Il Gdpr non sta funzionando come dovrebbe
Dopo quattro anni dalla sua entrata in vigore e dieci anni dall’inizio dei lavori delle istituzioni europee per aggiornare le norme sulla protezione dei dati, il Gdpr ha bisogno di revisione. Il Garante europeo della privacy vuole un cambio di passo sul modo in cui il regolamento europeo sulla protezione dei dati viene fatto rispettare in Europa.
L’applicazione del regolamento europeo sui dati è ancora troppo lenta e inefficiente, soprattutto nei confronti delle Big Tech. Tra gli ostacoli ad una migliore e più efficiente implementazione, il garante europeo della privacy Wojciech Wiewiórowski, cita “una ripartizione disuguale degli oneri; differenze di diritto procedurale che ostacolano la cooperazione (tra le autorità); lo scarso e tardivo coinvolgimento del comitato dei garanti europei”.
Una norma a velocità diverse
Come si nota da anni, nonostante il Gdpr sia stato scritto per essere scalabile, senza richiedere un “impegno” di Pmi e multinazionali in egual maniera, e pur prevedendo meccanismi di collaborazione tra le autorità per gestire i casi più complessi, l’effetto riscontrato in questi primi quattro anni è che il peso si è sentito molto per le Pmi e poco per le Big Tech. Per Wiewiórowski queste ultime, forti delle maggiori risorse economiche e della lentezza delle autorità, non hanno subito troppo gli effetti del nuovo regolamento e hanno potuto continuare ad approfittare della propria posizione di favore rispetto ai competitor più piccoli. D’altro canto, le persone che hanno fatto reclamo davanti alle autorità garanti aspettano anni prima di vedere rispettati i propri diritti, anche quando si tratta di casi molto semplici.
Se il messaggio per le aziende è chiaro, anche ai governi il Garante ricorda come sia a livello nazionale che europeo, “quando la protezione dei dati viene presa sul serio, quando significa che le autorità pubbliche non possono, per una volta, fare ciò che vogliono, si tenta di minacciare l’indipendenza delle autorità di protezione dei dati o di intervenire a livello legislativo per contrastare le decisioni dell’autorità di regolamentazione”.
A livello europeo il riferimento esplicito è all’Europol, la polizia europea di cui il Garante europeo è l’autorità competente per la protezione dei dati, per cui la Commissione ha stabilito che potrà continuare ad usare i dati raccolti finora sui cittadini europei, anche se non collegati a crimini o indagini, annullando gli effetti della decisione del Garante europeo che ne chiedeva la cancellazione.
A livello nazionale, invece, si potrebbe menzionare il decreto capienze dell’ottobre 2021, che ha depotenziato il Garante italiano lasciando maggior libertà alla pubblica amministrazione relativamente alle scelte fatte sul trattamento dei dati personali, anche in caso di rischio per le libertà individuali.
La ricetta del Garante europeo
Per Wiewiórowski, se una centralizzazione totale è impossibile, un maggior coordinamento è la via da seguire, anche se non risolverà tutti i problemi del meccanismo attuale del one-stop-shop, i cui costi sono in aumento senza però garantire la giustizia richiesta dai cittadini europei.
Il Garante europeo guarda dunque al Digital Markets Act e alle nuove leggi europee della data economy, che prevedono un ruolo più centrale per la Commissione europea, seppur non totalizzante. Per il garante è l’unico modo “per garantire una protezione reale e coerente ad alto livello dei diritti fondamentali alla protezione dei dati e della privacy in tutta l’Unione europea. Questo modello non solo attenuerebbe il problema dell’assegnazione disomogenea delle responsabilità, ma garantirebbe anche una reale coerenza in tutta l’Europa, anche attraverso forti meccanismi di collegialità”.
Fonte Wired.it