NEWS

 

Bruxelles sotto accusa: «le riforme sul GDPR hanno un approccio medievale e rischiano di indebolire la privacy europea»

Nel 2018 l’introduzione del GDPR era stata salutata come una rivoluzione epocale della protezione dei dati personali e una pietra miliare della tutela dei diritti digitali in Europa, ma a distanza di quasi 7 anni l’efficacia del regolamento è però messa in discussione non solo da imprese e operatori economici, ma anche da coloro che l’hanno storicamente sostenuto con vigore.

(Nella foto: l'Avv. Max Schrems, fondatore di noyb)

In un articolo pubblicato sul sito di noyb, Schrems lancia un duro attacco contro una proposta legislativa dell’Unione Europea che dovrebbe semplificare e rendere più efficiente la cooperazione tra le autorità garanti della privacy dei diversi Stati membri.

“Quando la Commissione europea aveva annunciato che avrebbe risolto questo pasticcio tramite un regolamento procedurale del GDPR, la promessa principale era quella di ottenere finalmente un'applicazione efficace attraverso procedure più veloci, snelle e più semplice” – spiega l’avvocato austriaco - tuttavia, la direzione intrapresa dal Consiglio dell’UE farebbe esattamente l’opposto: invece di rafforzare l’efficacia del GDPR, introdurrebbe paradossalmente nuove complicazioni procedurali e rischierebbe addirittura di affossare ulteriormente le possibilità di far rispettare il regolamento da parte delle imprese.

Una riforma necessaria, ma controversa – Fin dal dicembre 2024, l’obiettivo dichiarato della proposta della Commissione Europea è stato quello di migliorare il meccanismo di cooperazione tra autorità garanti dei vari stati membri dell’UE, uno dei nodi critici del GDPR. Oggi, quando un trattamento di dati coinvolge più nazioni dell’Unione Europea, entra infatti in gioco il cosiddetto “meccanismo dello sportello unico”, che attribuisce la competenza principale all’autorità del Paese in cui ha sede il titolare del trattamento sul territorio dell’Unione. Questo modello, tuttavia, si è rivelato spesso lento e inefficiente, con casi che si sono trascinati per anni, come è avvenuto per le indagini su Meta, TikTok o Google in Irlanda, che hanno richiesto tempi lunghissimi.

La proposta di riforma del GDPR, dunque, avrebbe dovuto snellire queste procedure. Ma secondo le critiche mosse da noyb, il risultato sarà una complicazione normativa che creerà ulteriori barriere e ritardi. In particolare, Schrems denuncia l’introduzione di una nuova fase pre-procedimentale obbligatoria, che consentirebbe alle imprese oggetto d’indagine di ritardare l’avvio dell’istruttoria vera e propria per diversi mesi. "Una norma che serve solo a proteggere i grandi player della tecnologia", scrive l’organizzazione non profit sul proprio sito web.

Desta quindi non poche preoccupazioni il rammarico che esprime Max Schrems:

"Questo regolamento avrebbe potuto essere un punto di svolta per esercitare i diritti fondamentali delle persone. Invece, sembra che farà sprecare migliaia di ore ad autorità già oberate di lavoro prescrivendo vari passaggi procedurali inutili e troppo complessi, che si traducono in milioni di euro di costi a discapito delle imprese. Allo stesso tempo, le procedure saranno più lente e anche più complesse per le aziende e i cittadini. L’applicazione dei diritti del GDPR delle persone normali sarà ancora più difficile da raggiungere. Le aziende vedranno probabilmente più incertezza giuridica, decisioni imprecise e costi legali più elevati per ulteriori documenti e ricorsi necessari.”

Il ruolo dell’Irlanda e delle grandi piattaforme - Uno dei nodi più critici riguarda il ruolo del garante della privacy irlandese (Irish Data Protection Commission), che ha giurisdizione su molti dei principali colossi tecnologici, compresi Meta, Google, Apple, e Microsoft.

Schrems critica apertamente la Irish Data Protection Commission di avere un atteggiamento “ostruzionista” nei confronti delle indagini e di interpretare le norme del GDPR in maniera eccessivamente favorevole alle imprese.

La proposta del Consiglio, sostiene Schrems, “istituzionalizza” di fatto questo atteggiamento, permettendo all’autorità capofila di controllare l’intero processo e limitando la possibilità delle altre autorità di intervenire in modo efficace. In altre parole, verrebbe rafforzato il potere dell’autorità “di origine”, anche a scapito della trasparenza e della tutela della privacy degli interessati.

Una questione di equilibrio democratico - A preoccupare non è solo il contenuto della proposta, ma anche il modo in cui è stata approvata. Il testo è passato attraverso il Consiglio senza un reale confronto pubblico. Questo, secondo noyb, rappresenta un deficit democratico, perché un cambiamento del GDPR così rilevante nella governance dei dati personali dovrebbe essere il frutto di un processo aperto, trasparente e partecipativo, come sottolinea energicamente Schrems:

“Dopo tutto, sono le aziende a conoscere meglio come funzionano le loro dinamiche e i cittadini sanno meglio quali sono i loro problemi per avvalersi delle tutele del GDPR. Invece, la Commissione ha costruito la procedura su un sistema puramente inquisitorio, letteralmente un approccio medievale del XII secolo. Molti documenti e decisioni nella procedura sono stati rilasciati prima che siano state condotte indagini o audizioni delle parti”.

Il rischio, secondo Schrems, è quindi che la proposta venga approvata senza che l’opinione pubblica, la società civile e le autorità garanti più indipendenti possano contribuire in modo significativo. Il risultato? Un sistema ancora più frammentato e inefficace, dove la protezione dei dati personali resterebbe sulla carta, e di fatto vanificata nella pratica.

Prossimi step - L’iter legislativo non è ancora concluso: il Parlamento europeo dovrà esprimersi sul testo, e potrebbe ancora proporre modifiche sostanziali. Tuttavia, il clima politico e la pressione delle lobby rendono incerto l’esito finale, come avvenne durante l’iter che all’epoca condusse all’approvazione del Regolamento UE sulla protezione dei dati, quando il testo subì rilevanti modifiche soprattutto a vantaggio delle Big Tech.

Organizzazioni come noyb chiedono un rafforzamento del meccanismo di cooperazione, non il suo indebolimento, invocando regole chiare, tempi certi, trasparenza e la possibilità per tutte le autorità garanti di agire efficacemente, ”altrimenti, il GDPR rischia di diventare un gigante dai piedi d’argilla, incapace di difendere realmente i diritti digitali dei cittadini europei.”

Come ha ricordato Max Schrems, “la protezione dei dati non è un ostacolo all’innovazione, ma una condizione per una società digitale giusta e sostenibile”.

Vero è che il futuro della tutela della privacy e la fiducia dei cittadini europei nelle istituzioni che dovrebbero tutelarli dipendono molto dagli interventi che saranno apportati al GDPR, e le questioni sollevate da noyb andrebbero prese seriamente in considerazione.

Note sull'Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Articoli correlati

Prev Videosorveglianza: telecamere e lavoratori sotto osservazione non solo formale
Next Nuove regole Agcom: per accedere ai siti vietati ai minori bisognerà dimostrare di avere almeno 18 anni

Galleria Video

Privacy Day Forum 2025: il servizio di Arezzo Tv

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza