Il 25 maggio 2018 entrava in vigore il Regolamento Europeo in materia di Protezione dei Dati Personali, anche noto come GDPR dall’acronimo inglese, che creava “un solido insieme di diritti e un nuovo sistema europeo di governance sul tema” e, che è diventato un modello a livello internazionale di regolazione di questioni relative alla Rete. Il GDPR si è dimostrato flessibile nel supportare soluzioni digitali anche in situazioni emergenziali e impreviste come la recente pandemia da Covid-19, recita la nota del Garante della Privacy. A poco più di due anni dalla sua piena applicazione, la Commissione europea ha pubblicato un rapporto di valutazione, sotto forma di comunicazione, incentrato soprattutto sugli aspetti dell’armonizzazione e del coordinamento internazionale. Sul GDPR, CRTV ha pubblicato due manuali dedicati e tarati sullo specifico radiotelevisivo e nel tempo ha affrontato diversi temi, fra cui da ultimo un’analisi rispetto agli aspetti “rivoluzionari” per le aziende Radiotv che necessitano di essere ripresi.
Norme quadro, armonizzazione, consapevolezza di aziende e utenti. Il bilancio è positivo: raggiunta la maggior parte gli obiettivi del regolamento, che è stato efficace nell’armonizzare e nel diffondere la cultura della “responsabilizzazione” nelle aziende e della trasparenza e la consapevolezza dei diritti delle persone nell’UE (diritto di accesso, rettifica, cancellazione, diritto di opposizione e diritto alla portabilità dei dati). Oltre a promuovere tale partecipazione attiva e consapevole, le regole sulla protezione dei dati si sono dimostrate adeguate all’era digitale favorendo un “’innovazione affidabile”, in particolare attraverso l’approccio basato sulla privacy by design e la privacy by default.
Enforcement: a Google la sanzione più alta. A livello di enforcement le Autorità nazionali per la protezione dei dati stanno utilizzando i poteri correttivi previsti dal GDPR, dagli avvertimenti e dagli ammonimenti fino alle sanzioni pecuniarie. A quest’ultimo riguardo nella comunicazione si citano in particolare alcuni esempi, molto diversi per entità e oggetti che vanno dai 5.000 euro comminati a un bar di scommesse sportive in Austria, per sorveglianza video illecita; ai 220.000 euro a una società di intermediazione dati in Polonia per non aver informato le persone fisiche del trattamento dei loro dati; ai 250.000 euro al campionato di calcio spagnolo La Liga, per mancanza di trasparenza nella progettazione della sua applicazione per smartphone; da ultimo, ai 50 milioni di euro a Google in Francia, in ragione delle condizioni per l’ottenimento del consenso degli utenti, la multa più alta comminata per violazione del GDPR.
Margini di miglioramento. Positivo il bilanci , ma ci sono margini di miglioramento Fra questi il funzionamento dello “sportello unico”, in base al quale una società che svolge trattamenti transfrontalieri di dati ha una sola Autorità come interlocutore, quella dello Stato membro in cui ha sede il suo stabilimento principale: fra il 25 maggio 2018 e il 31 dicembre 2019 sono state 79 le decisioni definitive l riguardo su 141 relativi a reclami transfrontalieri. Su questi temi di governance sta lavorando anche l’EDPB (Comitato europeo per la protezione dei dati formato da rappresentanti di tutti i Garanti europei) attraverso l’elaborazione di specifiche linee-guida su aspetti chiave del Regolamento e temi emergenti. Relativamente alla dimensione internazionale, la Commissione intende lavorare su alcuni aspetti relativi a i trasferimenti di dati personali al di fuori dell’UE tra cui le clausole contrattuali standard.
GDPR e approccio europeo all’innovazione. “Il quadro legislativo dell’UE in materia di protezione dei dati è un elemento cardine dell’approccio europeo antropocentrico all’innovazione. Sta diventando parte integrante della base di regolamentazione di una serie sempre più ampia di politiche, tra le quali quelle in materia di sanità e ricerca, intelligenza artificiale, trasporti, energia, concorrenza e applicazione della legge” recita la Comunicazione della Commissione. Fra questi, elemento cardine è l’estensione delle norme delineate in ambito GDPR ai rapporti b2b (direttiva e-privacy, complementare nella gestazione al GDPR).
ALLEGATI
