Il GDPR compie 3 anni: il parere (dal punto di vista legale) di Osborne Clarke
Due gli obiettivi principali del GDPR: aiutare i cittadini europei ad ottenere un maggiore controllo sui propri dati personali e fornire alle aziende un unico insieme di regole volto a migliorare la protezione dei dati all'interno dell'intera UE
Tre anni fa l'Unione Europea ha introdotto ufficialmente il Regolamento Generale sulla Protezione dei Dati: da allora sono stati fatti molti passi avanti, eppure, molte delle sfide più complesse, in materia di dati, restano tuttora aperte.
Due gli obiettivi principali del GDPR: aiutare i cittadini europei ad ottenere un maggiore controllo sui propri dati personali e fornire alle aziende un unico insieme di regole volto a migliorare la protezione dei dati all'interno dell'intera UE.
In questo periodo, stando ai dati noti, sono 661 le sanzioni per violazioni del GDPR in tutta l'Unione, per un totale di 292 milioni di euro. L'Italia, con 73 sanzioni, è al secondo posto per provvedimenti sanzionatori emanati, preceduta solo dalla Spagna (222).
Dalla piena applicabilità del GDPR, noi di Osborne Clarke abbiamo gestito, a livello globale, oltre 200 incidenti in materia di dati e cybersecurity: di questi, circa il 70% sono stati notificati alle autorità di regolamentazione dei dati. La maggiore trasparenza ha portato a un aumento sostanziale sia del coinvolgimento nel rapporto con l'autorità che delle controversie post violazione. Ma la tendenza più interessante da osservare è, probabilmente, il cambiamento culturale portato dal GDPR: non più percepito come mero elemento di compliance aziendale ma sempre più anche come elemento di differenziazione commerciale e reputazionale.
Infatti, come commenta Gianluigi Marino, Partner e Champion per la Digitalisation di Osborne Clarke in Italia: "uno dei principali segnali di successo del GDPR è la sua influenza sull'ondata di regolamentazione, in materia di digitale, che attualmente arriva dall'Europa".
"La stessa impostazione di base con un quadro di obblighi normativi, sommata a un'infrastruttura nazionale di enforcement e a sanzioni pecuniarie potenzialmente esorbitanti (il vero elemento di differenziazione del GDPR), si sta infatti estendendo ad altre aree quali, ad esempio, il diritto dei consumatori, il cosiddetto "online harm", la governance dei dati e la regolamentazione in materia di intelligenza artificiale. Comprendendo come il rispetto del GDPR possa contribuire ad alimentare il vantaggio competitivo, le aziende iniziano inoltre a interpretare questi nuovi regimi come un'opportunità – e non solo come un semplice costo o un rischio normativo aggiuntivo" conclude Marino.
Ora che il regime di compliance di base è in atto e viene replicato in tutto il mondo, si può procedere a passo spedito verso l'ambiziosa sfida di sfruttare i dati per raggiungere, oltre agli obiettivi aziendali, importanti traguardi sociali come la Decarbonizzazione.
Alcune domande restano però in attesa di risposta, ad esempio: come si applica il GDPR alle soluzioni di intelligenza artificiale che stanno venendo sviluppate e lanciate? Le aziende troveranno nuovi modi per memorizzare e trasferire i dati personali, aggirando i problemi di adeguatezza derivanti dal noto caso Schrems II? In che modo l'ecosistema adtech può evolversi per creare un modello operativo sostenibile? Come il diritto alla protezione dei dati si concilia con la libertà di espressione, all'interno della maggiore regolamentazione della sicurezza online? Queste domande potranno trovare risposta solo nei prossimi anni.
-U77503862575JCK-735x735@IlSole24Ore-Web.png?r=86x86)
