai sensi dell’articolo 4, paragrafo 3, del Trattato sull’Unione europea (TUE).

La Commissione dovrebbe considerare la questione anche sotto un profilo meramente strategico. Il GDPR ha dimostrato di essere una regolamentazione d’impatto internazionale, non solo nel suo portato direttamente applicativo (chiunque nel mondo deve adeguarvisi se desidera fornire beni/servizi ai cittadini UE) ma anche per la sua capacità di influenza globale. Dalla sua nascita, il Regolamento ha svolto – e tutt’ora svolge – un ruolo dominante settando per il mondo intero un nuovo standard di normativa a tutela dei diritti e delle libertà individuali. In molti Paesi, più o meno lontani e più o meno avanzati, il GDPR ha ispirato la riforma – quando non la prima introduzione – di regole a difesa della privacy o, quantomeno, ha acceso importanti dibattiti: oggi il GDPR rappresenta il benchmark per chiunque ritenga doveroso tutelare gli individui dall’uso di tecnologie che possono consentire eccessi di sorveglianza governativa o indebite forme di manipolazione commerciale.

L’UE, che segna il passo nella produzione di beni/servizi per il tech-market di largo consumo, emanando normative della caratura del GDPR ha dimostrato di poter ritagliarsi una leadership di tipo regolamentare nel contesto dell’innovazione tecnologica. L’Unione, oltre a sviluppare le politiche indispensabili ad affermare una propria sovranità digitale e a provare a riguadagnare la competitività persa nella globalizzazione, vuole segnare la via per uno sviluppo della nuova economia che sia equilibrato e rispettoso dei fondamenti di una società libera e democratica. Con la General Data Protection Regulation del 2018, la UE ha provato a sé stessa e agli altri di poter guadagnare il centro del proscenio internazionale approntando un toolkit moderno di regole a protezione della vita privata, della dignità umana e del diritto all’autodeterminazione informazionale: non è poco, perché trattasi di valori senza i quali un domani poco lontano non riusciremo ad evitare che algoritmi decisionali e intelligenza artificiale soppiantino la persona umana anziché asservirla per migliorarne l’esistenza.

Ma è inutile propugnare erga omnes una visione equa ed antropocentrica del futuro, se poi non si è in grado di far rispettare in casa propria i propri principi “illuminati”. Se la platea mondiale dovesse constatare che l’Europa non è in grado di far osservare le sue regole, si tratterebbe di un grave fallimento politico dell’Unione. Ma, cosa ben peggiore, si provocherebbe un vulnus immediato ai diritti affermati nel Vecchio Continente e, se ciò non bastasse, si adombrerebbe un futuro poco invidiabile: se svanisce l’effetto GDPR, tra qualche tempo potremmo dover sventolare bandiera bianca consegnando (come accade ad altre latitudini) la nostra vita privata alla tecno-sorveglianza di eventuali governi autoritari oppure devolvendo definitivamente la nostra personalità digitale ai giganti tecnologici da cui già oggi dipendiamo e/o alle lobby che ne sapranno fare buon uso.