Gdpr due anni dopo: le regole ci sono, ma per le indagini mancano i soldi — Wired
Un rapporto sulla situazione in Europa mostra la carenza di personale e fondi per sostenere le autorità garanti dei dati personali e le loro attività sulle big tech
A quasi due anni dall’entrata in vigore del Gdpr, il regolamento europeo per la protezione dei dati, ancora latitano le multe verso i c olossi tech della Silicon Valley, multe che potrebbero arrivare al 4% del fatturato mondiale. Secondo quanto denunciato in un recente report di privacy friendly, la colpa è da annoverarsi nella mancanza di fondi e risorse umane impiegati nei garanti nazionali della privacy in Europa. Brave, un browser alternativo
Il grido d’allarme arriva da Johnny Ryan, a capo delle relazioni istituzionali e industriali del gruppo, che ha condotto la ricerca e provvederà, per conto di Brave, a denunciare la situazione alla Commissione europea perché prenda provvedimenti.
Pochi fondi e poco personale specializzato
Secondo il report i garanti nazionali hanno due ordini di problemi. Il primo è la mancanza di personale tecnico specializzato. Non giuristi dunque, ma personale che sia in grado, per esempio, di capire dove vanno a finire i dati per poter raccogliere le prove e comminare le multe. Nel report, che analizza i 27 Paesi dell’Unione e il Regno Unito, solamente sei garanti hanno più di dieci investigatori tecnici mentre sette autorità ne hanno due o meno. Persino la famosa Ico, il garante inglese, che è quello che spende in assoluto di più ed è dotata di un personale di quasi 700 addetti, conta tra le sue fila soltanto 22 tecnici. L’Italia ne ha 8 su 170 mentre su tutti svetta la Germania che ha sia un garante federale che i garanti regionali. Infatti con quasi 800 addetti, ben 101 sono i tecnici investigatori, ovvero un terzo di tutto il personale tecnico investigativo assunto dai garanti nazionali in Europa.
Il secondo è la mancanza di fondi adeguati per le autorità garanti. Questo porta sia ad avere uno staff che lavora in sotto organico, e dunque non può rispondere a tutte le segnalazioni in tempi brevi né tantomeno preparare cause complesse, sia a temere di non poter affrontare le spese legali che un appello dei big tech californiani comporterebbe.
In cima alla classifica abbiamo il Regno Unito, con 61 milioni di euro di budget, il doppio rispetto all’era pre-Gdpr, e la Germania, che sfiora i 59 milioni di euro, con un aumento di 12 milioni rispetto al 2018. Sempre sul podio, ma ben distante, il Garante italiano, con un budget di 30 milioni e un investimento di 3,2 milioni in più nell’ultimo biennio. Ciò che si registra in generale è che dopo aver aumentato i fondi verso le autorità garanti in vista dell’arrivo del Gdpr nel maggio del 2018, invece di proseguire nel trend, i governi dal 2019 hanno iniziato a ridurli.
Il caso dell’Irlanda
Un caso emblematico è quello del , a dispetto degli sforzi dello staff l’output prodotto non è stato dei migliori per il momento, anche se assicura che garante irlandese, verso il quale da tempo sono state mosse accuse di non fare abbastanza. Avendo quasi tutti i giganti della Silicon Valley sede in Irlanda per il mercato europeo, il garante locale è quello che deve gestire i casi più complessi. Ci si aspetterebbe dunque che fosse questo ad avere ricevuto più fondi dal proprio governo. Se da un lato lo staff è passato da 27 persone nel 2017 alle attuali 140, come riferito da le multe arriveranno. La Dixon, per esempio, ricorda l’intervento per la Helen Dixon, a capo dell’autorità, al New York Timessospensione del lancio di Facebook Dating previsto per lo scorso San Valentino. Tuttavia è pur sempre vero che a due anni dall’entrata in vigore del Gdpr nonostante il garante irlandese sia responsabile per 127 casi che includono nomi eccellenti come Facebook e Google, ancora nessuna multa è stata comminata, come evidenziato anche dal garante tedesco secondo Irish Times.
Cosa si può fare
Secondo Brave il comitato dei garanti europei (Edpb) dovrebbe istituire una unità investigativa a livello centrale, che sia di supporto alle attività dei garanti nazionali.
A ciò si aggiunge che ovviamente i governi dovrebbero a umentare i budget destinati alle autorità garanti sia per assunzioni di personale qualificato, con salari competitivi per attrarre i migliori talenti, sia per poter affrontare le spese legali che un processo con le big tech inevitabilmente richiede. Per garantire che ciò accada, la Commissione europea dovrebbe iniziare una procedura di infrazione contro tutti quegli Stati membri che non abbiano provveduto a stanziare il budget necessario, facendo così rispettare il quarto comma dell’articolo 52 del Gdpr che lo prevede espressamente.
Vedremo dunque se il report della Commissione, atteso per il prossimo mese proprio sull’andamento dell’adozione del Gdpr in Europa, arriverà a simili conclusioni e se metterà in luce ulteriori debolezze del modello attuale.
Originally published at https://www.wired.it on June 12, 2020.