Era il 25 maggio 2018 quando, dopo due anni di rodaggio, il Regolamento generale per la Protezione dei dati (in sigla, Gdpr) entrava in vigore in tutta l’Unione europea.

In un continente scosso dal caso Cambridge Analytica (che ha interessato non solo l’elezione di Donald Trump, ma anche la Brexit) e dai tanti scandali del decennio scorso, il Gdpr mirava a invertire una situazione in cui la nostra privacy digitale e i dati da noi disseminati in Rete erano troppo spesso preda dei colossi tecnologici, in grado di abusarne nel relativo disinteresse della popolazione e delle autorità.

Quanto è cambiata in questi 3 anni la situazione e quali sono i casi più evidenti in cui il regolamento sulla privacy ha protetto i cittadini europei da intrusioni non gradite? Il caso più recente, e di strettissima attualità, non riguarda i soliti sospetti (Facebook, Google e gli altri), ma alcune applicazioni del Green Pass italiano che regola gli spostamenti e le attività consentite alle persone vaccinate o guarite dal Covid-19: “Prima di tutto, il garante della Privacy ha confermato come il Gdpr obblighi le istituzioni a consultarlo prima di varare provvedimenti di questo tipo, cosa che invece non è avvenuta – ci ha spiegato Laura Liguori, avvocata partner dello studio Portolano Cavallo – In più ha segnalato alle Regioni come provvedimenti di questo tipo possano essere varati solo a livello nazionale ed è inoltre andato nel dettaglio, indicando le modifiche necessarie per non violare norme fondamentali come quella della minimizzazione dei dati, secondo cui bisogna raccogliere solo i dati indispensabili allo scopo prefisso. È sicuramente un caso in cui, anche grazie al Gdpr, il garante della Privacy ha potuto lavorare in ottica preventiva”.

In altre situazioni, invece, il regolamento europeo ha permesso di punire gli abusi commessi dai colossi tecnologici. Nell’ottobre 2020, per esempio, la Commissione europea ha iniziato a stilare una lista nera delle società digitali dotate di eccessivo potere sul mercato e che quindi, secondo quanto previsto dal Gdpr, potrebbero essere soggette a normative ancora più rigide. Nel complesso, un’azienda come Google ha dovuto pagare nel corso degli anni oltre 8 miliardi di dollari in tutta Europa per violazioni di vario tipo: “Uno dei casi più recenti riguarda la Francia, che ha multato Google per un totale di 100 milioni di euro per avere trattato in maniera illecita i dati personali degli utenti, attraverso i cookies impiegati per la profilazione – ha ricordato Giulio Novellini, counsel di Portolano Cavallo – È uno dei vari casi in cui le autorità garanti europee hanno confermato la tendenza a schierarsi dalla parte degli utenti”.

I casi che hanno riguardato l’Italia

Uno dei casi più clamorosi ha però di nuovo protagonista l’Italia e risale ad aprile 2021, quando il garante per la Privacy, anche tenendo in considerazione i precetti del Gdpr, ha dato parere negativo all’utilizzo da parte delle forze dell’ordine del sistema Sari Realtime, che avrebbe reso possibile la sorveglianza sulla popolazione italiana tramite telecamere dotate di riconoscimento facciale. Una bocciatura basata principalmente sulla possibilità di passare da una sorveglianza mirata a una sorveglianza di massa, ma che porta a chiedersi quanto i cittadini approvino che strumenti tecnologici studiati per aumentare la sicurezza vengano respinti in nome della riservatezza: “Partiamo dal presupposto che, prima del varo del Gdpr, la cultura della privacy digitale in Italia era praticamente assente – ha aggiunto ancora Novellini – L’entrata in vigore del regolamento ha invece contribuito, dal punto di vista sociale, a creare una nuova conoscenza e una nuova attenzione. E lo vediamo anche dalle tante richieste di tutela che vengono avanzate dai cittadini, cosa che prima invece raramente avveniva”.

“Dev’essere inoltre chiaro che strumenti come Sari Realtime presentano rischi per la cittadinanza – è la precisazione di Liguori – Possono esserci casi di falsi positivi, in cui a causa di un errore del sistema di riconoscimento facciale potremmo essere segnalati per attività che non abbiamo commesso”. Sebbene quello di Sari Realtime sia un caso in cui il Gdpr si è dimostrato in grado di fare fronte anche alle più recenti sfide in materia di privacy, il tema della costante rincorsa delle istituzioni nei confronti della tecnologia continua a porsi: “Il regolamento europeo ha avuto un periodo di gestazione di 6 anni, visto che la prima bozza risale al 2012 – è la riflessione di Liguori – Nel frattempo le tecnologie vanno avanti e i problemi diventano sempre più complessi. Questo è uno dei problemi principali: il gap che si crea tra normative volte a regolare tecnologie che nel frattempo si sono già evolute”.