3 anni di GDPR: ecco il parere dal punto di vista legale di Osborne Clarke

3 anni fa, l’Unione Europea ha introdotto ufficialmente il Regolamento Generale sulla Protezione dei Dati (GDPR): da allora, sono stati fatti molti passi avanti, eppure, molte delle sfide più complesse, in materia di dati, restano tuttora aperte.  

Due gli obiettivi principali del GDPR: aiutare i cittadini europei a ottenere un maggiore controllo sui propri dati personali e fornire alle aziende un unico insieme di regole volto a migliorare la protezione dei dati all’interno dell’intera UE. In questo periodo, stando ai dati noti, sono 661 le sanzioni per violazioni del GDPR in tutta l’Unione Europea, per un totale di 292 milioni di euro. L’Italia, con 73 sanzioni, è al secondo posto per provvedimenti sanzionatori emanati, preceduta soltanto dalla Spagna (222). 

Dalla piena applicabilità del GDPR, noi di Osborne Clarke abbiamo gestito, a livello globale, oltre 200 incidenti in materia di dati e Cybersecurity: di questi, circa il 70% sono stati notificati alle autorità di regolamentazione dei dati. La maggiore trasparenza ha portato a un aumento sostanziale sia del coinvolgimento nel rapporto con l’autorità che delle controversie post violazione. Ma la tendenza più interessante da osservare è, probabilmente, il cambiamento culturale portato dal GDPR: non più percepito come mero elemento di compliance aziendale, ma sempre più anche come elemento di differenziazione commerciale e reputazionale. 

Infatti, come commenta Gianluigi Marino, Partner e Champion per la Digitalization di Osborne Clarke in Italia, “Uno dei principali segnali di successo del GDPR è la sua influenza sull’ondata di regolamentazione, in materia di digitale, che attualmente arriva dall’Europa”. Poi, Marino sottolinea: “La stessa impostazione di base con un quadro di obblighi normativi, sommata a un’infrastruttura nazionale di enforcement e a sanzioni pecuniarie potenzialmente esorbitanti (il vero elemento di differenziazione del GDPR), infatti, si sta estendendo ad altre aree quali, per esempio, il diritto dei consumatori, il cosiddetto on line harm, la governance dei dati e la regolamentazione in materia di Intelligenza Artificiale. Comprendendo come il rispetto del GDPR possa contribuire ad alimentare il vantaggio competitivo, le aziende iniziano, inoltre, a interpretare questi nuovi regimi come un’opportunità e non solo come un semplice costo o un rischio normativo aggiuntivo”.  

Ora che il regime di compliance di base è in atto e viene replicato in tutto il mondo, si può procedere a passo spedito verso l’ambiziosa sfida di sfruttare i dati per raggiungere, oltre agli obiettivi aziendali, importanti traguardi sociali come la Decarbonizzazione. 

Alcune domande restano, però, in attesa di risposta, per esempio: come si applica il GDPR alle soluzioni di Intelligenza Artificiale che stanno venendo sviluppate e lanciate? Le aziende troveranno nuovi modi per memorizzare e trasferire i dati personali, aggirando i problemi di adeguatezza derivanti dal noto caso Schrems II? In che modo l’ecosistema AdTech può evolversi per creare un modello operativo sostenibile? Come il diritto alla protezione dei dati si concilia con la libertà di espressione, all’interno della maggiore regolamentazione della sicurezza on line? 

Queste domande potranno trovare risposta solo nei prossimi anni.

Osborne Clarke 
International legal practice 
www.osborneclarke.com