GDPR: a tre anni, quali le conquiste e le sfide?
GDPR, il Regolamento Generale sulla Protezione dei Dati, è stato ufficialmente introdotto tre anni fa dall'Unione Europea. Molti i passi avanti fatti da allora, eppure, “molte delle sfide più complesse, in materia di dati, restano tuttora aperte”, evidenziano da Osborne Clarke.
“Due – specificano – gli obiettivi principali del GDPR: aiutare i cittadini europei ad ottenere un maggiore controllo sui propri dati personali e fornire alle aziende un unico insieme di regole volto a migliorare la protezione dei dati all’interno dell’intera UE”.
In base a dati noti (fonte: https://www.privacyaffairs.com/gdpr-fines/), attualmente 661 sono le sanzioni per violazioni del GDPR in tutta l’Unione, per un totale di 292 milioni di euro. L’Italia, con 73 sanzioni, è al secondo posto per provvedimenti sanzionatori emanati, preceduta solo dalla Spagna (222).
“Dalla piena applicabilità del GDPR, noi di Osborne Clarke abbiamo gestito, a livello globale, oltre 200 incidenti in materia di dati e cybersecurity: di questi, circa il 70% sono stati notificati alle autorità di regolamentazione dei dati. La maggiore trasparenza ha portato a un aumento sostanziale sia del coinvolgimento nel rapporto con l'autorità che delle controversie post violazione. Ma la tendenza più interessante da osservare è, probabilmente, il cambiamento culturale portato dal GDPR: non più percepito come mero elemento di compliance aziendale ma sempre più anche come elemento di differenziazione commerciale e reputazionale”, sottolineano.
“Uno dei principali segnali di successo del GDPR – precisa Gianluigi Marino, Partner e Champion per la Digitalisation di Osborne Clarke in Italia – è la sua influenza sull'ondata di regolamentazione, in materia di digitale, che attualmente arriva dall’Europa. La stessa impostazione di base con un quadro di obblighi normativi, sommata a un'infrastruttura nazionale di enforcement e a sanzioni pecuniarie potenzialmente esorbitanti (il vero elemento di differenziazione del GDPR), si sta infatti estendendo ad altre aree quali, ad esempio, il diritto dei consumatori, il cosiddetto “online harm“, la governance dei dati e la regolamentazione in materia di intelligenza artificiale. Comprendendo come il rispetto del GDPR possa contribuire ad alimentare il vantaggio competitivo, le aziende iniziano inoltre a interpretare questi nuovi regimi come un’opportunità, e non solo come un semplice costo o un rischio normativo aggiuntivo”.
“Ora che il regime di compliance di base è in atto – proseguono da Osborne Clarke – e viene replicato in tutto il mondo, si può procedere a passo spedito verso l’ambiziosa sfida di sfruttare i dati per raggiungere, oltre agli obiettivi aziendali, importanti traguardi sociali come la Decarbonizzazione”.
Rimangono tuttavia in attesa di risposta alcune domande e relative sfide. Tra queste, come applicare il GDPR alle soluzioni di intelligenza artificiale che vengono sviluppate e lanciate?
Oppure, come si chiedono in Osborne Clarke, “le aziende troveranno nuovi modi per memorizzare e trasferire i dati personali, aggirando i problemi di adeguatezza derivanti dal noto caso Schrems II? In che modo l'ecosistema adtech può evolversi per creare un modello operativo sostenibile? Come il diritto alla protezione dei dati si concilia con la libertà di espressione, all’interno della maggiore regolamentazione della sicurezza online? Queste domande potranno trovare risposta solo nei prossimi anni”, concludono.
la Redazione