Guida al nuovo GDPR 2022
Tempo di lettura: 6 minuti

GDPR 2022: sfide, linee guida e sanzioni

Diamo un’occhiata a che punto siamo con il GDPR 2022 quando raggiunge il suo quarto compleanno, compresi l’applicazione e le modifiche, le sfide attuali, l’impatto del COVID-19 e altro ancora.

Il GDPR dell’UE è una delle leggi sulla privacy dei dati più severe al mondo. Entrando nel suo quarto anno, l’applicazione del regolamento si è evoluta da quando è entrato in vigore per la prima volta nel 2018.

Il GDPR è stato, in parte, creato per controbilanciare la rapida espansione e innovazione delle grandi aziende tecnologiche. Tali aziende hanno rivoluzionato la presenza online delle persone e hanno cambiato per sempre il volto della privacy online. Molti utenti non sono consapevoli di come i loro dati personali vengono utilizzati e diffusi su piattaforme come Facebook e Google. Il GDPR intende chiarire qualsiasi area grigia. Prima di tutto, il regolamento richiede alle organizzazioni di chiedere il consenso per salvare e utilizzare i dati personali, piuttosto che il consenso implicito.

Il 2021 ha visto un aumento delle multe per non conformità. Come mai? Molti fattori, tra cui nuove sfide affrontate dalle aziende, problemi con il consenso, una pandemia in corso, una crescente forza lavoro remota e il regolamento ePrivacy in sospeso hanno influenzato lo stato del GDPR e le sue prospettive per il 2022.

Tutti i siti web che hanno utenti basati in Italia hanno la scadenza per essere in regola fissata al 10 gennaio 2022.

Aumento delle sanzioni GDPR 2022

Le sanzioni se non vengono rispettate le nuove linee guida sono le seguenti :

  • Omessa o inidonea informativa : da 6000 a 36.000 euro
  • Installazione di cookie senza consenso : da 10.000 a 120.000 euro

Nei primi tre anni del GDPR, solo una grande azienda tecnologica è stata multata per non conformità. Negli ultimi sei mesi, tuttavia, due giganti della tecnologia sono stati giudicati colpevoli di non conformità, con multe multimilionarie da record.

Nel luglio di quest’anno, Amazon è stata colpita dalla più grande multa GDPR fino ad oggi: $ 887 milioni, che supera anche l’importo di tutte le precedenti multe GDPR messe insieme. I regolatori lussemburghesi hanno ritenuto il gigante della tecnologia colpevole di non aver ricevuto il consenso adeguato dagli utenti in merito ai propri dati personali.

A settembre, il servizio di messaggistica WhatsApp, di proprietà di Meta Platforms, è stato multato di 266 milioni di dollari dal Commissario irlandese per la protezione dei dati per non aver ricevuto adeguatamente il consenso e non aver soddisfatto i requisiti di trasparenza dei dati.

Google è stata dichiarata colpevole di non conformità nel 2019 per accuse relative alle tecniche di personalizzazione degli annunci dell’azienda. È stata multata di 57 milioni di dollari, una multa record all’epoca, ma una frazione delle multe di Amazon e WhatsApp.

Tuttavia, le grandi aziende non sono le uniche a infrangere la legge. Anche le piccole e medie imprese, quelle con più di 250 dipendenti, devono rispettare i requisiti del GDPR. Mentre le grandi organizzazioni hanno dovuto affrontare multe più elevate, anche le piccole e medie imprese sono state oggetto di sanzioni da quando il regolamento è entrato in vigore.

Le linee guida per essere in regola con il GDPR 2022

1. Chiarimenti di ciò che è un consenso e come raccoglierlo

  • L’atto di dare il consenso deve essere “libero, specifico, informato e inequivocabile”
  • Deve essere presente un comando (per esempio una “X”) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default.
  • Lo scorrimento non è un’azione positiva chiara e affermativa da parte dell’utente per raccogliere il consenso.
  • I cookie walls non sono autorizzati.

2. Informazioni sui cookie banner

  • Sono necessari i pulsanti “Accetta” e “Rifiuta”.
  • Il periodo di conservazione dei dati personali dell’utente deve essere specificato.
  • Il banner deve contenere un link alla privacy policy.
  • L’utente deve poter dare/revocare il consenso in modo granulare secondo gli scopi e i fornitori.
  • Gli utenti devono essere in grado di accedere e modificare le loro preferenze di tracciamento in qualsiasi momento dopo aver impostato le loro preferenze iniziali.
  • Nuove specifiche per l’accessibilità delle informazioni sui cookie in relazione alle persone con disabilità.

3. Cookie analitici e tecnici

  • I cookie analitici richiedono il consenso (salve certe condizioni).
  • I cookie tecnici non richiedono il consenso.

4. Validità del consenso

  • I consensi raccolti prima della pubblicazione delle nuove linee guida del Garante sui cookie, se rispettano le caratteristiche richieste dal regolamento, sono validi a condizione che, al momento della loro acquisizione, siano stati registrati e possano quindi essere documentati.
  • Bisogna aspettare 6 mesi prima di mostrare di nuovo il banner privacy agli utenti.

5. Prova del consenso

  • Devi essere in grado di dimostrare che il consenso è stato ottenuto secondo gli standard del GDPR.

Le tendenze evidenziano mancanza di consenso e trasparenza

L’aumento delle multe per non conformità è una tendenza preoccupante, che spesso deriva dal consenso e dalla trasparenza.

“Le organizzazioni devono trovare un modo per fornire meccanismi di consenso significativi per i consumatori”, ha affermato Müge Fazlioglu, ricercatore senior presso l’International Association of Privacy Professionals e autore del “IAPP-EY Annual Privacy Governance Report 2021”.

“Altrimenti, dovranno affrontare le conseguenze”, ha detto.

Ma perché le sfide ora? Non è detto che la privacy dei dati e il GDPR non siano al primo posto per la maggior parte delle organizzazioni. Sette intervistati su 10 al rapporto IAPP-EY 2021 hanno valutato la conformità al GDPR come la loro massima priorità per la privacy.

Per prima cosa, le sfide percepite dalle aziende stanno cambiando man mano che si abituano al GDPR. Gli intervistati al sondaggio IAPP-EY 2018 hanno elencato questioni come il diritto all’oblio, l’adempimento delle richieste di accesso dei soggetti e la portabilità dei dati come le loro maggiori sfide GDPR. Tre anni dopo, il rapporto IAPP-EY 2021 ha riscontrato il consenso e i trasferimenti internazionali di dati tra le principali lamentele degli intervistati.

Inoltre, i documenti strategici rilasciati dalle autorità europee per la protezione dei dati (DPA) nel luglio 2021 hanno indicato che i regolatori dell’UE stanno applicando più attivamente il monitoraggio online del GDPR e i requisiti di trasferimento internazionale dei dati. Ciò fa seguito a un parere del gennaio 2021 della Corte di giustizia dell’UE (CGUE) che conferisce ai regolatori di tutti gli Stati membri dell’UE il diritto di presentare reclami contro Facebook. L’opinione non è vincolante, ma costituisce un potenziale precedente per decisioni contro altri giganti della tecnologia.

Il parere della CGUE e l’aumento del numero di multe per non conformità relative al consenso si allineano. Le autorità di protezione dei dati belghe, ad esempio, hanno presentato reclami normativi nel 2015 contro Facebook per l’utilizzo di cookie per tracciare gli utenti belgi. Nel 2018, l’anno in cui è entrato in vigore il GDPR, i tribunali belgi si sono pronunciati a favore del reclamo. Facebook ha ribattuto che il Commissario irlandese per la protezione dei dati era l’unico regolatore autorizzato a far rispettare le regole di non conformità perché la sede europea di Facebook si trova in Irlanda. In base alla sentenza della CGUE, tuttavia, le DPA belghe hanno agito legalmente.

“Il consenso non può essere solo un esercizio di spunta… Deve essere una scelta basata sulle informazioni”, ha detto Fazlioglu. “Le aziende devono trovare il modo di informare gli utenti su come vengono utilizzati i loro dati in modo che capiscano a cosa stanno acconsentendo”.

Impatto della pandemia

La pandemia ha anche sollevato molte domande sulla privacy dei dati e, a sua volta, sul GDPR 2022.

“In questo momento, l’argomento caldo con cui le aziende devono occuparsi sono i dati sulla vaccinazione dei dipendenti”, ha affermato Fazlioglu. “In che modo le aziende dovrebbero conservarlo? Come dovrebbero proteggerlo? Dovrebbero richiedere tali informazioni?” Ha sottolineato che questa preoccupazione riguarda il GDPR ma non è specificamente un problema del GDPR.

Tuttavia, influisce sui professionisti della privacy sollevando domande su come proteggere i dati personali dei dipendenti. Il Comitato europeo per la protezione dei dati ha rilasciato una dichiarazione nel marzo 2020 sottolineando che il GDPR non dovrebbe ostacolare le misure per combattere la pandemia, ma anche in questi tempi, la protezione dei dati personali deve essere considerata una priorità.

Poiché nuove varianti continuano a diffondersi in tutto il mondo, le organizzazioni devono continuare a bilanciare le priorità sanitarie e la privacy dei dati nel 2022 e nel prossimo futuro.

Potenziali modifiche alla legge

Nel febbraio 2021, il Consiglio europeo ha concluso i negoziati sul regolamento ePrivacy, una serie di leggi sulla privacy dei dati proposte per la prima volta nel gennaio 2017 che intendono integrare il GDPR e dovrebbero entrare in vigore insieme al GDPR nel 2018. Il regolamento si concentra principalmente sui cookie e consenso, affidando la responsabilità di ottenere il consenso per la memorizzazione dei cookie “sull’entità che utilizza le capacità di elaborazione e archiviazione dell’apparecchiatura terminale o raccoglie informazioni dall’apparecchiatura terminale degli utenti finali, come un fornitore di servizi della società dell’informazione o un fornitore di reti pubblicitarie. ”

I cookie sono menzionati solo una volta nel GDPR: “Le persone fisiche possono essere associate a identificatori online forniti dai loro dispositivi, applicazioni, strumenti e protocolli, come indirizzi di protocolli Internet, identificatori di cookie o altri identificatori come tag di identificazione a radiofrequenza”.

Se la proposta di regolamento ePrivacy passa – è in attesa di approvazione e in fase di negoziazione a dicembre 2021 – non entrerà in vigore per 24 mesi. Tuttavia, chiarirebbe le normative sulla conformità del consenso, la causa principale dei casi di non conformità al GDPR di Amazon e WhatsApp.

Il GDPR 2022 va avanti

Il consenso non è l’unico aspetto del GDPR di cui le aziende dovrebbero preoccuparsi. Fazlioglu ha incoraggiato le organizzazioni a concentrarsi su tutti i requisiti GDPR, nonostante le crescenti preoccupazioni relative al consenso. “Invece di fare attenzione a cose specifiche, guarda l’intero quadro, valuta i rischi e cerca di mitigare i rischi per proteggere meglio i dati dei consumatori”, ha affermato.

Andando avanti, Fazlioglu ha previsto che le tecnologie di sviluppo influenzeranno anche la conformità al GDPR. “I rischi per la privacy posti dall’intelligenza artificiale, dall’apprendimento automatico e dal riconoscimento facciale e dalla profilazione saranno al primo posto per i regolatori dell’UE”, ha affermato.

Mentre il 2021 è stato relativamente lento per le nuove normative sulla privacy dei dati, è stato esattamente l’opposto per l’applicazione, con i regolatori che applicano la legge e impongono multe a tassi più elevati che mai. In futuro, le normative sulla privacy dei dati dell’UE potrebbero subire un’altra modifica a seconda dell’esito della proposta di regolamento ePrivacy, che creerebbe ulteriori sfide per i team della privacy.

“Vedremo il panorama [della privacy dei dati] diventare più complesso, non meno”, ha affermato Fazlioglu.