Passato, presente e futuro del GDPR
Il GDPR è forse la normativa sulla privacy più significativa a livello globale. Quasi tutti coloro che lavorano con i servizi digitali hanno dovuto recepirla e integrarla nel loro business, e quasi tutti i consumatori sono stati messi a conoscenza di questo nuovo regolamento europeo sulla privacy, se non altro per essersi imbattuti in forme di consenso (a volte noiose) che compaiono su ogni sito web rispettoso della legge.
Tuttavia, nonostante sia la più discussa legge europea, il suo impatto reale su coloro che ne sono influenzati può sembrare un po’ avvolto nel mistero. Per questo motivo, daremo un breve sguardo alla sua storia sorprendentemente lunga, al suo impatto, e chiederemo ad esperti del settore le implicazioni che ha per il futuro non solo dell’Europa, ma del mondo intero.
1995-2018: La Direttiva Europea sulla Protezione dei Dati
I semi di questa monumentale legge sulla privacy sono stati gettati già nel 1995, quando è stata approvata la Direttiva sulla Protezione dei Dati. Questa direttiva dell’UE, formata nei primissimi giorni di Internet, è stata rivoluzionaria per diversi motivi. Ha definito il concetto legale di dati personali come lo intendiamo in termini digitali, ha stabilito i principi che regolano quando le società sono autorizzate a elaborare tali dati e ha stabilito limiti su come i dati personali possono essere condivisi al di fuori dell’UE.
Il GDPR sostituisce questa direttiva, prendendone i suoi aspetti fondamentali e aggiornandola all’età moderna. Una distinzione importante è che il GDPR è un regolamento, mentre la direttiva sulla protezione dei dati era, appunto, una direttiva. Le direttive UE non sono direttamente leggi applicabili di per sé, ma gli stati membri hanno il mandato di implementare il loro contenuto nel loro quadro giuridico sovrano. I regolamenti, come il GDPR, sono invece direttamente applicabili, il che significa che fanno automaticamente parte dell’ordinamento giuridico nazionale in tutti gli stati membri dell’UE.
Se non trovi impressionante il fatto che nel 1995 sia stata emanata una direttiva sulla privacy, considera questo: gli Stati Uniti non hanno ancora una legislazione federale sui dati personali. Per quanto riguarda le altre superpotenze globali, la situazione sulle leggi in materia di protezione dei dati è ancora peggiore. Considerare già negli anni Novanta il diritto alla privacy digitale come un diritto umano è stato visionario.
Maggio 2018: il GDPR entra in vigore
Il GDPR è in vigore da meno di un anno e le cose sono tornate in gran parte alla normalità. Questo non vuol dire che si sia diffuso in modo impeccabile,: ci sono stati problemi, alcuni più prevedibili di altri. È piuttosto spiacevole, ad esempio, che il lancio di un atto legislativo così favorevole ai consumatori abbia fatto una così brutta impressione a coloro che protegge.
La pazienza di tutta Europa è stata messa a dura prova dall’infinito ripetersi di richieste di siti Web che chiedono il consenso per elaborare i dati personali. In linguistica, il termine “sazietà semantica” si riferisce a parole o frasi che temporaneamente perdono significato quando vengono dette troppe volte. Questa eccessiva saturazione di policy sulla privacy ha purtroppo portato a una certa apatia da parte dei consumatori. Secondo una ricerca di SITRA, il 29% ha accettato le policy sulla privacy del GDPR senza problemi. La stessa ricerca indica che il 64% degli utenti si è sentita toccata nelle proprie abitudini online dal GDPR. Non è stato perfetto, certo, ma è un buon inizio.
Le autorità hanno sottovalutato il fatto che un gran numero di aziende avrebbe procrastinato la conformità al GDPR. Hanno avuto due anni di tempo ma si sono ridotta all’ultimo momento. Ci sono state anche altre conseguenze, che sono diventate evidenti solo quando si è avvicinata la data di entrata in vigore della legge. Per un po’ è sembrato che molti siti Web si arrendessero e smettessero di servire completamente i clienti dell’UE. Alcuni giornali (o editori, per l’esattezza) come il proprietario del Chicago Tribune, Tribune Publishing, hanno deciso di bloccare del tutto il traffico dall’UE. Altri media hanno optato per un approccio più favorevole ai consumatori, con USA TODAY che ha deciso di offrire agli utenti europei una versione piuttosto bella e senza pubblicità del proprio sito.
E’ anche vero che l’UE avrebbe potuto fare un lavoro migliore nel comunicare i contenuti di un documento così corporso, composto da 99 norme racchiuse in 11 capitoli. Sarebbe stata molto più utile una campagna che elencasse le varie azioni che le aziende avrebbero dovuto intraprendere. C’è stato chiaramente un divario di comunicazione tra la burocrazia europea, a volte confusa, e gli stakeholder direttamente interessati dalla legge.
Questo non vuol dire che le imprese siano completamente prive di colpa. Ognuno aveva due anni per conformarsi alla legge e informare i propri clienti, tuttavia la maggior parte delle aziende sembrava comportarsi come liceali con le loro scadenze. È possibile che le aziende volessero vedere prima come avrebbero reagito i concorrenti, oppure hanno semplicemente sottovalutato la quantità di lavoro necessaria. Ci sono state molte linee guida sulla conformità GDPR pubblicate sulla scia del suo lancio, incluso il nostro, ma forse la sveglia è arrivata un po’ in ritardo.
L’impatto globale del GDPR
L’Unione Europea ha cercato di posizionarsi come portabandiera per una legislazione favorevole ai consumatori, il sostegno alle democrazie liberali e come paladina della libertà di espressione. Dal momento che gli effetti del GDPR hanno raggiunto ben oltre i confini dell’Unione europea, avrà un impatto sulla legislazione sulla privacy dei dati in tutto il mondo?
Il CEO di Microsoft Satya Nadella sembra pensarlo. In un recente discorso ha elogiato il GDPR, chiedendo regole globali sulla privacy e l’intelligenza artificiale, in modo che tutti nel settore tecnologico abbiano parità di condizioni.
“Il mio punto di vista è che si tratti di un inizio fantastico nel trattare la privacy come un diritto umano. Spero che negli Stati Uniti si faccia qualcosa di simile e che il mondo converga su uno standard comune”.
L’amministratore delegato di Apple, Tim Cook, in un recente editoriale della rivista TIME, ha proposto un “Registro di Data Brokers” federale, che consentirebbe alle persone di vedere quali informazioni su di loro sono vendute online e, se necessario, eliminarle. Mentre la legge federale è ancora in ritardo, gli Stati progressisti hanno già fatto passi avanti: il California Consumer Privacy Act del 2018 è stato ampiamente accolto dagli esperti di privacy.
Anche il Canada ha recentemente aggiornato la propria versione del GDPR, PIPEDA, per coprire molti degli stessi problemi relativi ai dati personali trattati dal GDPR. Anche Brasile e India stanno seguendo l’esempio.
Possiamo dire che il GDPR sta avendo un impatto globale, e il futuro della privacy dei dati sembra piuttosto brillante, almeno nei paesi democratici. Per Viivi Lähteenoja, responsabile dei programmi di MyData Global,
“…l’Europa ha dimostrato di essere un leader di pensiero nell’adozione del GDPR dopo oltre sei anni di sviluppo. Leggi simili sono ora in vigore o discusse in tutto il mondo. In un’economia globale in cui i dati personali sono controllati sia dalla Silicon Valley che dal governo cinese, l’Europa sta mostrando come utilizzare i dati personali in un modo che sia rispettoso delle persone e utile per il business”.
Categorie