Il GDPR ha compiuto 4 anni. Il 25 maggio 2018, infatti, entrava in vigore il Regolamento europeo che ha profondamente innovato il sistema della data protection, modificando radicalmente l’approccio alla protezione dei dati in Europa.
Per celebrare questo giorno, lo Studio Legale E-Lex, fondato dall’attuale componente del Collegio del Garante Guido Scorza e specializzato in diritto delle nuove tecnologie, ha pubblicato il Report che ripercorre le novità più interessanti degli ultimi dodici mesi: oltre 200 pagine di commento, che passano in rassegna le principali modifiche legislative e i provvedimenti di Garante Privacy e dell’European Data Protection Board (EDPB). Per il download del Rapporto vai al link “Un anno di Data Protection. Il report di E-Lex”.
Nel presentare il Report, Giovanni Maria Riccio, socio dello studio E-Lex, ha affermato: “Spesso, anche per noi esperti del settore può essere complesso riuscire a seguire tutto quello che succede. Per questo motivo, abbiamo pensato che potesse essere utile uno strumento agile, ma sistematico, che mettesse ordine e classificasse per macroaree alcuni dei temi di maggiore attualità”.
Il Report è suddiviso in 9 sezioni, che spaziano dai dati giudiziari e sensibili, alle attività delle pubbliche amministrazioni e all’utilizzo dei dati, spesso sanzionato dal Garante, per attività di marketing e telemarketing.
Particolare attenzione, nel Report, è riservata anche alle nuove tecnologie. Sono così esaminate le sanzioni che le diverse autorità garanti (in Italia, Svezia e Germania) hanno comminato a Clear View AI, l’app statunitense che ha raccolto decine di milioni di dati biometrici, resi pubblicamente accessibili su siti internet e social network, attraverso la tecnica del cosiddetto “web scraping”.
“Le tecniche di acquisizione di dati biometrici sono una grandissima risorsa, ma al tempo stesso possono evocare scenari distopici”, ha dichiarato Adriana Peduto, socia di E-Lex. “Lo sviluppo costante di nuove tecnologie impone un’attenzione quotidiana, che deve condurre alla ricerca di un equilibrio tra diritti di impresa e ragioni dell’innovazione, da un lato, e diritti e libertà fondamentali dei cittadini, soprattutto dei più vulnerabili, dall’altro”.
La protezione dei dati, in un’economica globalizzata, non è però una questione esclusivamente nazionale. Non a caso una sezione del report prende in esame alcuni provvedimenti di altre autorità nazionali, tra cui quella del CNIL sui requisiti del DPO, e alcune modifiche legislative extracomunitarie, come la nuova legge cinese, che, pur riprendendo alcune soluzioni tipiche del GDPR (come la ripartizione tra titolare e responsabile e le basi giuridiche che legittimano il trattamento dei dati), continua ad assegnare allo Stato poteri molto invasivi di controllo sui dati dei cittadini. L’ottica transfrontaliera interessa anche la sezione sul trasferimento dei dati extra UE, tema attualissimo dopo la sentenza Schrems II della Corte di Giustizia, che ha invalidato gli accordi di trasferimento tra Europa e Stati Uniti, e la vicenda di Google Analytics che sta interessando in questi giorni le pubbliche amministrazioni italiane.
Per Ernesto Belisario, socio di E-Lex, “Si tratta di una vicenda sintomatica della scarsa attenzione che spesso le amministrazioni dedicano alla scelta dei propri fornitori, così come dimostrato dai tanti provvedimenti del Garante Privacy dell’ultimo anno che hanno avuto ad oggetto proprio l’attività dei responsabili del trattamento di enti pubblici”.