In venticinque anni la privacy ha fatto un passo intero indietro e uno mezzo avanti. Il livello di chiarezza e di adeguatezza delle norme è insufficiente. La difficoltà delle imprese ad adeguarsi è la conseguenza diretta di disposizioni incapaci di esprimere regole certe e prescrizioni comprensibili. A cascata abbiamo la ineffettività della legge e lo scadimento di tutela effettiva della riservatezza (sì, ha ancora un senso usare questa parola). La fiducia degli interessati è diminuita più di quanto sia aumentata la loro consapevolezza (in genere antidoto alla sfiducia). La trasparenza dei trattamenti è opacizzata da surplus (a volte doloso) di informazioni, è facilmente eludibile e non tocca il cuore dei problemi (utilizzo arbitrario dei dati).
L’accountability richiede urgentemente un repertorio europeo sul Gdpr. Ci vuole un catalogo delle pronunce e dei provvedimenti, delle linee guida e dei codici di condotta. Si deve abbinare un massimario dei provvedimenti sanzionatori e degli atti di rilevanza generale. Bisogna costruire, e siamo già in ritardo, il digesto europeo del Gdpr o se si preferisce il data base europeo, indicizzato e di pronto utilizzo, in tutte le lingue dei paesi in cui si applica il Gdpr.
Un recente provvedimento prescrittivo e sanzionatorio dell’Autorità Garante della protezione dei dati personali in materia di marketing (provv. 15 Dicembre 2022 – doc. web n. 9856345) ripropone interessanti temi di data protection legati al rispetto del principio della Privacy by design e by default.
Il Regolamento generale sulla Protezione dei Dati ha evidenziato la centralità di un elemento chiave per ciò che attiene alla tutela della privacy nella realtà aziendale: quello di “responsabilizzazione”, o accountability. Un concetto che diviene dunque dirimente nel processo di trattamento e imprescindibile per tutte le varie fasi che ne costituiscono la dinamica. In via preliminare, la “responsabilizzazione” - assioma capace di coinvolgere dunque interi settori professionali - sottolinea come chiunque si trovi a trattare i dati debba necessariamente adeguarsi alla vigente normativa sulla protezione delle informazioni personali.
La maggior parte delle aziende investono denaro e risorse per essere in regola con il GDPR, ma a 5 anni dall’introduzione del Regolamento UE un sondaggio condotto dall’Osservatorio di Federprivacy ha rivelato che il 78% delle aziende italiane considerano ancora il rispetto del GDPR come una mera burocrazia.
