Dichiarazione sui 4 anni di GDPR
Il GDPR non ha cambiato la cultura della non conformità. Quando il GDPR è diventato applicabile il 25 maggio 2018, è stato percepito come un momento di svolta. I commenti erano a metà strada tra l'UE che fa sul serio in materia di privacy e Internet che si interrompe a mezzanotte. Gli ultimi quattro anni hanno dimostrato che una legge da sola non cambia i modelli di business basati sull'abuso dei dati personali e una cultura all'interno della professione della privacy che spesso si concentra sulla copertura delle non conformità. Dopo un primo momento di shock, gran parte del settore dei dati ha imparato a convivere con il GDPR senza cambiare effettivamente le pratiche. Ciò avviene principalmente ignorando semplicemente i diritti degli utenti e facendola franca.
La cultura del GDPR: aperta derisione e ostilità. Questo spesso si traduce in una sminuizione dei diritti fondamentali. Il diritto fondamentale alla protezione dei dati non viene rispettato e percepito come il risultato di un lungo processo democratico, ma deriso come folle o "impossibile da rispettare". Le autorità e le organizzazioni non profit che cercano di far rispettare la legge nella sua forma attuale subiscono un'ostilità aperta e accuse, come quella che l'applicazione della legge "ucciderebbe l'innovazione". Difficilmente qualsiasi altro settore della legge viene politicizzato a tal punto: almeno non ho mai sentito dire che le norme edilizie o fiscali siano state apertamente ignorate con l'argomentazione che la loro osservanza avrebbe "minato il modello di business" di un'azienda. La bolla della privacy accetta tali narrazioni come argomentazioni legittime.
Dinamiche di conformità al GDPR. Il GDPR non è (ancora) riuscito a uscire da una condizione preesistente: una spirale discendente di sempre maggiore non conformità e non applicazione. Proprio come quando alcune zone di una città diventano zone vietate alla criminalità e vengono abbandonate dalla polizia, sembra che molte autorità preposte alla protezione dei dati abbiano perso il controllo su molte aree della sfera digitale. Le aziende si rendono conto che i concorrenti non rispettano le regole e che agire legalmente non paga. Quanto più si diffonde la non conformità, tanto più sarà difficile per le autorità riprendere il controllo con risorse limitate
Mancanza di applicazione da parte delle DPA. L'assenza di una vera e propria applicazione delle norme, e quindi l'assenza di un effetto deterrente su altre aziende, getta ulteriore benzina sul fuoco. Su circa 50 casi transnazionali che la Noyb ha presentato negli ultimi quattro anni, nessuno ha ancora visto una decisione finale. Mese dopo mese, senza un'adeguata applicazione delle norme, sarà sempre più difficile rimettere in piedi la situazione. Mentre alcune autorità sembrano preoccuparsi più della percezione pubblica che dell'effettiva applicazione della legge, altre sembrano essersi rese conto della situazione e fanno del loro meglio per andare avanti. Tuttavia, il tempo stringe e sembra che ci stiamo avvicinando a una situazione in cui il GDPR sarà completamente ignorato, proprio come la precedente direttiva UE sulla protezione dei dati del 1995.
Problemi tecnici. Sul campo, le autorità (e le persone interessate) spesso soffrono di problemi tecnici creati da procedure nazionali diverse, risorse limitate, mancanza di personale qualificato o tribunali che annullano rapidamente le decisioni. Questi problemi non fanno notizia, ma sono il motivo per cui ormai la noyb si occupa più di questioni procedurali che di privacy.
noyb: Prima ti ignorano, poi ti combattono, poi vinci. In questo contesto più ampio, il ruolo della noyb ha visto un cambiamento molto interessante nel 2022. Molti operatori del settore vedono come un insulto il fatto che gli utenti possano effettivamente richiedere il rispetto del GDPR e osare rivolgersi ai tribunali per far valere i propri diritti. Mentre i tribunali sono di solito l'habitat naturale di ogni avvocato, vediamo che gli avvocati sono sempre più indignati per il nostro lavoro. Personalmente, lo considero un segno del nostro straordinario successo come piccola organizzazione che uno o due anni fa era ancora ignorata.
La strada da percorrere. Per molti diritti fondamentali ci sono voluti secoli per stabilirli, difenderli e attuarli. Tutti sono continuamente sotto attacco e occorre lavorarci ogni giorno. Non deve sorprendere che lo stesso valga per il diritto alla protezione dei dati. Le autorità dovranno imparare che gli organismi di controllo non piacciono a nessuno, ma che il loro ruolo è fondamentale per le nostre società digitali. Le aziende devono imparare che ci sono delle conseguenze. Gli avvocati del settore dovranno imparare che le loro opinioni saranno contestate davanti alle autorità di protezione dei dati e ai tribunali. Gli attivisti per la privacy dovranno imparare che non basta approvare una legge, ma occorre anche farla rispettare. Non vediamo l'ora di lavorare su questo tema negli anni a venire.