Il GDPR sta per entrare in vigore dal 25 maggio, ma nessuno sembra essere pronto. Nemmeno le autorità che dovranno far rispettare le regole.

Il nuovo regolamento europeo per la protezione dei dati personali ha cambiato le regole, ma le aziende non sono del tutto pronte. Secondo però un’indagine di Reuters, non lo sarebbero nemmeno gli enti incaricati di vigilare sull’applicazione delle norme che hanno budget e personale insufficienti.

Antonello Soro, presidente dell’Autorità garante per la protezione dei dati personali aveva già evidenziato l’inadeguatezza della sua struttura, troppo piccola per reggere alle responsabilità imposte dal regolamento. Il tutto pur essendo favorevole al GDPR. Per il 2018, l’Autorità possiede un budget di 25 milioni di euro, esiguo, così come esiguo è lo staff, composta da 122 persone. Secondo Soro servirebbero almeno 50 milioni di euro e 300 persone nello staff.

L’Italia non è però l’unico Paese in difficoltà: Reuters ha inviato infatti un questionario con quattro domande ai Garanti per la protezione dei dati personali dei Paesi Europei, chiedendo se fossero pronti o meno all’arrivo delle nuove regole. Su 24 che hanno risposto, in 17 hanno affermato di non essere preparati, sottolineando mancanza di fondi e personale. In 11 si aspettano di reperirli in futuro, ma non certamente entro il 25 maggio.

Isabelle Falque-Pierrotin, presidente della francese Commission nationale de l’informatique et des libertés (Cnil) ha dichiarato in risposta al questionario “di non avere risorse sufficienti per far fronte alle nuove responsabilità” che arriveranno con il Gdpr. Falque-Pierrotin e i suoi colleghi non hanno però spiegato quali sarebbero i compiti delle autorità che potranno essere influenzati negativamente dalla mancanza di staff e budget.

La negatività di tutto ciò è che i Garanti dovranno indicare delle priorità e sceglierle non sarà semplice. Senza budget a sufficienza e staff necessario, alcune operazioni dovranno per forza essere sacrificate. Ciò significa, come ha evidenziato il capo dell’Estonian Data Protection Inspectorate Viljar Peep, che la qualità dell’applicazione del GDPR dipenderà dalla “cultura amministrativa” dei funzionari e dei diversi Paesi, generando profonde discrepanze tra realtà differenti.

Se ovviamente il problema è di molti, Bruxelles tuttavia monitorerà alcune realtà in particolare. Tra le autorità che hanno scelto di non rispondere al questionario Reuters c’è infatti Dublino con la sua irlandese Dpc, forse tra tutte la più esposta e vulnerabile. Non dimentichiamo infatti che da Dublino passano i dati di Google, Apple e Facebook, i grandi dei big data dell’Internet.

Nonostante i fondi ottenuti da Dublino siano aumentati a 11 milioni di euro, sembra comunque che l’autorità irlandese incontrerà non poche difficoltà con l’entrata in vigore delle nuove norme, visti i giganti da controllare e senza dimenticare che Dublino si è schierata accanto alle compagnie della Silicon Valley, nella lotta tra società tecnologiche ed Europa sull’elusione fiscale.