Dopo quattro anni dalla sua entrata in vigore e dieci anni dall’inizio dei lavori delle istituzioni europee per aggiornare le norme sulla protezione dei dati, il Gdpr fa il suo esame di coscienza e il Garante europeo della privacy vuole un cambio di rotta sul modo in cui il regolamento viene fatto rispettare in Europa.
Il 16 e 17 giugno si è tenuta a Bruxelles una conferenza per fare il punto sull’applicazione del regolamento, organizzata e fortemente voluta dal garante europeo della privacy Wojciech Wiewiórowski, perché “le cose che possono essere definite ora dovrebbero essere definite ora, non in un futuro imprecisato”.
Nel discorso finale il Garante non fa troppi giri di parole e ritiene che il Gdpr sia ancora difficile da far rispettare, soprattutto quando si parla di Big Tech. Tra gli ostacoli ad una migliore e più efficiente implementazione Wiewiórowski cita “una ripartizione disuguale degli oneri; differenze di diritto procedurale che ostacolano la cooperazione (tra le autorità); lo scarso e tardivo coinvolgimento del comitato dei garanti europei”.
Nonostante il Gdpr sia stato scritto per essere scalabile, senza richiedere un “impegno” di Pmi e multinazionali in egual maniera, e prevedendo meccanismi di collaborazione tra le autorità per gestire i casi più complessi, l’effetto riscontrato in questi primi quattro anni è che il peso si è sentito molto per le Pmi e poco per le Big Tech. Per Wiewiórowski queste ultime, forti delle maggiori risorse economiche e della lentezza delle autorità, non hanno subito troppo gli effetti del nuovo regolamento e hanno potuto continuare ad approfittare della propria posizione di favore rispetto ai competitor più piccoli.
Tra gli ospiti del convegno c’era Max Schrems, avvocato e attivista che con la sua Noyb ha sfidato Facebook nel 2018, un caso non ancora concluso in attesa di verdetto del Garante irlandese. Proprio Schrems durante la conferenza, ha parlato di come sia stato complesso, lungo e costosissimo il percorso per far valere i suoi diritti, inclusa la battaglia legale con la stessa autorità irlandese.
Questi ritardi dipendono dal sistema previsto dal Gdpr per le aziende che operano su più Stati, il meccanismo di one-stop-shop. Per facilitare la vita alle aziende, europee e straniere, che vogliono operare in tutta Europa, invece di chiedere loro di interagire con 27 garanti diversi, fu previsto che tutto il contenzioso passasse dall’autorità dove hanno stabilito la propria sede europea. Questo vuol dire Lussemburgo per Amazon, Paesi bassi per Netflix e Irlanda per Meta, Google, Microsoft, Apple e tante altre.
Per Wiewiórowski, se una centralizzazione totale è impossibile, un maggior coordinamento è la via da seguire, anche se non risolverà tutti i problemi del meccanismo attuale del one-stop-shop, i cui costi sono in aumento senza però garantire la giustizia richiesta dai cittadini europei. Il Garante europeo guarda dunque al Digital Markets Act e alle nuove leggi europee della data economy, che prevedono un ruolo più centrale per la Commissione europea, seppur non totalizzante. Per il garante è l’unico modo “per garantire una protezione reale e coerente ad alto livello dei diritti fondamentali alla protezione dei dati e della privacy in tutta l’Unione europea. Questo modello non solo attenuerebbe il problema dell’assegnazione disomogenea delle responsabilità, ma garantirebbe anche una reale coerenza in tutta l’Europa, anche attraverso forti meccanismi di collegialità”.