I primi cinque anni del GDPR, con i loro limiti

Lunedì la Data Protection Commission (DPC), l’autorità irlandese che si occupa di privacy e che agisce in materia per conto dell’Unione Europea, ha multato per 1,2 miliardi di euro Meta, la società statunitense che controlla Facebook, Instagram e WhatsApp e che ha la propria principale sede europea a Dublino. La DPC ha accusato Meta di avere trasferito grandi quantità di dati personali di utenti europei iscritti a Facebook negli Stati Uniti, dove non esiste una legge federale in materia di privacy e quindi i dati sono esposti a minori protezioni.

La multa si basa su una violazione del Regolamento generale dell’Unione Europea sulla protezione dei dati (GDPR), la legge europea entrata in vigore il 25 maggio 2018. Il GDPR era stato pensato per rafforzare la protezione dei dati personali dei cittadini e dei residenti dell’Unione Europea, restituendo loro almeno in parte il controllo sui propri dati e rendendo omogenea la normativa sulla privacy a livello europeo, e al momento della sua approvazione aveva raccolto un vasto sostegno tra gli stati membri. Negli ultimi cinque anni, però, la sua applicazione è stata annacquata proprio dai paesi membri, portando a risultati meno soddisfacenti di quelli sperati nel 2018.

Negli ultimi anni ci sono stati vari casi in cui l’applicazione del GDPR ha portato all’individuazione e alla punizione di diverse pratiche contrarie al rispetto della privacy. Nel 2018 si è per esempio scoperto che l’app ufficiale della Liga, il campionato di calcio spagnolo, accedeva al microfono e al GPS degli utenti per scovare i bar e i locali che trasmettono abusivamente le partite. Nel 2020, l’azienda di abbigliamento H&M ha ricevuto una multa da 35,3 milioni di euro per aver sorvegliato illegalmente diverse centinaia di dipendenti. E l’anno scorso la società statunitense di riconoscimento facciale Clearview AI è stata multata di 20 milioni di euro dal Garante della privacy italiano, che le ha anche ordinato di cancellare tutti i dati di cittadini italiani in suo possesso.

Spessissimo, però, la legge è stata applicata in modo per lo meno farraginoso. La responsabilità dell’applicazione del GDPR ricade principalmente sui singoli stati membri, a cui è stato chiesto di individuare un’autorità nazionale che verifichi il rispetto del regolamento europeo da parte delle aziende che hanno sede sul loro territorio e istituisca meccanismi per permettere alle persone di denunciare eventuali violazioni o di richiedere l’accesso ai propri dati. Ogni paese europeo ha però trovato un modo diverso di farlo: il risultato è una situazione in cui esistono 27 modi diversi di applicare il GDPR, molti dei quali insufficienti.

Secondo NOYB, organizzazione austriaca molto attiva nel monitoraggio dell’applicazione del regolamento europeo, quasi tutti gli stati membri «hanno trovato un trucco o un argomento procedurale per minare il GDPR»: alcuni paesi istituiscono una “soglia” entro cui un caso di violazione delle privacy non è considerato prioritario e quindi viene cestinato, altri sono noti per non rispondere quasi mai alle mail e alle sollecitazioni, altri ammettono apertamente di non avere i fondi e le competenze necessarie per fare il proprio lavoro. In Polonia, se una persona vuole ispezionare i fascicoli contenenti i propri dati detenuti dall’autorità responsabile dell’applicazione del GDPR deve recarsi di persona a Varsavia e consultarli in forma cartacea.

Molti dei casi più rilevanti basati su possibili violazioni del GDPR sono complessi, il che ritarda spesso i lavori delle autorità nazionali, e la cooperazione internazionale sul tema è piuttosto scarsa. Alcuni casi si trascinano da anni: la maggior parte delle autorità nazionali impiegano ben più di un anno a prendere in considerazione i casi che vengono loro sottoposti, e spesso finiscono per non comunicare al pubblico le proprie decisioni sui casi in esame.

C’è poi la questione delle sanzioni: nel 2018 era stata data moltissima importanza al fatto che il GDPR prevedeva la possibilità di multare le aziende che continuavano a non rispettare la legge – specie le grosse aziende tecnologiche statunitensi – per l’equivalente del 4 per cento del loro fatturato globale. Nonostante moltissime aziende continuino a non rispettare la legge o a interpretarla nel modo più lasco possibile, però, le sanzioni effettivamente inflitte sono finora piuttosto modeste, molto più basse del limite previsto.

Nel gennaio del 2023, per esempio, il Comitato europeo per la protezione dei dati (l’organismo indipendente fondato con lo scopo di garantire un’applicazione coerente del GDPR) ha obbligato la DPC irlandese ad aumentare la multa inflitta a Meta, ritenuta troppo bassa. Era la settima volta che il Comitato chiedeva alla stessa autorità di rivedere le proprie decisioni, e la DPC è stata accusata di «scegliere sempre la via legale più tortuosa, lunga e costosa per una decisione piuttosto che una semplice applicazione del diritto dell’UE».

«La multa di 1,2 miliardi di euro a Meta è un esempio perfetto di come il GDPR non stia funzionando», ha scritto NOYB in un comunicato in occasione dei cinque anni dall’entrata in vigore del regolamento:

Sebbene una multa così alta possa sembrare interessante nel titolo di un giornale, in realtà riflette il fatto che la legge non sta funzionando. Ci sono voluti più di dieci anni prima che la DPC raggiungesse una decisione in merito, che ora verrà impugnata da Meta. E Max Schrems [l’avvocato diventato noto per aver più volte fatto causa a Facebook per le sue violazioni della privacy ancora prima dell’entrata in vigore del GDPR, ndr] ha dovuto impegnarsi in tre diversi contenziosi contro la DPC irlandese per costringerlo a fare il suo lavoro. Tra le altre cose, la Corte di giustizia dell’Unione Europea e il Comitato europeo per la protezione dei dati hanno entrambi dovuto dire più volte alla DPC irlandese di gestire meglio la questione. Il costo totale di questo contenzioso supera secondo le nostre stime i 10 milioni di euro.

Il fatto che l’Irlanda si sia fatta la nomea di giurisdizione particolarmente indulgente nei confronti delle aziende a livello legale – nonché piuttosto conveniente a livello fiscale – ha attirato le sedi di tantissime aziende tecnologiche: oltre a Meta, anche Google, Airbnb, Yahoo, Twitter, Microsoft, Apple e LinkedIn hanno sede a Dublino. «Il problema è che non esiste una giurisdizione “a cui rivolgersi” per i cittadini che vogliono far valere i propri diritti, perché esistono problemi di applicazione in praticamente tutti gli stati membri», ha detto Schrems, che di NOYB è presidente onorario. «In molte giurisdizioni si ottiene una decisione dopo due anni al massimo, quando arriva. La pratica è lontanissima dall’intenzione dei legislatori, che volevano creare un modo semplice e gratuito per presentare dei reclami su questioni di privacy».

La conseguenza di questa applicazione poco ordinata e convinta della legge ha fatto sì che, cinque anni dopo, all’interno delle aziende e del settore pubblico europeo non si sia sviluppata quella cultura della privacy diffusa in cui speravano i legislatori. «L’ambizione del GDPR era quella di costituire un nucleo essenziale di diritti molto forte che riguardasse il trattamento dei dati personali e in senso più ampio i diritti della persona nel mondo digitale: voleva essere una normativa flessibile, al passo coi tempi, che restituisse alle persone la possibilità di esercitare i propri diritti nella sfera digitale», spiega l’avvocato Gabriele Ientile, responsabile della sezione legale dell’organizzazione per i diritti digitali Privacy Network.

«E contiene davvero un nucleo molto forte di principi. Quello che a mio avviso il regolamento non è riuscito a fare è applicare appieno questi principi: il ricorso agli strumenti a disposizione da parte dei cittadini è molto limitato, c’è una forte distanza tra il cittadino comune e le autorità che fanno rispettare il GDPR. E poi c’è il problema della conformità delle aziende: quelle che hanno investito nella privacy hanno avuto ritorni molto positivi, ma dall’altro lato restano comunque grandi aziende tecnologiche che pur subendo grosse sanzioni si ostinano a trattare i dati personali in maniera non conforme».

Oltre a grandi aziende come Meta e Amazon, che secondo Schrems «a porte chiuse sono molto esplicite sul fatto che non temono affatto le autorità», rimane l’enorme categoria delle piccole e medie imprese che fanno moltissima fatica ad adeguarsi al GDPR. «Esistono tante sacche di non conformità, all’interno dei quali i dati rimangono esposti agli attacchi con grossi rischi per i cittadini», racconta Ientile. «E poi a non conformarsi sono anche le pubbliche amministrazioni, che spesso non hanno budget per aggiornare le proprie pratiche di protezione dei dati o comunque prendono il tema in scarsissima considerazione. Fanno fatica a implementare modelli di gestione dei dati: anche quelle più strutturate, come i ministeri, hanno informative sulla privacy carenti. Alcune non sanno nemmeno che sistema utilizzano. L’adeguamento insomma non è uniforme né completo come ci si aspettava».