i dati

Un anno di Gdpr, tutti i numeri per capire come va in Europa e in Italia

Arrivano tanti studi che prendono il polso dell’attuazione Gdpr. Anche dalla commissione ue, a luglio. Le aziende si adeguando, ma le Autorità hanno approcci diversi tra i diversi Paesi: emerge che lo scenario in Italia è tra i più deludenti. La sfida in Europa sarà dare credibilità al nuovo quadro giuridico complessivo

25 Lug 2019
Barbara Calderini

Legal Specialist - Data Protection Officier


L’introduzione del nuovo Regolamento europeo GDPR ha reso evidente quanto il trattamento dei dati personali non si limiti alla sola privacy: l’uso delle informazioni, i diritti e gli interessi di aziende e persone fisiche si fondono, infatti, in una complessa scacchiera in cui -in primis- Istituzioni e Autorità sono chiamate a declinare tematiche sociali ed economiche di primaria importanza utilizzando anche la complessa tecnica del “bilanciamento di diritti umani fondamentali”.

Un fenomeno questo delicato tanto quanto complicato e dove la mera dialettica difficilmente contribuirà in maniera efficace al consolidamento dei principi e all’introduzione e consolidamento di metodologie cooperazione, salvaguardia e concreta tutela dei diritti umani.

La domanda che, forse, più di tutte, attende ancora risposta è quella in merito all’effettiva qualità del livello di consapevolezza (a prescindere dai numeri) sulla necessità che i principi enunciati nel GDPR trovino una costante e concreta attuazione.

Gdpr, il percorso verso la conformità

La qualità del percorso verso la conformità portato avanti da industrie, da amministrazioni pubbliche e dalle organizzazioni in genere, soprattutto la profonda specializzazione e l’efficienza dei componenti i vari Collegi istituzionali saranno fattori determinanti al fine di orientare l’agire autorevole e consapevole delle nostre Autorità destinate a loro volta a pronunciarsi in materia e creare le basi di un sistema di tutele operativo e soddisfacente.

In Italia, ad oltre un anno dalla piena efficacia del GDPR ed essendo giunto a scadenza il settennato di Antonello Soro (è passato un mese esatto dalla scadenza ma il voto in Parlamento non è ancora stato fissato), le sfide che si presentano all’orizzonte sono in particolar modo delicate.

Qui di seguito una panoramica dei bilanci conseguenti all’introduzione ed applicazione del GDPR in UE ed extra UE ma prima ancora alcune premesse ritenute essenziali.

Ai sensi dell’articolo 97 del GDPR, la Commissione Europea dovrà presentare una relazione sulla valutazione e revisione del Regolamento al Parlamento europeo e al Consiglio. Il primo rapporto è previsto per il 25 maggio 2020 e si concentrerà principalmente su tre fronti:

  • sull’applicazione del trasferimento dei dati personali a paesi terzi o organizzazioni internazionali, con particolare riguardo alle decisioni adottate ai sensi dell’articolo 45, paragrafo 3, del Regolamento.
  • sulle decisioni adottate sulla base dell’articolo 25, paragrafo 6, della direttiva 95/46 / CE.
  • sui meccanismi di cooperazione e coerenza.

Autorità e professionisti della privacy sanno bene che il GDPR non esaurisce il complesso quadro normativo del trattamento dei dati personali che appare infatti particolarmente prolifico: oltre ad esso assume particolare rilevanza tra gli altri provvedimenti, la Direttiva e-privacy o, meglio ancora, la sua prossima revisione ad opera del Regolamento ePrivacy (ePR) definito come la “legislazione sorella” del GDPR. L’incidenza che, in termini legali, ePR avrà sul GDPR, ponendosi rispetto ad esso come lex specialis, riveste sin d’ora un tema di assoluta importanza e ciò poiché, malgrado i piani iniziali previsti per la sua introduzione (doveva essere adottato e pronto per l’implementazione contemporaneamente al GDPR) sono cambiati ed ad oggi non sia stato ancora raggiunto un accordo sul testo finale, le indicazioni che continueranno a giungere sul tema da parte dell’EDPB e delle altre autorità di regolamentazione avranno un’incidenza tale da influenzare contemporaneamente sia l’applicazione del GDPR che il trend di sviluppo che condurrà al termine dei negoziati su ePR.

“ I cittadini europei sono diventati più consapevoli dei loro diritti digitali e questa è una notizia incoraggiante. Tuttavia, solo tre europei su dieci hanno sentito parlare di tutti i loro nuovi diritti sui dati. Per le aziende, la fiducia dei loro clienti è una valuta forte e questa fiducia inizia con la comprensione e la fiducia dei clienti nelle impostazioni della privacy. Essere consapevoli è un prerequisito per poter esercitare i propri diritti. Entrambe le parti possono vincere solo con un’applicazione più chiara e più semplice delle norme sulla protezione dei dati. ” Andrus Ansip, attuale vicepresidente per il mercato unico digitale.

I punti salienti della relazione della Commissione Ue (luglio 2019)

Il GDPR è applicabile dal 25 maggio 2018 ed il 24 luglio scorso la Commissione europea ha pubblicato la Relazione che esamina l’impatto delle norme dell’UE sulla protezione dei dati e come migliorarne ulteriormente l’attuazione. La relazione si focalizza sulle evidenze relative al crescente sviluppo della cultura della conformità da parte delle organizzazioni e all’aumento della consapevolezza dei loro diritti da parte delle singole persone. Allo stesso tempo evidenzia come la convergenza verso elevati standard di protezione dei dati stia progredendo a livello internazionale.

Questi i punti salienti:

  • quasi tutti gli Stati membri tranne tre – Grecia, Portogallo e Slovenia – hanno aggiornato le loro leggi nazionali sulla protezione dei dati in linea con le norme dell’Ue;
  • si dispone di utili e numerose Linee guida sugli aspetti chiave del Regolamento in grado di supportarne l’implementazione;
  • la conformità al regolamento pare aver aiutato le aziende ad aumentare la sicurezza dei loro dati e sviluppare la privacy come vantaggio competitivo
  • anche se con performance diverse, le Autorità nazionali per la protezione dei dati, corredate di maggiori poteri per applicare le relative norme, stanno progredendo nel delicato compito ad esse attribuito teso all’applicazione coordinata delle nuove norme attraverso l’uso consapevole dei meccanismi di cooperazione e al contributo del Comitato europeo per la protezione dei dati. A fine giugno 2019, il meccanismo di cooperazione ha gestito 516 casi transfrontalieri. Già nove mesi dopo l’entrata in vigore del GDPR, i membri dell’EDPB dichiararono quanto il GDPR funzionasse abbastanza bene nella pratica in merito alla gestione dei casi One-Stop-Shop.
  • Le regole europee si sono, senza alcun dubbio, poste a riferimento degli standard di protezione dei dati in tutto il mondo e questa convergenza verso l’alto pare aprire nuove opportunità per flussi di dati sicuri tra l’UE e i paesi terzi: Repubblica di Corea in primis.

Rapporto Eurobarometro, il Gdpr visto dagli europei

Stando anche ai risultati prodotti dal sondaggio “Eurobarometro” presentato nel corso dell’evento organizzato dalla Commissione europea, il 13 giugno scorso a Bruxelles, una percentuale di circa il 73% degli europei ha sentito parlare di almeno uno dei diritti privacy. La maggior parte di questi è al corrente dell’esistenza del GDPR con percentuali che vanno dal 90% in Svezia, all’87% nei Paesi Bassi e all’86% in Polonia, al 53% in Belgio e al 58% a Cipro ed Estonia. Francia 44% e Italia 49%.

Anche la percentuale di quelli che, inoltre, sono a conoscenza della presenza di un’Autorità pubblica nazionale responsabile della protezione dei loro diritti sui dati personali, è molto varia: Paesi Bassi 82%, Lettonia 76%, Finlandia e Svezia entrambi il 74%, Spagna 40%, Romania 46% e l’Ungheria 47%.

La dimensione territoriale del report è solo europea; il target degli intervistati ha coinvolto un campione della popolazione delle rispettive nazionalità, residente in ciascuno dei 28 Stati, di età pari o superiore a 15 anni.

Il testo completo del sondaggio è disponibile qui.

La relazione del Garante italiano alla Camera dei deputati

 

“Sull’altare dove si celebra ogni giorno la potenza del mercato dei dati, si sta consumando l’agonia della democrazia, prima, e la libertà dell’uomo, subito dopo”. Invero, nessuno può negare come “il valore e il potere del dato personale sia il motore della società digitale”, dalla cui lesione potrebbero discendere danni ai diritti fondamentali” Antonello Soro Presidente Autorità Garante Privacy

 

Lo scorso 7 maggio, l’Autorità Garante privacy italiana ha presentato alla Camera dei Deputati la Relazione annuale relativa al 2018. Oltre alle molte apprezzabili citazioni che rimandano al pensiero di Stefano Rodotà, dalla predetta Relazione, alla data del 31 marzo 2019, risultano più di 48mila comunicazioni dei dati di contatto dei cosiddetti DPO nominati dai titolari dei trattamenti (imprese private e pubbliche, associazioni e pubbliche amministrazioni).

Ulteriori dati derivano da un recente studio IAPP (Associazione internazionale dei professionisti della privacy) che indica che circa 500.000 organizzazioni europee hanno registrato funzionari della protezione dei dati in tutta Europa ai sensi del GDPR: +182,000 in Germania, oltre 51,000 in Francia, +48,000 in Italia, +32,000 in UK e +30,000 in Spagna. Ciò detto e sebbene il requisito di DPO esista già in Germania da un decennio e altre economie, tra cui Francia e Svezia, ad esempio, hanno ben definito il concetto di DPO, questa funzione è nuova quasi ovunque nel mondo ed è probabilmente destinata a generare confusione con conseguente cautela nell’interpretazione dei numeri in termini di effettivo impatto.

La nuova legge è diventata il piano normativo europeo che modella la nostra risposta in molti altri settori. Dall’intelligenza artificiale, dallo sviluppo delle reti 5G all’integrità delle nostre elezioni, regole rigorose sulla protezione dei dati aiutano a sviluppare le nostre politiche e tecnologie basate sulla fiducia delle persone.

I principi del GDPR si irradiano anche oltre l’Europa. Dal Cile al Giappone, dal Brasile alla Corea del Sud, dall’Argentina al Kenya, stiamo vedendo emergere nuove leggi sulla privacy, basato su solide garanzie, diritti individuali applicabili e autorità di controllo indipendenti . Tale convergenza verso l’alto offre nuove opportunità per promuovere flussi di dati basati su fiducia e sicurezza”. Dichiarazione del 25 maggio 2019 di Andrus Ansip, vicepresidente per il mercato unico digitale e Věra Jourová , commissario per la giustizia, i consumatori e l’uguaglianza di genere

Deloitte: Gdpr, “A New era for privacy”

L’impatto del GDPR si è spinto oltre i confini dell’Europa ed ha contribuito in maniera rilevante al cosiddetto “effetto Bruxelles” ovvero al potenziamento del ruolo dell’Unione quale superpotenza “normativa” mondiale supportata dall’incidenza del proprio vasto mercato e della pressione per le organizzazioni globali ad aderire ai più alti standard di protezione globale.

Questo ulteriore effetto può ben essere osservato nell’interessante report di Deloitte “A New era for privacy” condotto in 11 paesi UE ed extra UE tra cui Regno Unito, Spagna, Italia, Paesi Bassi, Francia, Germania, Svezia, Stati Uniti, Canada, India e Australia.

Il sondaggio ha rivelato che in sei mesi quasi la metà delle organizzazioni intervistate ha effettuato investimenti significativi nelle proprie capacità di conformità al GDPR e che i risultati sono quasi identici sia all’interno che all’esterno dell’UE. I paesi extra UE sono semmai più reattivi: il 44% delle imprese di questi ha da tempo stanziato risorse finanziarie e formative aggiuntive per il personale, a fronte del 36% delle imprese nei paesi dell’UE nel medesimo frangente.

In ambito Data Protection Officer, il 99% delle imprese in India ha nominato un DPO, seguito dalla Spagna con il 96% e dall’Italia con il 93%. Al contrario, solo il 76% delle imprese in Francia e il 74% delle imprese in Australia ha assegnato un DPO alla propria organizzazione. Tali dati vanno interpretati ovviamente in maniera specifica tenendo conto delle peculiarità specifiche della funzione rivestita dal DPO.

Cresce la consapevolezza e il numero dei reclami

Tutti i precedenti documenti confermano quanto la consapevolezza degli individui sia aumentata. Buona parte degli intervistati ha ritenuto di prestare maggiore attenzione quando condivide le proprie informazioni personali specie online rispetto al pre-GDPR e la maggior parte delle organizzazioni sembrerebbe aver investito in modo significativo (anche continuativo?) nella propria conformità.

Di fatto la segnalata crescente consapevolezza ha avuto come corollario il significativo aumento del numero di segnalazioni di violazioni presentate ed una responsabilità di gestione da parte delle Autorità di regolamentazione europee che ha evidenziato un preoccupante gap quanto alla tempestiva e soddisfacente trattazione delle stesse e alle risorse umane e finanziarie destinate a tanto. In linea di massima si può considerare un raddoppio generale dei reclami e quasi tre volte il numero di notifiche di violazione sullo stesso periodo del 2017.

La Commissione per la protezione dei dati irlandese (DPC) in merito a tanto non può non aver accolto con favore il finanziamento aggiuntivo di 3,5 milioni di euro destinato al suo Ufficio, annunciato dal governo nel bilancio 2019. L’aumento dei finanziamenti per il 2019 porta la dotazione di finanziamento totale per il DPC a 15,2 milioni di euro, che rappresenta un ulteriore aumento del 30% sull’assegnazione 2018. Un buon segno.

La bella Infografica Iapp “GDPR one year anniversary evidenzia oltre 144.000 reclami individuali presentati in un anno in materia di:

  • richieste di accesso
  • diritto alla cancellazione
  • trattamenti illegittimi
  • comunicazione ingiusta dei dati a terzi parti
  • marketing indesiderato
  • privacy dei dipendenti

Dal maggio 2018, oltre 89.000 notifiche di violazione dei dati sono state segnalate in tutto lo Spazio economico europeo da organizzazioni sia pubbliche che private. Le tre aree maggiormente coinvolte sono:

  • telemarketing,
  • e-mail promozionali
  • videosorveglianza / TVCC

Più di 440 sono i casi transfrontalieri giunti alla valutazione delle Autorità.

Anche l’European Data Protection Board (EDPB) conferma che nel primo anno di applicazione del GDPR sono stati registrati 281.088 casi di notifica alle varie autorità di controllo. Di questi, 144.376 si riferivano a reclami dei consumatori e 89.271 si riferivano a violazioni dei dati da parte dei Responsabili del trattamento.

Paesi Bassi, Germania e Regno Unito rappresentando il 65% delle violazioni totali denunciate in Europa nel 2018 hanno segnalato il maggior numero di violazioni. Il quarto posto è occupato dall’Irlanda. L’Italia, che sta a metà classifica, solo 610. Il Liechtenstein, l’Islanda e Cipro hanno registrato il livello più basso.

Il grande divario tra i Paesi Bassi con 15.400 notifiche di violazione dei dati e, ad esempio, l’Italia in cui sono state eseguite solo 610 notifiche di violazione dei dati lascia quantomeno perplessi ma potrebbe essere in realtà indicativo non tanto o non solo del diverso grado di cultura riguardo alla conformità della protezione dei dati, bensì dei diversi approcci messi in atto quanto a prudenza e rigore.

In Europa: tendenze sanzionatorie Gdpr: ICO e CNIL (luglio 2019)

Il successo del regolamento non dovrebbe essere misurato dal numero di ammende inflitte, ma dai cambiamenti nella cultura e nel comportamento di tutti gli attori coinvolti“, ha affermato la Commissione europea.

A tali performance legate al consistente incremento di segnalazioni e notifica ricevute dalle Autorità, ferme le ovvie possibilità di impugnazione da parte dei trasgressori e malgrado non vi sia dubbio che le violazioni dei dati potrebbero avere un impatto sulla fiducia dei consumatori, non corrispondono in Europa (con alti e bassi) altrettanto performanti conseguenze sanzionatorie. Se, oltreoceano, la Federal Trade Commission degli Stati Uniti multa Facebook per 5 miliardi di dollari determinando la più alta sanzione nella storia dell’applicazione della privacy globale (oltre ad altri tra cui Google con una sanzione milionaria per avere “preso di mira” gli under 13), in Europa, The Financial Times riferisce che la Commissione non pare preoccupata dall’assenza di grandi sanzioni specie per le società tecnologiche che violano le norme sulla privacy e anzi incoraggia i regolatori a trovare altri modi per imporre sanzioni.

I dati ad oggi esaminati consentono di affermare come le Autorità di controllo, decorso il termine di “tolleranza” concesso, manifestino mediamente approcci ragionevoli in aderenza -forse- al criterio di “effettività, proporzionalità e deterrenza” espresso nel Regolamento stesso .

EDPB nel febbraio 2019 indicava che 11 paesi hanno imposto multe GDPR per un totale di circa 56 milioni di euro di cui 50 milioni a carico di Google e riscossi dalla CNIL francese.

Francia

Tra queste prime sanzioni, quella che merita maggior risalto per importo, per la natura del soggetto trasgressore e dunque per la manifesta “natura sovranazionale del GDPR” ma anche per la decisione dell’Autorità stessa di applicare il cd “one stop shop” di cui all’art. 56 è quella imposta dal Garante francese a Google a seguito delle due denunce presentate il 25 e 28 maggio 2018 (contestuali all’entrata in vigore del GDPR) dall’organizzazione None of Your Business NOYB di Max Schrems e dall’associazione di promozione dei diritti digitali La Quadrature du Net.

Romania

Tali numeri andrebbero aggiornati con gli ultimi eventi tra cui: l’Autorità nazionale di vigilanza della Romania che ha multato per 130.000 euro Unicredit Bank per la violazione dell’articolo 25, dell’articolo 5 e del considerando 78 del regolamento europeo relativamente alla libera circolazione dei dati.

Austria

In Austria, si evidenzia il provvedimento del mese di ottobre 2018 che vede imporre una sanzione da 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in modo non appropriato ovvero lesivo dei principi di privacy by design, trasparenza, finalità e minimizzazione dei dati.

Germania

E’ del 22 novembre 2018, il provvedimento sanzionatorio sollevato contro il sito di chat online Knuddels.de (“Coccole”), per violazione dell’art 32 GDPR e per un importo di circa ventimila euro.

UK

ICO ha recentemente emesso le sue prime e seconde multe GDPR in meno di 30 ore, arrivando a un totale combinato di 282 milioni di sterline.

L’8 giugno scorso, British Airways è stata “schiaffeggiata” con una multa di 183 milioni di sterline per un attacco informatico nel settembre 2018 in cui gli aggressori hanno rubato informazioni personali sensibili come i dettagli di pagamento (la multa dell’ICO è stata calcolata sulla base dell’1,5 per cento degli interi ricavi di British Airways nel 2017, quindi senza applicare la massima aliquota prevista dal GDPR). Il giorno successivo, la catena alberghiera Marriott International è stata punita con una multa di 99 milioni di sterline per il noto attacco informatico alla sua controllata Starwood (che ha violato i dati personali di circa 500 milioni di clienti  per un periodo di quattro anni).

Come l’Autorità francese CNIL anche l’Ufficio del Commissario per le informazioni del Regno Unito (ICO) ha pubblicato, prima dell’annuncio delle multe da record di cui sopra, la sua relazione annuale 2018-19 il 9 luglio 2019 descrivendo il periodo post-GDPR  come “senza precedenti” quanto ad interesse dimostrato per la privacy e segnalazioni varie compresi reclami e notifiche di violazione.

Portogallo

Senza dubbio la sanzione inflitta dall’Autorità portoghese all‘Hospitalar Barreiro Montijo per un importo complessivo di 400 mila euro.

La prima ispezione del CNDP risaliva all’aprile 2018 su segnalazione del sindacato dei medici, il quale contestava come il personale non sanitario avesse accesso ai sistemi informatici della struttura con i poteri propri dell’organico medico.

Polonia

L’Autorità polacca per la protezione dei dati personali (UODO) ha sanzionato per un importo di 943.000 zloty polacchi, pari a circa 220.000 euro, il mancato rispetto del Regolamento europeo e, in particolare, dell’obbligo di informazione sancito all’art. 14 GDPR ad opera di una società che aveva omesso di informare circa sei milioni di persone riguardo al trattamento ai fini commerciali dei loro dati tratti da fonti accessibili al pubblico.

Italia: l’applicazione “a macchia di leopardo” e le carenze infrastrutturali interne

In Italia, specie in ambito Pubblica Amministrazione, la situazione è, comunque, decisamente desolante e ciò oltre ogni interpretazione. Il caso del ministero della Giustizia che sul proprio sito di vendite pubbliche rilascia in chiaro i nomi e i cognomi delle persone coinvolte nei pignoramenti è esemplare e malgrado la prima segnalazione di questo problema sia stata fatta al Ministero a febbraio, ad oggi i passi intrapresi sono “non incoraggianti”.

Oltre a ciò si evidenziano solo pochi provvedimenti emessi dal Garante che, sebbene piuttosto modesti quanto agli importi, sono tuttavia significativi ( il primo soprattutto) al punto da stimolare importanti riflessioni sull’effettivo ruolo dell’Autorità indipendente a tutela non solo della privacy ma anche delle democrazia e del percorso legato all’innovazione tecnologica.

  • il n. 83 del 4 aprile 2019 che ha comminato all’Associazione Rousseau, quale responsabile del trattamento e in tale qualità trasgressore, il pagamento di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento UE 2016/679, oltre ad ingiungere all’Associazione stessa gli adeguamenti necessari contenuti nel provvedimento.
  • il provvedimento del 4 febbraio relativo alla sanzione di 16.000 euro comminata ad un medico per trattamento illecito di dati personali consistente nell’aver utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche del 4 marzo 2018, senza che gli interessati avessero espresso specifico consenso.
  • Il provvedimento del 14 giugno scorso contro Facebook Italy S.r.l. e Facebook Ireland Ltd per il pagamento di 1.000.000 di euro. Un precedente significativo poiché il primo  emesso dal Garante italiano nei confronti del colosso dei social network, tra l’altro, applicando il regime sanzionatorio del Codice ante-GDPR.

Va evidenziato che sebbene la stampa riporti di violazioni dei dati, molte di queste sono ancora pre-GDPR e verranno pertanto gestire e sanzionate in base ai regimi precedenti. E’, quindi, troppo presto per avere un quadro chiaro dei tipi di applicazione che possiamo aspettarci di vedere a più lungo termine e, sebbene la previsione di multe fino al quattro percento del fatturato globale abbia conquistato molti titoli, la concreta imposizione di livelli così alti di sanzione appare abbastanza complessa quanto sfidante. Vero è che l’atteggiamento più recente di alcune Autorità nazionali (CNIL e ICO soprattutto) rivela ulteriori segnali di un possibile cambiamento di rotta rispetto all’iniziale applicazione graduale e di orientamento a fini preventivi del Regolamento europeo.

Alla sanzione amministrativa si accompagna inoltre la tutela civile che  il GDPR ha riconosciuto alle persone (crf. art. 82 GDPR “chiunque” e anche class action) attraverso il diritto a ricevere un risarcimento qualora si verifichino danni materiali o non materiali da trattamenti illegittimi. In merito a ciò, il prossimo anno potrebbe rivelarsi fondamentale per comprenderne il possibile impatto.

La credibilità del quadro giuridico

Di fatto, al di là dei numeri e della loro interpretazione alla luce di contesti specifici, è quanto mai evidente che il fattore critico di successo attraverso cui incentivare e sostenere l’intero sistema di sviluppo ed implementazione del GDPR, in Europa come nei singoli Stati e oltre, sarà l’effettiva credibilità di cui dovrà necessariamente dar prova il nuovo quadro giuridico.

Questo, nel suo complesso divenire dovrà mostrarsi in grado di  trasformare l’ambiziosa scommessa europea  in un successo operativo e strategico. Ciò tenendo anche conto della necessità di dover adeguatamente affrontare il problema dell’enorme afflusso di “voci” sul GDPR o di disinformazione su larga scala che si diffonde a partire dai social media e frutto di interpretazioni improvvisate ed inconsapevoli su quanto la legge possa effettivamente intendere e disciplinare. I rapporti sul GDPR recentemente resi noti dalle Autorità CNIL e ICO sono in tal senso un utile ed aggiornato parametro di interpretazione.

Le aspettative (e le preoccupazioni) in ambito sociale ed economico sono alte e spaziano in tutto il mondo, oltre i confini europei.

Il lavoro certo continuerà; quanto è stato fatto e costruito necessita di essere manutenuto, consolidato e anzi aggiornato costantemente.

I temi caldi individuati saranno tra gli altri:

  • PSD2 Direttiva sui pagamenti digitali e Open Banking
  • Trasferimenti internazionali
  • Certificazione e codici di condotta
  • AI e Veicoli connessi
  • Videosorveglianza e sistemi di controllo anche pubblici in ottica di bilanciamento dei diritti
  • Protezione dei dati in base alla progettazione / impostazione predefinita
  • Targeting utenti e social media
  • Dati dei bambini
  • Concetti di data-controller e data-processor
  • Definizione di Interesse legittimo
  • Esercizio dei diritti di accesso, portabilità, cancellazione, opposizione e limitazione

@RIPRODUZIONE RISERVATA

Articolo 1 di 3