Giornata della protezione dei dati: Gli europei sono davvero protetti?
La Giornata europea della protezione dei dati il 28 gennaio commemora la firma del primo quadro paneuropeo di protezione dei dati (Convenzione108) nel 1981. Oggi, a distanza di 42 anni, il GDPR è considerato la legge centrale in materia di protezione dei dati in Europa e ha lo scopo di consentire ai cittadini di esercitare il loro diritto fondamentale alla privacy. Inizialmente salutato - e temuto - come arma di applicazione, il GDPR è sul punto di subire lo stesso destino dei suoi predecessori, venendo semplicemente ignorato.
L'applicazione del GDPR solo in teoria. Il GDPR mira a dare a tutti gli utenti in Europa il controllo sui propri dati personali. Tutti hanno il diritto di sapere quali dati un'azienda possiede su di loro, come vengono trattati e il diritto di interrompere un trattamento illegale. In pratica, però, gli utenti sono stati assillati soprattutto da cookie-banner e pop-up che non lasciano altra scelta se non quella di dire "sì". Gli europei che hanno cercato di esercitare il loro diritto alla protezione dei dati sono stati spesso amaramente delusi. noyb riceve regolarmente messaggi di utenti frustrati da tutta l'UE: le procedure vengono ritardate, i reclami vengono archiviati senza ulteriori indagini da parte delle autorità o vengono abbandonati del tutto. I diritti degli utenti finiscono per essere cestinati.
Conflitto tra legge e autorità di regolamentazione. Negli ultimi 4,5 anni il GDPR è stato vittima di una mancanza di applicazione e di tattiche dilatorie da parte delle grandi aziende tecnologiche. Anche quando le autorità prendono decisioni e multano le aziende, i casi possono trascinarsi per anni a causa di ricorsi e ostruzionismi da parte delle aziende tecnologiche. Anche con le sanzioni occasionalmente elevate, infrangere la legge conviene alle "big tech". Sebbene l'applicazione del GDPR vari ampiamente in Europa, anche le autorità di protezione dei dati più attive devono affrontare sfide importanti, poiché i casi transfrontalieri richiedono la cooperazione tra le autorità (sportello unico).
Max Schrems, Presidente noyb:"Anche le autorità più attive sono spesso in difficoltà, poiché l'applicazione del GDPR è forte solo quanto il suo anello più debole"
Ostacolo all'applicazione. Autorità come l'Autorità irlandese per la protezione dei dati (DPC) sono un fattore critico quando si tratta dell'attuazione del GDPR, dato che la maggior parte delle aziende tecnologiche americane ha la propria sede europea in Irlanda. L'Irlanda è stata a lungo considerata un "collo di bottiglia" nell'applicazione del GDPR in tutta l'UE; da un lato, a causa dell'estrema lentezza con cui vengono trattati i casi e, dall'altro, perché l'autorità spesso persegue un'interpretazione della legge "favorevole alle imprese":
È stato solo dopo che il Comitato europeo per la protezione dei dati (EDPB) ha emesso una decisione vincolante nel caso di noyb , risalente a 4 ,5 anni fa, sull'aggiramento del GDPR da parte di Facebook, il DPC irlandese è entrato in azione. Ha annunciato una multa di 390 milioni di euro e ha ordinato a Meta di ottenere un valido consenso per la pubblicità personalizzata. In questi 4,5 anni, il DPC si è spesso schierato dalla parte di Meta e ora ha anche emesso una sanzione significativamente ridotta. Le altre autorità hanno dovuto ripetutamente (all'unanimità) annullare il DPC.
Oltre all'Irlanda, il Lussemburgo è noto per ospitare le sedi di grandi aziende come Amazon, eBay e Paypal, il che conferisce all'autorità lussemburghese un ruolo cruciale come autorità di regolamentazione. Analogamente all'Irlanda, la noyb è in attesa dal 2019 di una decisione su un reclamo relativo a Amazondi Amazon sul diritto di accesso, motivo per cui la noyb deve ora intraprendere un'azione legale contro l'autorità.
Oltre ai "grandi" poli tecnologici dell'UE, ci sono anche molte curiosità nazionali. Ad esempio, le autorità francesi e svedesi negano che gli utenti siano parti in causa nei procedimenti. L'autorità bavarese non dà accesso ai file. L'autorità polacca richiede che i reclami siano presentati in formato digitale, ma consente solo la copia fisica dei file a Varsavia. L'autorità austriaca utilizza una clausola nazionale per chiudere una quantità enorme di procedimenti perché l'azienda avrebbe risolto il problema. L'autorità bulgara ha ignorato per anni qualsiasi comunicazione via e-mail, telefono o posta. I tribunali tedeschi annullano le decisioni delle autorità, mentre una causa contro l'autorità irlandese può costare rapidamente 100.000 euro.
764 reclami non decisi. Dall'entrata in vigore del GDPR nel maggio 2018, noyb ha presentato 848 reclami individuali presso diverse autorità di protezione dei dati in tutta Europa. Solo il 10% (84 reclami) dei casi è stato deciso dalle autorità competenti, la maggior parte dei quali è stata chiusa o è stato trovato un accordo con l'azienda in quanto ha posto rimedio alla violazione. Alcuni casi sono stati decisi solo parzialmente. Circa 15 casi sono attualmente all'esame dei tribunali nazionali perché le autorità non hanno preso una decisione entro i termini di legge o perché la noyb ha presentato ricorso contro la decisione.
A causa dell'inattività delle autorità e della mancanza di leggi procedurali, molti procedimenti vengono spostati ai tribunali nazionali, che spesso non hanno la necessaria conoscenza del GDPR. Le decisioni vengono spesso annullate a causa di errori procedurali evitabili. Per molti utenti, andare in tribunale non è finanziariamente possibile. Gli studi legali lo sanno e sovraccaricano deliberatamente le autorità e i tribunali con reclami infiniti e centinaia di pagine di documenti.
Max Schrems:"Quest'anno il GDPR sarà applicabile per cinque anni. Finora, molte aziende sono riuscite a eludere la normativa, poiché l'applicazione è scarsa. Le promesse del GDPR di rendere la protezione dei dati efficace e semplice stanno fallendo a causa delle autorità nazionali degli Stati membri, che finora non sono riuscite a garantire un'applicazione efficace"