il commento

Tre anni di GDPR, come ha cambiato le nostre vite: molto ma non ancora abbastanza

Innegabile l’incidenza del GDPR su azienda, PA, professionisti. Il Garante privacy italiano è da record, il mercato sta rispondendo con crescente entusiasmo, ma l’EDPB non è ancora maturo. E molto va fatto sul fronte del coordinamento delle autorità

04 Giu 2021
Rocco Panetta

anaging Partner Panetta Studio Legale e IAPP Country Leader per l’Italia

decreto trasparenza privacy

Qualche giorno fa abbiamo festeggiato i primi tre anni di applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR).

Un momento simbolico, ma di indubbia importanza storica. L’incidenza del GDPR nella vita di imprese, pubbliche amministrazioni e professionisti è ormai sotto gli occhi di tutti e quindi innegabile.

Qual è dunque il bilancio di questo primo triennio di vigenza? Ho provato a rispondere a questa domanda che mi ha posto il Direttore Alessandro Longo, che ringrazio, prendendo in considerazione tre diverse angolature da cui ritengo si possano meglio osservare gli ottimi risultati di questi primi tre anni di applicazione (oltre alle sfide che ancora ci aspettano per gli anni che verranno).

GDPR, codici di condotta e certificazioni: lo stato dell’arte tra sfide e opportunità

L’attività dell’EDPB

La prima prospettiva da cui poter guardare a questi primi tre anni di GDPR è sicuramente quella europea. L’angolo visuale deve essere focalizzato sull’attività di un’istituzione in particolare, vale a dire l’European Data Protection Board (EDPB).

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

E non potrebbe essere altrimenti, dato che l’EDPB o Comitato Europeo per la Protezione dei Dati nasce proprio con il regolamento europeo che ha sostituito la direttiva 95/46/CE. Direttiva che a suo tempo aveva istituito quel Gruppo di lavoro ai sensi dell’Articolo 29 della direttiva stessa (WP29) i cui pareri e linee guida ancora oggi costituiscono le pietre miliari della materia, anche nella pratica quotidiana.

A tre anni di distanza da quell’epocale passaggio di consegne, possiamo affermare che l’EDPB ha iniziato a comprendere la natura del suo ruolo, quanto meno rispetto alla necessità di fornire continui orizzonti in una materia in forte evoluzione e con un impatto vastissimo dentro e fuori i confini dell’UE.

L’EDPB non ha mancato, in questi anni, di svolgere bene il ruolo di primo consulente di istituzioni, imprese e cittadini, nella delicata fase di lancio del GDPR.

I segni di immaturità

Tutti i principali adempimenti, vecchi e nuovi, introdotti dal GDPR rispetto alla Direttiva 95/46/Ce sono stati oggetto di analisi e di provvedimenti ad hoc. Fredda e ancora poco incisiva è stata invece la risposta del EDPB sui temi più scivolosi e che ancora si mostrano solo in controluce sui mercati, come quelli relativi al posizionamento e alle pratiche diffuse di trattamento dati da parte delle big tech, o con riferimento ai temi spinosi della monetizzazione dei dati personali e alla remunerazione delle persone fisiche rispetto alla circolazione dei propri dati personali.

Anche sul fronte delle sanzioni e dei meccanismi di risoluzione delle controversie tra Autorità di garanzia, l’EDPB non ha ancora lasciato il segno. E’ questo un indice anche della necessità che l’EDPB comprenda appieno la centralità del suo ruolo nel mondo della data economy, anche in vista delle scelte che dovrà compiere e delle sfide a cui tutti saremo chiamati nei prossimi mesi. Mi riferisco, ad esempio alle quattro proposte di regolamento adottate dalla Commissione Europea (Data Governance Act, Digital Services Act, Digital Markets Act e Artificial Intelligence Act).

A tal riguardo, lo scorso 19 maggio il Comitato ha dato alle stampe lo Statement 05/2021 on the Data Governance Act in light of the legislative developments, mentre a marzo l’EDPB e l’European Data Protection Supervisor (EDPS) hanno adottato la Joint Opinion 03/2021 on the Proposal for a regulation of the European Parliament and of the Council on European data governance (Data Governance Act).

Tale ultimo riferimento non è casuale. Occorre infatti sempre ricordare come, in questi primi anni di applicazione del nuovo regolamento europeo, anche l’attività dell’EDPS, prima guidata dal compianto Giovanni Buttarelli ed ora da Wojciech Wiewiórowski ha avuto un ruolo fondamentale e di assoluto rilievo per gli interpreti e gli operatori del settore. Un impegno imprescindibile, anche in veste collaborativa con l’EDPB, un’unione delle forze che fa bene al mercato e che ci si augura possa diventare sempre più frequente.

Gdpr in Italia: il nostro Garante privacy

Una diversa lente di ingrandimento attraverso cui poter osservare il dispiegarsi degli effetti del GDPR e misurarne la portata dell’impatto che hanno avuto questi primi tre anni di vigenza, con particolare riguardo al nostro ordinamento nazionale, è quella dell’attività svolta dall’Autorità Garante per la protezione dei dati personali. Autorità che proprio nel bel mezzo di tale arco temporale ha vissuto il cambio del suo Collegio, avvenuto il 29 luglio 2020, con non poche difficoltà, dovute alla situazione pandemica, che ha costretto il Collegio presieduto da Antonello Soro ad una lunga proroga.

Il nuovo Collegio, presieduto da Pasquale Stanzione, vede alla vicepresidenza Ginevra Cerrina Feroni e come componenti Agostino Ghiglia e Guido Scorza. Con il nuovo Collegio, per la prima volta in sincrono, è anche cambiato il Segretario Generale, da sempre espressione interna dell’Ufficio del Garante – con la sola eccezione della breve parentesi del Presidente Patroni Griffi – con la nomina del Cons. Fabio Mattei.

Il Garante dei record

I numeri parlano chiaro. Infatti, in attesa della Relazione annuale del 2020, il Garante si presenta al momento come il “Garante dei record”: solo nel 2019 sono stati 232 i provvedimenti collegiali adottati, 147 le ispezioni effettuate in numerosi settori, più di 8.000 i riscontri forniti a reclami e segnalazioni e ben 1443 i data breach notificati da parte di soggetti pubblici e privati.

Cifre che dimostrano il grande livello di attenzione posto dall’Autorità nel difendere e applicare l’impianto normativo introdotto dal GDPR e che testimoniano gli sforzi profusi nella battaglia per la protezione dei dati personali e, più in generale, nella salvaguardia dei diritti e dei valori fondanti della tradizione giuridica occidentale. A quanto sin qui detto, va aggiunta la centralità dei provvedimenti volti a chiarire l’applicazione della nuova disciplina europea in specifici ambiti, come ad esempio quello sanitario, e che attestano come l’Autorità italiana si sia prodigata, conscia delle sue responsabilità e dell’importanza del suo ruolo, nel promuovere un’implementazione corretta e puntuale dei principi e degli istituti del Regolamento.

E ancora, per quanto riguarda le sanzioni, ulteriore importante banco di prova del nuovo regime di enforcement dettato dal GDPR, il Garante non ha mancato di far sentire la sua voce: basti pensare che l’ammontare totale delle sanzioni comminate nel primo biennio ha raggiunto i 50 milioni di euro, per arrivare, ad inizio 2020, ad una tra le sanzioni più alte irrogate in Europa dall’entrata in vigore del GDPR, di importo pari a 27,8 milioni di euro, nel delicato settore del telemarketing.

I temi caldi

Allo stato attuale, l’attività del nuovo Collegio sembra andare in modo spedito, non solo grazie ai numerosi e variegati interventi assunti nel pieno delle proprie facoltà – tra provvedimenti, ordinanze e linee guida – ma anche per la centralità assunta nel dibattito pubblico sui temi a forte impatto sulla protezione dei dati, come quelli relativi ai vaccini in azienda e alle famose “certificazioni verdi”, indicando con decisione alle imprese e alle istituzioni le misure da adottare.

E a ciò si aggiungano i provvedimenti, prima, e la ricerca del dialogo, poi, con le big tech, uno su tutti il caso TikTok, che chi scrive ha peraltro avuto il privilegio di seguire in prima persona avendo assistito la società, mostrando così di aver ormai maturato piena consapevolezza e padronanza di tutti gli strumenti messi a disposizione dal Regolamento.

Ovviamente il percorso è ancora lungo e la sfida della protezione dei diritti e delle libertà sempre più difficile, vista la velocità con cui avanza il progresso tecnologico.

Come fare meglio

Per restare al passo e per uscirne vincitori sarà necessario adottare un approccio trasversale e dinamico, capace di cogliere e comprendere tutti gli aspetti, le opportunità e le criticità che caratterizzano le diverse tecnologie che vengono continuamente immesse sul mercato, anche attraverso una valutazione economica ex ante dell’impatto della regolazione sui mercati.

E ciò sarà possibile soltanto attraverso un coordinamento con le altre autorità indipendenti, nazionali e internazionali, pur nella necessaria diversità di compiti, attribuzioni e perimetro di controllo e garanzia, e mantenendo vivo il dialogo con tutti i protagonisti dell’ecosistema costruito dal GDPR, dalle aziende ai DPO, dalle istituzioni agli interessati, alle associazioni rilevanti nel settore, contribuendo così a diffondere ed arricchire la cultura della privacy.

Gdpr e mercato

Utile quanto importante – ai fini di un bilancio completo – è l’incisività del GDPR all’interno del mercato, analizzabile attraverso uno sguardo di insieme sulle opportunità di lavoro e di crescita professionale.

Un dato che certamente rileva è il trend di crescita costante del numero di DPO comunicati all’Autorità. Dai dati ufficiali rilasciati dal Garante emerge che, al termine del primo semestre, al 31 dicembre 2018, i DPO censiti erano 43269; l’anno successivo, al termine del 2019, il numero era salito a 54425; una crescita confermata anche al termine dello scorso anno – pur in una situazione economica e sociale difficile, a causa della pandemia – giungendo a 58752. Il primo trimestre del 2021, sulla scia positiva del periodo passato, porta il numero di DPO comunicati al Garante pari a 59838.

Trovare una ragione univoca al perché questi numeri continuino a crescere richiederebbe un’indagine per ogni singola legal entity che abbia inteso dotarsi della figura del Data Protection Officer.

Tuttavia, tra le plausibili ragioni potrebbero annoverarsi la costituzione di nuove società; la crescita del proprio core business e, quindi, di una maggior presenza sul mercato; il mutamento delle strategie aziendali, sempre più basate sui dati personali e sull’utilizzo di nuove tecnologie; nonché la crescita della consapevolezza sulle attività di trattamento poste in essere, promuovendo in moltissimi soggetti una maturazione delle proprie posizioni, scardinando la falsa convinzione di non trattare dati personali o di non aver bisogno di un DPO.

Nel corso di questi primi anni, è stato lo stesso Garante a sottolineare – anche implicitamente – quanto possa essere importante per un titolare o responsabile del trattamento la presenza di un DPO e del suo coinvolgimento nelle fasi di valutazione e di strutturazione dei processi di trattamento.

Infatti, nel luglio dello scorso anno, nell’ambito di un’ordinanza di ingiunzione e del relativo calcolo della sanzione, il Garante ha inteso conferire il grado di “attenuante” all’avvenuta consultazione del DPO da parte del titolare del trattamento.

Ma anche le stesse imprese, che come noto non sempre sono tenute alla nomina del DPO, iniziano a comprendere la portata pregiudiziale e competitivamente vincente di avere un DPO (e il suo team) a bordo. Nei casi più articolati e di maggiore maturazione, si registra peraltro una scelta felice che vede la nomina di un DPO esterno a corredo e come contraltare alla strutturazione di un ufficio privacy interno all’azienda. E’ questa la modalità che nei casi più complessi e articolati garantisce al tempo stesso la comprensione in tempo reale di tutti i fenomeni che coinvolgono i dati ed il presidio indipendente e terzo di un DPO che in tal modo può dedicarsi all’alta consulenza strategica e ai controlli, lontano dal rischio di conflitti di interesse e pressioni indebite.

Se da un lato la presenza del DPO sul mercato si allarga a macchia d’olio, lo stesso può dirsi delle opportunità di crescita professionale e di formazione. Infatti, con uno sguardo d’insieme su quanto emerge dalla rete, è possibile trarre la conclusione che le offerte formative abbiano esteso la propria portata. Ciò è stato possibile, da una parte, per la sempre più crescente domanda e, dall’altra, grazie alla necessaria virtualizzazione degli spazi – dovuta alla pandemia – che ha permesso a moltissime società di poter raggiungere prospect che, in tempi normali, non avrebbero usufruito dei training in presenza.

Un esempio, tra tutti, è l’incremento delle opportunità di formazione offerte dalla International Association of Privacy Professionals (IAPP) che, grazie ai suoi Official Training Partner sparsi in tutto il mondo, ha permesso e permette a moltissimi professionisti di dotarsi di certificazioni riconosciute a livello globale in materia di protezione dei dati personali.

Il numero dei certificati CIPP/E, CIPM e CIPT, infatti, è in costante crescita, anche sul mercato italiano, a dimostrazione che i professionisti sentono la necessità di svolgere un percorso di alta formazione utile ad approfondire la propria conoscenza in materia e consolidare la propria posizione in un mercato dinamico e in forte ascesa.

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4