REPORT

Il New York Times: “Il GDPR non mostra i denti”. Big Tech non sanzionate

di |

Il commento del New York Times in seguito al report di Brave: “Il GDPR a rischio di fallimento, la colpa dei governi nazionali, non delle Autorità di protezione dei dati".

A circa due anni dalla piena applicazione del GDPR è aumentata la consapevolezza degli utenti europei verso la privacy e ha costretto molte aziende, a partire da Facebook e Google, ad adottare nuove policy per conformarsi. Ma le indagini per accertare eventuali violazioni, soprattutto da parte degli Ott, non sono ancora state concluse e nei loro confronti non sono state emanate sanzioni rilevanti e “ciò rende il Regolamento Ue a rischio fallimento”. Questa è la denuncia che arriva dal report condotto da Brave, sviluppatore del browser Web open source e a prova di privacy.

“Se il GDPR è a rischio di fallimento, la colpa è dei governi nazionali, non delle autorità di protezione dei dati”, ha dichiarato Johnny Ryan, responsabile policy del browser di Brave. “L’applicazione rigorosa del GDPR è essenziale. I Garanti privacy degli Stati dell’Ue devono essere in grado di indagare adeguatamente sulle big tech ed agire senza timore di ricorsi vessatori. Ma i governi nazionali dei Paesi europei non hanno dato loro le risorse per farlo. La Commissione europea deve intervenire”, ha aggiunto Ryan.

Così Brave ha presentato una denuncia alla Commissione europea nei confronti dei 27 Stati membri per non aver attuato adeguatamente il Regolamento generale sulla protezione dei dati mediante il ricorso a risorse finanziarie per la protezione dei dati. Brave chiede alla Commissione europea di avviare una procedura di infrazione contro i governi degli Stati membri europei per mancata attuazione dell’articolo 52, paragrafo 4, del GDPR e, se necessario, di sottoporli alla Corte di giustizia europea. 

L’articolo 52, paragrafo 4, del GPDR prevede “Ogni Stato membro provvede affinché ogni autorità di controllo sia dotata delle risorse umane, tecniche e finanziarie, dei locali e delle infrastrutture necessari per l’effettivo adempimento dei suoi compiti e l’esercizio dei propri poteri, compresi quelli nell’ambito dell’assistenza reciproca, della cooperazione e della partecipazione al comitato”.

Brave è giunta a questa considerazione nelle conclusioni del suo rapporto, da cui si evince:

  • Solo cinque delle 28 autorità nazionali garanti privacy hanno più di 10 specialisti tecnologici.
    Anche per questo motivo i Garanti in Europa non hanno la capacità di indagare sulle Big Tech.
  • La metà dei Garanti privacy nazionali dell’UE ha budget limitati (meno di 5 milioni di euro).
    I governi dell’UE non hanno dato loro i mezzi per difendere le loro decisioni contro le Big Tech in tribunale in appello.
  • Il Garante privacy del Regno Unito è il più grande e costoso d’Europa. Ma solo il 3% dei suoi 680 dipendenti è concentrato su problemi di privacy legata alla tecnologia.
  • La Commissione irlandese per la protezione dei dati è l’autorità che ha la responsabilità esclusiva di vigilare sulla conformità degli Ott al Regolamento Ue. Ha un budget di € 16,9 milioni – il sesto più alto tra gli stati dell’UE – e oltre 20 indagini in corso su grandi aziende tecnologiche, ma non ha ancora emanato una sanzione.

Questo “lassismo” dell’Autorità privacy irlandese è stato denunciato pubblicamente da Ulrich Kelber, il commissario federale tedesco per la protezione dei dati personali: “dall’entrata in vigore il GDPR e l’Autorità non ha adottato nessun provvedimento per violazione del Regolamento europeo sui dossier importanti, come Facebook, WhatsApp e Microsoft”, ha detto Kelber a gennaio ad un evento a Berlino. “È insopportabile”, ha aggiunto.

Quale il contesto della polemica?

L’Autorità privacy irlandese ha la responsabilità esclusiva, rispetto agli altri Garanti Ue, di vigilare sulla conformità di quasi tutti gli OTT al Regolamento Ue, secondo il principio, introdotto dallo stesso GDPR, dello sportello unico (one stop shop). Il principio stabilisce, quindi, che le imprese, e in genere i titolari del trattamento e i responsabili del trattamento dei dati transfrontalieri, hanno a che fare con una sola Autorità di controllo, cioè quella del Paese dove hanno la sede principale, piuttosto che ogni Autorità dei 27 Stati europei. E quasi tutti gli over the top, Facebook e Microsoft compresi, hanno in Irlanda la sede europea.

Così gli altri garanti nazionali europei hanno un po’ le mani legati nel far rispettare il GDPR agli over the top. Ma l’applicazione del GDPR non può avvenire in modo non uniforme in Europa.

Il New York Times: “Il Gdpr non mostra i suoi denti”

Da quando il GDPR è entrato pienamente in vigore, 25 maggio 2018, Google è stata l’unico gigante del web ad a essere sanzionato per violazione del Regolamento Ue: una multa di 50 milioni di euro dal Cnil, che oggi vale circa 54 milioni di dollari, o circa un decimo di ciò che genera nelle vendite ogni giorno. Senza le maxi-multe nei confronti degli Ott il GDPR “non mostra i suoi denti”, commenta il New York Times.