ADP traccia un bilancio di quello che è stato il GDPR nel suo primo anno di vita e di quali conseguenza ha avuto anche sulle altre legislazioni (California e Brasile in primis)
Di Cécile Georges, Global Chief Privacy Officer at ADP
È trascorso un anno dall’attuazione del regolamento generale sulla protezione dei dati (GDPR) in Europa, durante il quale si è registrato un sostanziale aumento della consapevolezza in merito alla privacy e alla protezione dei dati. Il GDPR è la prima legislazione nel suo genere: unificando l’approccio alla protezione dei dati in tutta l’Unione europea, il regolamento ha creato un precedente che altre nazioni sembrano voler seguire. Dal Brasile alla California, il GDPR è stato il catalizzatore di una spinta per leggi sulla privacy più forti e chiaramente definite.
Il GDPR ha innescato una conversazione a livello globale in materia di privacy, creando un’impennata nella consapevolezza dei diritti che le persone possiedono in relazione ai propri dati e delle gravi conseguenze della violazione di tali diritti.
Sebbene la maggior parte dei requisiti fossero già in vigore nei paesi dell’Unione europea prima del GDPR, il regolamento ha armonizzato i principi in tutta l’Unione e, cosa forse più importante, ha aumentato la capacità di esecuzione delle autorità vigilanti.
L’obbligo di segnalare le violazioni è uno dei risultati più innovativi del GDPR, in quanto la maggior parte delle organizzazioni non era stata precedentemente obbligata a farlo. Tuttavia, identificare ciò che costituisce una violazione dei dati può essere difficile.
Le autorità per la protezione dei dati in tutta Europa hanno dichiarato di essere attualmente sopraffatte dal volume di notifiche ricevute. Per molte aziende, identificare dove si trovano i dati e chi può accedervi è una sfida operativa e tattica, soprattutto per le grandi aziende che operano su scala globale.
Non c’è dubbio che il GDPR abbia influenzato la legislazione sulla privacy al di fuori dell’Unione Europea. In particolare, la Gerar de Proteção de Dados Pessoais (LGPD) del Brasile rispecchia la struttura del GDPR, e la California Consumer Privacy Act è stata chiaramente influenzata da questo regolamento. Come prima normativa di questo tipo, il GDPR è diventato di fatto il punto di riferimento per le leggi sulla privacy dei dati in tutto il mondo.
La California ha introdotto numerosi nuovi regolamenti simili o comparabili al GDPR, sebbene non altrettanto ampi. Nonostante la sua attenzione eurocentrica, il GDPR ha avuto un impatto enorme in luoghi come gli Stati Uniti, dove ha provocato una discussione sulla necessità di tutelare il diritto alla privacy degli individui rispetto alla semplice protezione di specifici tipi di dati. Essendo il primo Stato ad approvare una legislazione con un ambito così ampio sulla privacy dei dati, sembra che la California sia ora il punto di riferimento per il resto degli Stati Uniti, con altri 15 stati che attualmente stanno dibattendo in merito alla propria legislazione sulla privacy.
Per le aziende che fanno affari negli Stati Uniti, l’assenza di principi di riservatezza coerenti tra gli stati può anche rappresentare una sfida per ottenere chiarezza su cosa fare e cosa non fare. Sono attualmente in corso discussioni sulla creazione di un’ampia legge federale degli Stati Uniti che, si spera, darà chiarezza e supporto alle aziende.
Man mano che viene implementata una ulteriore legislazione in merito, le aziende globali devono essere consapevoli delle discrepanze tra i diversi atti legislativi e adeguare di conseguenza i propri programmi sulla privacy.
Poiché le leggi sulla privacy continuano a essere adottate da una vasta maggioranza di Paesi, si potrebbe supporre che diventerà più facile spostare i dati attraverso i confini.
Invece, le aziende stanno affrontando potenziali ostacoli poiché alcuni Paesi hanno limitato il trasferimento di informazioni personali al di fuori dei loro confini, imponendo varie forme di localizzazione dei dati.
Questo non è il percorso seguito dal GDPR; sebbene il regolamento sia molto rigoroso, contiene un elenco di meccanismi come il Binding Corporate Rules, che consentono alle società, in un mondo sempre più interconnesso e globalizzato, di trasferire legalmente dati personali al di fuori dell’Unione Europea.
