A cinque mesi dall’entrata in vigore del GDPR, i dati forniti dai Garanti italiano, tedesco e francese sui flussi, le segnalazioni, i casi di data breach e le comunicazioni al registro dei DPO (Data Protection Officer) ci permettono di tracciare un primo bilancio dell’applicazione del regolamento europeo. Il primo dato che emerge dalla relazione del Presidente dell’Autorità garante della protezione dei dati è l’aumento degli attacchi: nel periodo tra il 25 maggio 2018 – data di piena vigenza del GDPR – e il 28 settembre 2018 le violazioni ai database in Italia sono aumentate del 500%. Si tratta di un dato collegato agli obblighi della nuova normativa, che impone di comunicare entro 72 ore dalla scoperta gli attacchi informatici. È grazie a queste comunicazioni che si scopre anche che la media degli attacchi, in Italia, è oggi di centoquaranta al giorno. Analizzando anche i dati di Francia e Germania emerge che gli italiani sono meno solerti di francesi e tedeschi e che il numero di segnalazioni italiane è notevolmente inferiore soprattutto rispetto a quello della Germania. Ricordiamo, tuttavia, che il GDPR prevede pensanti sanzioni non solo per i trasgressori della nuova normativa sulla tutela dei dati personali, ma anche per coloro che non fanno tempestiva comunicazione delle avvenute violazioni subite. Il Garante tedesco ha segnalato anche ben 262 i casi di data breaches comunitari, per i quali i Garanti europei hanno dovuto coordinarsi tra loro, ai sensi del GDPR.
Questi dati testimoniano come il diritto alla privacy, inteso come complessa fenomenologia della libera circolazione e protezione dei dati personali, sia vivo e forte, anche se non sono ancora in molti ad avere reale contezza di cosa sia il GDPR e di quali siano i propri diritti in materia di protezione dei dati personali. Analogamente, anche tra i soggetti che si occupano in qualsiasi forma del trattamento dei dati sensibili di terzi persiste spesso una conoscenza approssimativa del nuovo Regolamento.
Sarebbe anche auspicabile un’armonizzazione delle normative sul rispetto della privacy a livello globale, per contenere il rischio di un ingiustificato vantaggio delle aziende che operano fuori dall’Unione Europea, in paesi con normative sulla privacy meno restrittive. Ad esempio il Privacy Act californiano, che entrerà in vigore nel 2020, sarà in linea con il GDPR, garantendo però maggiori concessioni alle aziende ed un regime sanzionatorio più leggero.
Recepita l’entrata in vigore del GDPR, l’attenzione degli utenti e dei fornitori di servizi di comunicazione elettronica si è ora rivolta ai negoziati in seno alle istituzioni europee per l’adozione di un altro Regolamento europeo relativo alla tutela dei dati personali, il cosiddetto Regolamento ePrivacy (“ePR”). Si tratta di un Regolamento complementare al GDPR per stabilire norme specifiche per la tutela dei dati trattati ai fini della fornitura e della fruizione di servizi di comunicazione elettronica. La bozza è stata presentata dalla Commissione europea nel gennaio del 2017 ed è ora all’esame del Parlamento europeo e del Consiglio. Se adottato, il Regolamento andrebbe a sostituire, aggiornandone i contenuti, la Direttiva ePrivacy che attualmente fissa regole specifiche volte a garantire la riservatezza delle comunicazioni e la tutela dei dati personali nel settore delle comunicazioni elettroniche.
Infine, un cenno al cosiddetto diritto all’oblio. Internet ha comportato un mutamento profondo nella rappresentazione sociale della personalità individuale e nelle modalità di interferenza nella sfera privata: navigando in Rete ciascuno lascia delle “tracce digitali” che possono essere trattate al fine di ricostruire la personalità e l’identità del loro titolare. Il diritto individuale che deve essere riconosciuto e tutelato è quindi quello di poter mantenere il controllo di tali frammenti, di consentire consapevolmente che altri ne facciano un uso conforme alla volontà della persona cui i dati si riferiscono, di opporsi ai trattamenti indesiderati. Il diritto alla rettifica dei dati e alla loro cancellazione previsto dagli artt. 16 e 17 GDPR è appunto strumentale alla realizzazione del diritto, impropriamente qualificato come diritto all’oblio, che consiste di fatto nel non vedere continuamente riproposte dai mezzi di comunicazione notizie riferite alla propria persona che, per via del trascorrere del tempo, hanno perso i caratteri dell’interesse pubblico e dell’utilità sociale. Il diritto all’oblio vuole tutelare la reputazione individuale e può essere sacrificato soltanto nel caso in cui, per qualche ragione oggettiva, si palesi l’interesse pubblico per quella notizia.
Alberto Traballesi
