Sette anni di GDPR: ecco che cosa ha funzionato e cosa si può migliorare

Sabato scorso (24 maggio), il GDPR (General Data Protection Regulation) ha compiuto sette anni. Ad oggi, noi di Hermes Center riteniamo il regolamento fondamentale, un simbolo di difesa dei diritti digitali senza precedenti… seppure con qualche riserva.

C’è da dire, infatti, che la rivoluzione culturale promessa dal regolamento è rimasta incompleta. Abbiamo deciso quindi di analizzare i successi, le criticità e le prospettive di questo importante strumento, che pretende – e merita – di essere percepito come leva essenziale per i diritti umani e per la democrazia, in un’epoca in cui interessi oligopolistici si aggrappano in continuazione allo slogan “le leggi frenano l’innovazione”.

Male: cosa è andato storto

Partiamo con il tasto dolente. I primi limiti del GDPR sono emersi con l’applicazione concreta del regolamento. Invece di permeare l’intero ciclo di sviluppo, la protezione dei dati personali si è ridotta a burocrazia: documenti prolissi, banner di consenso rituali e check-list «a valle» hanno sostituito un vero ripensamento dei servizi.

La privacy by design (art. 25) resta ad oggi perlopiù ignorata; i DPO, Data Protection Officers (le figure incaricate di protezione dei dati) faticano a dialogare con sviluppatori e web designer, trasformando un principio di libertà in un adempimento formale.

L’esercizio dei diritti è lento e incompleto: settimane per ottenere copia o portabilità dei dati, quasi sempre limitata a ciò che l’utente ha fornito, escludendo profili e inferenze – il vero capitale su cui prosperano le piattaforme.

Valutazioni d’Impatto (DPIA, Data Protection Impact Assessment, art. 35) e registri dei trattamenti (art. 30) restano blindati, indebolendo la trasparenza. Ambiguità fra titolare del trattamento (=chi usufruisce dei dati personali dell’utente), responsabile e sub-processor (o sub-responsabile, soggetto che tratta i dati per conto del titolare) alimentano scappatoie contrattuali, mentre il “consenso” viene spesso svuotato di libertà e informazione.

L’enforcement è irregolare: le autorità designate alla protezione dei dati spesso convivono con uffici sotto-finanziati; l’inerzia irlandese, fulcro delle big tech, rallenta l’intera Unione. Perfino il ruolo del DPO, nato per alzare l’asticella, è talvolta svilito a mero produttore di template.

Bene: perché funziona

Nonostante le ombre, il GDPR resta un baluardo collettivo. L’uniformità normativa impedisce alle multinazionali di sfruttare buchi legislativi: ovunque vigono liceità, correttezza, trasparenza e minimizzazione (art. 5).

L’extraterritorialità estende queste tutele anche ai colossi extra-UE, rendendo il regolamento un presidio globale. La scelta di basarsi su principi – e non su tecnicismi destinati a invecchiare – lo rende resistente alle rivoluzioni dell’Internet of Things e dell’intelligenza artificiale.

La protezione dati è entrata stabilmente nelle agende dei consigli di amministrazione, sostenuta da sanzioni fino al 4 % del fatturato (art. 83).

L’autorità garante italiana (GPDP, Garante per la Protezione dei Dati Personali), spesso costretta a colmare vuoti lasciati da settori come antitrust o diritto del lavoro (si pensi alla portabilità e alla gig-economy), dimostra che i diritti digitali possono contrastare poteri economici formidabili e incidere realmente sulla società.

Next steps: dove migliorare

Il bilancio è dunque agrodolce: il GDPR è un faro normativo mondiale, ma sprigionerà tutto il proprio potenziale solo con riforme mirate.

Pubblicare – almeno in parte – registri dei trattamenti e DPIA rafforzerebbe la fiducia dei cittadini. Diritti che viaggiano alla velocità dei dati richiedono API aperte, interfacce unificate e formati standard per la portabilità (art. 20).

La privacy by design deve diventare requisito di qualità, sostenuta da formazione per sviluppatori e incentivi economici per le aziende virtuose. Un enforcement uniforme, con risorse adeguate e un EDPB (European Data Protection Board, Comitato europeo per la protezione dei dati) più incisivo, renderà effettivi i diritti a prescindere dal Paese in cui si trova il titolare.

Infine, serve una cultura che veda nei diritti un vantaggio competitivo: se l’Europa saprà presentare la protezione dati come valore e non come freno, milioni di persone stanche di essere meri “utenti” troveranno nel modello europeo la speranza di una tecnologia davvero al servizio dell’umanità.

Torna in alto