BSI brevemente rivede gli effetti dell’introduzione del General Data Protection Regulation (GDPR) da quando è entrato in vigore il 25 maggio 2018.
L’introduzione del GDPR è stata vista come un avanzamento molto positivo per i diritti dei singoli individui nel nuovo paradigma digitale. Il Regolamento è stato introdotto per permettere alle persone di rivendicare il controllo sull’uso dei loro dati personali e avere una migliore visione del loro trattamento. Cittadini e regolatori hanno avuto a loro disposizione strumenti migliori, comprese sanzioni amministrative, nel caso in cui i loro diritti non fossero tenuti in considerazione in maniera appropriata. Inoltre, in ogni paese dell’Unione Europea, al GDPR sono state affiancate norme specifiche per singolo paese al fine di modernizzare il regime della protezione dei dati. Tra queste in Irlanda nel 2018 è stato emanato il Irish Data Protection Act, mentre nel Regno Unito il UK Data Protection Act.
Se l’introduzione del Regolamento aveva provocato un’iniziale “corsa alla compliance”, in questi due anni eventi storici del calibro di Brexit e la corrente epidemia di Covid-19 hanno dimostrato la necessità di una base di partenza comune per una disciplina, quella dei dati personali, complessa e ricca di implicazioni in altri ambiti.
Il periodo precedente il 25 maggio 2018 ha visto le organizzazioni fare a gara per completare l’implementazione di programmi per raggiungere la conformità e apportare i cambiamenti necessari ai loro sistemi IT e processi di Data Management. La “compliance GDPR” era il comune obiettivo. I regolatori Europei, infatti, minacciavano di usare il loro potere significativamente crescente con moderazione ma senza dare spazio ad un “grace period” (Information Commissioner's Office [ICO], 2017). Dopo due anni, quale è stato il vero impatto del regolamento sulla vita degli interessati?
Applicazione del GDPR
La prima sanzione provocata dal GDPR è stata di €400.000 da parte dell’Autorità per la Protezione dei Dati Portoghese per mancata compliance ad un ospedale. La prima sanzione significativa invece, è stata comminata dal regolatore francese – Commission Nationale de l'informatique et des Libertés (CNIL) – a Google per 50 milioni di Euro. È ancora la sanzione più alta mai conferita. Nel caso specifico, lo CNIL ha ritenuto che Google non rispettasse i principi di consenso e trasparenza del GDPR.
Nel Regno Unito, l’Information Commissioner’s Office (ICO) seguì con la dichiarazione di sanzionare British Ariways e Marriot Hotels per i rispettivi data breaches, noti grazie alla grande attenzione dedicatagli dai media. L’Autorità inglese inoltre, ha emesso un avviso di cessazione del trattamento contro Aggregate IQ Data Services (AIQ), meglio nota per il ruolo giocato nell’ambito dell’incidente di Cambridge Analytica. Fu la prima esecuzione di questo tipo. L’avviso ordinava ad AIQ di cessare il trattamento di dati personali appartenenti a cittadini del Regno Unito. Le azioni dell’ICO sono tra le più drastiche dall’entrata in vigore del GDPR, non meno per misura e declinazione dell’esecuzione. Tuttavia, ad oggi, non sono ancora state emesse sanzioni economiche. In modo simile, i casi di British Airways e Marriot Hotels avrebbero dovuto essere rivisti nel 2020 per definire la portata di possibili sanzioni. Tuttavia, l’ICO ha rimandato ogni azione conclusiva contro British Airways o Marriot per ora, anche a causa dell’attuale crisi sanitaria.
Nell’insieme, l’analisi dei regolatori dei 28 stati dell’UE dimostra che Germania, Repubblica Ceca e Ungheria sono stati i paesi dove sono state emesse il maggior numero di penalità nei due anni passati, e il caso più recente di sanzione si è verificato in Svezia, dove il regolatore ha sanzionato Google per violazione dei diritti degli interessati.
Cosa accadrà?
Spesso si sente dire che i dati sono il nuovo petrolio, e molte delle compagnie “data rich” hanno scelto di porre la loro sede europea in Irlanda. Ciò ha rappresentato una nuova sfida per la Data Protection Commission (DPC). Tuttavia, nella settimana del 18 maggio, dunque alla vigilia dell’anniversario dell’introduzione del regolamento GDPR, la DPC ha emesso la sua prima sanzione nei confronti di Tusla, l’agenzia del governo irlandese per l’infanzia e la famiglia per €75.000 a causa di una serie di breaches.
Dublino è diventata un hub per molte delle maggiori “data heavy industries” nel mondo e la DPC ha la funzione (non invidiabile) di monitorare e regolare la compliance al GDPR di queste aziende. La critica constate alla DPC da parte di regolatori, sostenitori della privacy, gruppi per i diritti dei cittadini e individui è di essere un organismo inerte, a causa della percezione generalizzata di mancata azione proattiva. Tuttavia, questa “inerzia” deve essere analizzata tenendo presenti le oltre venti indagini legali ad oggi ancora aperte che coinvolgono grandi aziende tecnologiche.
Contrapponendo l’esecuzione tra il settore pubblico ed il settore privato, la DPC sembra, per ora, aver avuto un approccio più proattivo nei confronti dei controllers del settore pubblico irlandese. Nel 2019, ha esaminato il Department of Employment and Social Protection (DEASP) e l’introduzione di una card per i servizi pubblici decretando la mancanza di una base legale perché la tessera fosse resa necessaria ad accedere a molti dei servizi pubblici. Questa decisione è stata fortemente contestata dal DEASP che ha conseguentemente presentato un appello alla High Court.
Altri eventi importanti
Uno dei giudizi più importanti della Corte di Giustizia Europea (CGUE) in relazione al GDPR è il caso Planet 49. La CGUE ha dichiarato l’invalidità di ogni nozione che consentisse di rispondere ai requirements della direttiva di E-Privacy anche quando in contrasto con il GDPR. Perciò, è necessario che l’informativa sui cookie contenga la richiesta ai singoli di dichiarare la loro volontà di dare il permesso di “opt-in” ad installare i cookie sulla macchina dell’utilizzatore.
L’EU – US Privacy Shield ha acquisito una nuova e crescente attenzione da parte di Parlamento Europeo e Commissione Europea, tuttavia, potrebbero esserci cambiamenti a questo regime a seguito del caso Schrems. Questo caso ancora in essere vede coinvolti Max Schrems, Facebook e la DPC. Il non aver portato questa disputa a conclusione implica che molti continuano a mettere in discussione la validità delle Standard Contractual Clauses (SCCs) usate da molte organizzazioni per trasferire i dati dall’UE agli USA e altre giurisdizioni ex-EU. La CGUE dovrà presentare la sua decisione a luglio 2020: da questa data, particolarmente attesa, potrebbero derivare impatti fortissimi per tutte quelle aziende che trasferiscono dati al di fuori dell’UE. Inoltre, una nota positiva dell’implementazione del GDPR è rappresentata dal crescente coordinamento e collaborazione tra gli European Boards per la protezione dei dati (EDPB). Ciò è chiaramente visibile nel repertorio di conoscenze base rese disponibili pubblicamente come strumenti utili a cittadini ed aziende. Inoltre, è importante dare spazio anche all’iniziativa del supervisore danese approvata dal EDPB per la creazione di clausole standard di contratti (SCC) tra controllers e processors (art. 28 GDPR). Prima, queste avrebbero dovuto essere redatte a approvate dalla Commissione, così come eventuali modifiche. Il processo si è dunque semplificato.
Covid-19
Malgrado il focus sulla regolamentazione reattiva, la pandemia di Covid-19 è un chiaro esempio di come le discipline di Data Protection e Privacy sono viste da innovatori, regolatori, governi e cittadini oggi.
Il GDPR offre una chiara base legale per dare ad aziende e autorità di sanità pubblica gli strumenti per il trattamento dei dati personali in un contesto di pandemia come quello attuale. Il Punto 46 fa riferimento alla legittimità di alcuni trattamenti allo scopo di interesse pubblico, “including for monitoring epidemics and their spread”. Negli articoli 6 e 9 poi si facilitano la raccolta, l’uso e la necessità di condivisone dei dati personali relativi alla salute dei singoli in un contesto di emergenza sanitaria.
C’è una spinta globale per lo sviluppo di “contact tracing apps” per informare e supportare la risposta alla crisi. Tuttavia, l’uso delle moderne tecnologie per tracciare e analizzare dati personali sensibili rappresenta il banco di prova per garantire la protezione dei dati personali e allo stesso tempo i societal benefits. Considerazioni in materia di privacy e obblighi di data protection saranno necessari per evitare che l’impatto del tracciamento sulla privacy degli interessati sia minimo.
I Data Controllers si devono anche assicurare che i principi fondamentali della regolamentazione per la protezione dei dati siano non solo rispettati, ma anche i soggetti interessati siano protetti. Nello specifico i Data Controllers devono assicurarsi che il trattamento dei dati personali:
- Abbia una chiara base legale
- Sia trasparente
- Abbia uno scopo specifico
- Sia limitato ad una precisa funzione
- Sia limitato nel tempo
- Sia sviluppato in modo da garantire la sicurezza del dato.
Rispondere, mitigare e ripartire dopo questa crisi globale richiederà forza e risorse eccezionali, solidarietà e uno sforzo collettivo che provi quanto siamo resilienti come società globale ed economia mondiale. La protezione dei diritti di protezione dei dati potrebbe sembrare un obiettivo secondario o addirittura terziario considerando la situazione che si sta affrontando ovunque nel mondo. Tuttavia, per mantenere la promessa del GDPR, è necessario che il principio di privacy by design sia incorporato fin dall’inizio in ogni iniziativa, e soprattutto nello sviluppo delle applicazioni.
Per questa tecnologia, i Data Protection Impact Assessments (DPIA’s) richiedono che ci sia un consulto con il regolatore vista la natura dei rischi che si presentano per i soggetti interessati. Per esempio, l’articolo 22 del GDPR afferma che gli individui hanno il diritto di non essere coinvolti in decisioni automatizzate con possibili conseguenze legali che li impattino direttamente. Perciò, è importante capire se i dati personali derivati da queste applicazioni sono ottenuti secondo le prescrizioni della sezione 38 del Health Act del 1947.
Nell’interesse della trasparenza, i regolatori rappresentano la voce dei soggetti e assicurano che questi siano consultati secondo l’articolo 36 del GDPR, con la possibilità di esercitare i loro poteri, ove necessario, secondo l’articolo 58. Un punto critico è rappresentato dal fatto che, per garantire fiducia e salute pubblica rispetto alle soluzioni tecnologiche e applicazioni per il tracciamento di contatti, sintomi o gestione della quarantena, le DPIAs dovrebbero essere rese pubbliche, così come tutte le informazioni possibili in merito alla tecnologia.
Ciò che è chiaro è che sebbene il GDPR presenti direttive specifiche per il trattamento dei dati personali, non è certo come i regolatori procederanno all’esecuzione quando necessario. Non meno per assicurare che i paesi nel creare misure per rendere i periodi di lockdown più flessibili, non vadano a creare precedenti con conseguenze negative sulla disciplina della privacy.
Conclusione
I primi due anni della disciplina del GDPR non sono stati esattamente come ci si sarebbe aspettato fossero, e il livello di esecuzione che molti avevano anticipato non si è ancora materializzato. Detto questo, questi primi due anni di validità del GDPR hanno mostrato il crescere dell’azione regolatoria e l’incremento del grado di consapevolezza e livello di aspettativa tra le persone a proposito di protezione dei dati personali. La continua crescita di livello tecnologico e di investimenti nell’innovazione ha permesso all’umanità di migliorare la capacità di risposta alla crisi e aumentare il nostro sviluppo sia come società che come specie. In questo contesto, la privacy e la data protection contano come mai prima.
I risultati della DPC Statutory Inquiry sono decisamente attesi e permetteranno di rivelare la vera misura della diffusione e compliance al GDPR. Tuttavia, la capacità della DPC di effettuare investigazioni complesse, legalmente sfidanti e tecnicamente intricate è spesso ostacolata da mancanza di fondi o risorse. Finché le investigazioni non si saranno concluse, non sarà possibile stabilire l’impatto e la diffusione del Regolamento.
Il GDPR rappresenta l’opportunità per le autorità UE per la protezione dei dati di essere maggiormente proattive, trattando l’incursione negli affari individuali sia da parte degli stati che da parte di attori privati, e salvaguardando le nostre libertà individuali. La pandemia Covid-19 ha portato ad un’escalation nell’uso di soluzioni tecnologiche per far fronte alla crisi. Le applicazioni che molti governi ufficialmente finanzieranno o sosterranno potrebbero comunque presentare alcune difficoltà legate ai diritti di protezione dei dati personali. Questi diritti dovrebbero essere bilanciati dagli interessi del bene pubblico e dalla loro necessità e proporzionalità.
Il Segretario dell’ European Data Protection Board (EDPB) Andrea Jelinek, ha dichiarato: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects”.
I regolatori hanno promesso che investigazioni ed azioni e sanzioni esecutive continueranno anche più diffusamente, e soprattutto, che il GDPR rappresenterà il trampolino di lancio perché nel mondo si continui a garantire il bilanciamento fra diritti alla privacy e data protection e societal benefits. Una migliore applicazione di un approccio right-based all’innovazione sarà il definitivo marchio di successo del GDPR. Mentre questo continua a maturare, legislazioni simili prendono forma ovunque nel mondo, benché i diritti di protezione dei dati personali continuino a sembrare come un obiettivo di secondo o terzo livello visto il tipo di crisi che oggi stiamo affrontando. Tuttavia, i diritti fondamentali non dovrebbero ostacolare le funzioni critiche di governi e autorità pubbliche o nascondere l’innovazione che guida la nostra avanzata economica e tecnologica. Nel giorno in cui il GDPR compie 2 anni, il 25 maggio 2020, la sua continua applicazione ed esecuzione supporteranno resilienza sociale, rafforzamento dei diritti fondamentali e responsabilizzazione dei cittadini UE e del mondo.
