Il 25 maggio 2019 il GDPR festeggia il suo primo anno di vita. O meglio: il primo anno in cui è entrato in vigore per tutte le aziende europee e anche per quelle del resto del mondo, costrette ad adattarsi in qualche modo alla nuova visione che l'Europa si è data nella tutela dei dati personali. Dodici mesi di GDPR ci hanno dato molti segnali ed essenzialmente una macro-indicazione: anche se i temi della privacy e della tutela dei dati personali sembrano sempre un po' remoti, il clima intorno a loro è decisamente cambiato.

Vera Jourova, Commissaria per la Giustizia, i consumatori e la parità di genere della UE lo ha sintetizzato proprio di recente: "Nello scorso anno abbiamo sentito reclami e critiche, oggi in tutto il mondo si chiedono norme per una completa protezione dei dati simili al GDPR". Il merito è ovviamente solo in parte del GDPR in quanto tale: la norma europea ha presentato un modello di quello che era possibile fare, ma a darle più valore è stata la cronaca della nostra vita digitale.

Casi come quello di Facebook e Cambridge Analytica, insieme ai moltissimi altri più o meno noti, hanno dimostrato che il problema di come gestire i dati personali esiste. Di più: è un problema chiave in una fase in cui i dati sono alla base di veri e propri modelli di business. "Se non stai pagando vuol dire che la merce sei tu" non è più solo un modo di dire (quasi) divertente, ha assunto concretezza e per milioni di consumatori la questione-privacy oggi merita quantomeno una riflessione approfondita.


Lo dimostra il fatto che la privacy è diventata un argomento di proposizione per molte delle imprese per le quali prima era - e in buona parte è ancora - quasi un dettaglio fastidioso. Magari non fa notizia che Apple pubblicizzi i suoi iPhone puntando anche sulla privacy, di certo fa sensazione che Facebook abbia fatto una ideale conversione a U indicando che la privacy è il futuro. Al netto di una sana diffidenza verso il marketing della Silicon Valley, il vento sembra aver girato. Almeno formalmente.

Dal punto di vista delle imprese, però, il GDPR non è stato una occasione per fare filosofia sulla privacy ma un obbligo - raramente gradito - a rivedere la propria gestione dei dati personali. Una rivisitazione che è stata portata per il timore delle pesanti sanzioni previste dalla normativa, sanzioni che peraltro non si sono concretizzate. Il GDPR non si è insomma trasformato in quella "fabbrica di multe" che alcuni avevano previsto.

I numeri ufficiali della Commissione Europea sostanzialmente lo dimostrano. Dall'entrata in vigore del GDPR le varie Authority nazionali hanno ricevuto circa 145 mila reclami, legati principalmente ad attività di marketing (telemarketing o email marketing) non richieste ed a procedure di videosorveglianza. Le sanzioni sono state complessivamente contenute: c'è stato un solo caso eclatante (la multa di 50 milioni di euro a Google da parte dell'Authority francese), gli altri raramente sono nell'ordine delle decine di migliaia di euro.


Per chi si occupa di cyber security era più interessante analizzare come il GDPR abbia portato alla luce i data breach subiti dalle imprese, che ora sono obbligate a comunicarli quando coinvolgono dati personali. In un anno sono stati comunicati poco meno di 90 mila data breach, una cifra apparentemente elevata ma sensata. È qui che si vede il vero valore del GDPR dal punto di vista "infrastrutturale": prima della nuova norma molte di queste brecce non sarebbero nemmeno state segnalate al pubblico e molte aziende colpite avrebbero fatto più fatica a capire rapidamente quali informazioni erano state coinvolte.

Ovviamente c'è ancora molto da fare, e su diversi piani. A livello di conoscenza delle nuove norme, ad esempio: le statistiche ci dicono che solo il 67 percento dei cittadini UE ha sentito parlare del GDPR e che una percentuale ancora minore (il 57 percento) sa che esiste una Authority nazionale che tutela i dati personali e a cui è possibile rivolgersi. E solo il 20 percento dei cittadini sa quale effettivamente sia questa Authority.

C'è ancora da lavorare sul recepimento della stessa normativa, anche a un anno dal debutto. Innanzitutto tre nazioni UE (Grecia, Portogallo, Slovenia) non l'hanno ancora formalizzata, poi le varie implementazioni nazionali del GDPR presentano ancora qualche differenza. Il principio fondante del GDPR era invece avere una normativa omogenea in tutta l'Unione, anche perché il numero delle violazioni del GDPR da gestire a livello transnazionale non è basso (446, nel primo anno).


Soprattutto, c'è da monitorare costantemente come le aziende - specie quelle di piccole dimensioni - abbiano recepito adeguatamente il GDPR. C'è il rischio che la mancanza di sanzioni eclatanti nel primo anno di applicazione abbia tolto un deterrente importante al GDPR, anche se questa mancanza è dovuta alla volontà di dare un periodo di assestamento alle imprese più che ad una poca attenzione delle Authority. La Commissione ha sempre parlato di un enforcement "pragmatico" del GDPR, anche per non frenare lo sviluppo delle aziende europee che stanno lavorando nei settori dove è fondamentale l'elaborazione di grandi quantità di dati.

Sarebbe quindi sbagliato, da parte delle imprese, archiviare il GDPR come un problema del 2018 che ormai ha superato il suo picco ed è stato affrontato per come si poteva farlo. Questo primo anno tutti hanno fatto in un certo senso esperienza, ora la partita sulla tutela dei dati personali certamente continua e richiede sempre un elevato livello di attenzione e preparazione.