Da quando la Commissione europea ha pubblicato la sua proposta Digital Omnibus, si sono intensificate le discussioni sul carico di lavoro che il GDPR crea per le aziende in Europa. Tra le altre cose, la Commissione vuole limitare il diritto di accesso, presumibilmente per ridurre l'onere normativo. Ma queste modifiche riflettono effettivamente le esigenze dei professionisti della privacy che lavorano nelle aziende? Per saperne di più, noyb ha condotto un sondaggio chiedendo ai responsabili della protezione dei dati (DPO) quali elementi del GDPR occupano la maggior parte del loro tempo e dove è meglio impiegarlo per garantire la protezione dei dati delle persone.
È emerso che la maggior parte dei professionisti non vuole che le protezioni vengano ridotte, ma che si riducano i compiti di documentazione e le pratiche burocratiche. In molti casi, chiedono addirittura leggi più chiare invece di una maggiore "flessibilità", che è difficile da gestire per la maggior parte delle aziende.
Un input direttamente dalla fonte. L'argomento principale della Commissione europea per la modifica del GDPR è la riduzione del presunto "onere normativo" per le aziende europee. Tuttavia, la Commissionenon sta riducendo i passaggi amministrativi, ma è andata dritta agli elementi "centrali" della legge. Tra le altre cose, propone di restringere la definizione di dati personali, di limitare il diritto di accesso e di aprire le porte all'addestramento dell'intelligenza artificiale. La domanda che sorge spontanea è: tutto ciò aiuta l'azienda media dell'UE? Ridurrà il carico di lavoro dei responsabili interni della protezione dei dati (DPO) e di altri addetti alla conformità? noyb ha condotto un sondaggio tra i DPO e i professionisti della privacy per rispondere a queste precise domande e conoscere le esigenze di chi lavora ogni giorno con il GDPR. Le loro risposte vanno spesso nella direzione opposta rispetto all'approccio della Commissione europea.
Max Schrems, presidente di noyb: "Questo studio mostra un enorme divario tra le esigenze delle persone reali che lavorano ogni giorno sulla compliance e i problemi spinti dalla 'bolla delle lobby di Bruxelles'. Non stiamo aiutando le normali attività commerciali dell'UE - la proposta della Commissione spesso taglia persino ciò che i professionisti considerano utile"."
Diritti degli interessati: Basso carico di lavoro, grande impatto. È interessante notare che la maggior parte degli intervistati ha dichiarato che il rispetto dei diritti degli interessati (articoli da 15 a 21) non crea molto lavoro. In particolare, più del 70% ha affermato che il diritto di accesso (articolo 15) crea solo "un po'", "poco" o addirittura nessun lavoro. Allo stesso tempo, viene visto come uno strumento utile per proteggere i diritti delle persone. Ciò corrisponde all'esperienza reale di noyb: la maggior parte delle aziende non riceve quasi mai richieste di accesso (SAR), mentre aziende specifiche (Big Tech, broker di dati o agenzie di credito) ne ricevono solitamente molte, ma hanno anche risposte SAR automatizzate. È quindi sorprendente che la proposta Digital Omnibus della Commissione europea suggerisca ancora una limitazione dell'articolo 15 del GDPR, che renderebbe molto difficile per gli europei far valere i propri diritti alla privacy.
Norme fondamentali: carico di lavoro rilevante, grandi ritorni. Come previsto, le norme fondamentali di cui agli articoli da 5 a 11 del GDPR (ad esempio i principi di liceità del trattamento o le condizioni per il consenso) generano un carico di lavoro rilevante. Tuttavia, gli intervistati hanno anche classificato queste norme come il secondo elemento più utile della legge per proteggere i diritti degli interessati. Lo stesso vale per gli obblighi di trasparenza di cui agli articoli 13 e 14, che la Commissione europea suggerisce di limitare.
Semplificazione reale: Abbandonare l'approccio "taglia unica". Mentre l '"approccio basato sul rischio" del GDPR è stato visto come un modo per limitare l'onere per le aziende più piccole in una legge "unica", i professionisti riferiscono l'esatto contrario. In pratica, è una lamentela comune che le grandi aziende possono gestire testi poco chiari e valutazioni del "rischio" che sono aperte all'interpretazione, mentre i responsabili del trattamento più piccoli non hanno le risorse per farlo. Gli intervistati sono chiaramente favorevoli a un sistema con soglie chiare per le dimensioni delle aziende, che dovrebbero essere basate su metriche rilevanti come il numero di utenti e non di dipendenti. Nonostante il fatto che molti di loro rappresentino aziende più grandi (oltre 500 dipendenti), il 70% degli intervistati ha affermato la necessità di regole più severe per le grandi aziende.
Max Schrems: "Per molti anni si è discusso sulla possibilità di "suddividere in livelli" il GDPR, con aziende di classe A, B o C. In questo momento, una piccola società senza scopo di lucro come noyb rientra generalmente nelle stesse regole di Google. Invece di farlo, la Commissione vuole aggiungere alla legge elementi flessibili di 'rischio', il che significa che la maggior parte delle aziende avrebbe bisogno di un avvocato per sapere se un articolo si applica a loro"
Meno "rischio", più chiarezza tramite whitelist e blacklist. 83.il 3% dei partecipanti si è detto favorevole a una whitelist per le attività di trattamento, mentre il 91,1% si è detto favorevole a una blacklist per le attività di trattamento. Un'ampia maggioranza ritiene che tali liste farebbero risparmiare alle aziende "molto lavoro" e creerebbero maggiore certezza giuridica. Sorprendentemente, i professionisti della privacy che lavorano per i responsabili del trattamento non ritengono che una "lista nera" (simile all'articolo 5 della legge sull'AI) limiterebbe troppo i responsabili del trattamento. Sembra che la certezza del diritto sia preferita a leggi flessibili.
Riduzione dei costi di conformità B2B: Sorprendentemente, il GDPR genera una grande quantità di costi di conformità tra aziende ("B2B") che non sono rivolte all'utente. Milioni di contratti vengono redatti e gestiti tra aziende. Il solo fatto che la legge si applichi direttamente a fornitori come Cloud Hyperscalers potrebbe ridurre milioni di ore di lavoro e migliorare effettivamente la protezione della privacy. I DPO sarebbero molto favorevoli a questa semplificazione.
Max Schrems: "L'Omnibus non è solo sulla strada sbagliata per gli utenti, ma anche per la maggior parte delle aziende. Per molti versi abbiamo una proposta "allentata"."
L'inizio di un dibattito più ampio. I punti sollevati in questo sondaggio segnano solo l'inizio di un dibattito più ampio suscitato dalla proposta del Digital Omnibus. Riteniamo tuttavia che modifiche al GDPR basate su dati concreti possano essere vantaggiose per tutti: responsabili del trattamento, incaricati del trattamento, interessati e autorità. Ci auguriamo che questi primi risultati possano guidarci verso soluzioni utili per problemi reali, invece di inseguire parole d'ordine.
