Il GDPR compie due anni (e un mese circa) di vita. Viene spontaneo chiedersi quanto sia davvero cambiata la vita delle aziende e dei cittadini europei con la General Data Protection Regulation del tutto in vigore. Ormai dal lontano 25 maggio 2018. Lo ha fatto anche la Commissione Europea, pubblicando un report che ne valuta gli effetti complessivi. Prevedibilmente, dato anche il suo ruolo, la Commissione dà una valutazione sostanzialmente positiva della applicazione del GDPR. Spiegando che ha "conseguito la gran parte dei suoi obiettivi".

Va notato che la visione del GDPR espressa dalla Commissione Europea è ben diversa da quella che probabilmente ne hanno le imprese. Queste ne vedono soprattutto i riflessi pratici nella gestione delle informazioni. La Commissione vede nel GDPR anche una base metodologica e di principio su cui realizzare molte altre politiche europee. Come il Green Deal, le iniziative per l'AI, la Data Strategy. Partire da due visioni diverse - quella pratica e quella concettuale - può portare a valutazioni differenti.

Ad esempio, per la Commissione la chiave di valutazione principale del GDPR è se questo abbia diffuso o meno una cultura del diritto alla gestione corretta delle proprie informazioni personali. E qui lo scenario viene considerato positivo. La maggioranza dei cittadini europei sopra i 16 anni sa dell'esistenza del GDPR (il 69%) e della sua authority nazionale per la data protection (71%). In generale, la normativa ha portato i cittadini "ad avere un ruolo più attivo in relazione a quello che accade ai loro dati". E ha portato anche alla diffusione di "un approccio risk-based" alla gestione delle informazioni in azienda.
In realtà l'analisi della Commissione ammette che di lacune da colmare ce ne sono ancora molte. Ad esempio, tra le varie nazioni UE ci sono differenze anche sensibili nel modo in cui il GDPR è stato ratificato a livello locale. E resta difficile il recepimento della norma da parte delle piccole-medie imprese. Che però non possono esserne esentate, nemmeno in parte, perché "la loro dimensione non è in sé una indicazione dei rischi che la loro gestione di dati personali può comportare per i singoli".

La Commissione esprime comunque ottimismo. Con il GDPR le aziende europee "stanno sviluppando una cultura della compliance e stanno usando la data protection come vantaggio competitivo". Ed è opportuno che sia così: passando dalla metaforica carota al bastone, la Commissione ricorda anche che le data protection authority nazionali stanno aumentando la loro capacità di intervento. In media, tra il 2016 e il 2019 il loro staff è cresciuto del 42% e il loro budget del 49%.

Secondo il report della Commissione, infine, il GDPR ha avuto molti effetti positivi nel garantire la sicurezza nello scambio dati tra nazioni europee ed extra-europee. Il caso-simbolo è il Giappone, con cui la UE ha creato "il più grande spazio al mondo per lo scambio libero e sicuro dei dati". Lo stesso si cerca di fare nell'ambito della collaborazione UE-Africa. E con collaborazioni bilaterali con singole nazioni. Qui spiccano - perché non sono mai citati - gli Stati Uniti. Che con il GDPR hanno sempre avuto un rapporto conflittuale.