Big Tech in Europa, grandi cambiamenti in arrivo per l’applicazione del GDPR
I dati personali, ormai si sa, sono una miniera. Lo sanno bene le Big Tech. E c’è un passo di riforma significativo e atteso da tempo: la Commissione europea si è impegnata a intensificare il monitoraggio del modo in cui le autorità di protezione dei dati a livello degli Stati membri dell’UE applicano le norme di protezione dei dati di punta del blocco, impegnandosi a controlli regolari sui casi “su larga scala” del regolamento generale sulla protezione dei dati (GDPR). Controlli che potrebbero aiutare ad affrontare le critiche di lunga data secondo cui l’applicazione del GDPR è troppo debole e faticosa per mettere controlli significativi su Big Tech.
Le violazioni della privacy e del trattamento dei dati, sotto il cappello della normativa europea del GDPR, nel 2022 hanno mostrato che si sono aperti due nuovi fronti. Il primo è con gli Stati Uniti. Dopo che si è creato un vuoto normativo a luglio 2020, dopo la sentenza “Schrems II” della Corte di giustizia dell’Unione europea che ha invalidato il Privacy Shield in vigore tra Stati Uniti e Unione europea, l’amministrazione Biden sta cercando di creare una normativa sostitutiva per il trasferimento dei dati personali attraverso l’Atlantico. L’Unione europea sta dunque procedendo su una strada simile ed è stato raggiunto un primo accordo ma nel lungo periodo secondo i legali non è chiaro se le nuove decisioni operative prese da Stati Uniti e Unione europea saranno sufficienti o ci sarà il rischio di una nuova sentenza che azzeri la validità degli accordi.
L’esecutivo dell’UE ha risposto al suo difensore civico dicendo che chiederà a tutte le autorità nazionali di controllo della protezione dei dati di condividere un rapporto su base bimestrale, presumibilmente ogni due mesi anziché due volte al mese, quindi sei volte all’anno. Insomma, una panoramica delle indagini transfrontaliere su larga scala ai sensi del GDPR. Inoltre, la Commissione stabilisce che queste relazioni dovranno includere vari dettagli chiave come il numero del caso, il titolare o incaricato del trattamento coinvolto, il tipo di indagine. Il tutto insieme con una sintesi dell’ambito dell’indagine comprese le disposizioni del GDPR in questione.
L’esecutivo europeo si è inoltre impegnato, nel suo secondo rapporto di prossima uscita sull’applicazione del GDPR, a fornire un resoconto delle informazioni che riceve dalle autorità di protezione dei dati. Quindi la Commissione riferirà sulla segnalazione delle autorità di protezione dei dati. C’è anche un vecchio reclamo nel quale si richiede la sospensione delle esportazioni di dati di Facebook. Mentre Apple, Twitter e TikTok hanno tutti casi GDPR aperti in attesa di decisioni, in alcuni casi anni dopo l’apertura di un’inchiesta.
Gli attivisti per la privacy e gli esperti legali dell’UE hanno sostenuto per anni che, sulla carta, il GDPR dovrebbe proteggere i consumatori dal tracciamento. Eppure hanno anche sottolineato che queste stesse regole vengono sistematicamente violate dai giganti della tecnologia che pensano di essere abbastanza grandi da ignorarle. Il risultato è che i diritti dei cittadini europei sono schiacciati dal muscolo del mercato delle principali piattaforme tecnologiche e dai loro ecosistemi di operatori associati, che secondo i critici si estendono all’acquisizione normativa di DPA “amichevoli”. Soprattutto in alcuni Stati membri come l’Irlanda in cui vi è una concentrazione di grandi aziende tecnologiche.
Un recente rapporto dell’Unione sulla pubblicità digitale e la privacy conclude che c’è “la necessità di aumentare il controllo delle persone su come i loro dati personali vengono utilizzati per la pubblicità digitale, compreso il modo in cui evitano il targeting indesiderato”.
Basti pensare che il 2022 è stato un anno da record per i garanti della privacy degli Stati europei. Un anno in cui l’importo complessivo delle sanzioni inflitte per violazioni del GDPR ai big del tech e non solo dal 28 gennaio a oggi è stato pari alla cifra record di 1,64 miliardi di euro, con un aumento del 50% rispetto all’anno precedente, che portano le multe GDPR fatte a partire dal 25 maggio 2018 al totale complessivo di 2,92 miliardi di euro. In Italia il totale è di poco più di 63 milioni di euro di multe, con la singola sanzione più elevata di 27,8 milioni di euro, numeri che mettono il nostro paese in sesta posizione dopo Irlanda, Lussemburgo, Francia, Spagna e Germania.
