Ha appena compiuto il suo primo anno di vita il Regolamento Generale sulla Protezione dei Dati (Gdpr), ma com’è stata recepita questa vera e propria rivoluzione nel campo della privacy? Che cosa abbiamo appreso nel corso dell’ultimo anno? Le imprese hanno veramente acquisito piena padronanza dei requisiti di conformità per la raccolta e l’elaborazione dei dati? Quanto sono state severe le autorità di controllo dei Paesi UE nell’applicazione delle sanzioni previste? E, infine, come ha influito il Gdpr su altre normative nazionali in materia di protezione dei dati?
Gdpr, attenzione prima di tutto
Una cosa di cui possiamo certificare l’importanza è la necessità di prestare la massima attenzione per essere conformi alla normativa Gdpr. Questo ha sicuramente comportato sostenere una serie di sfide molto impegnative sia per la Pubblica amministrazione sia per il settore privato delle aziende.
La prima è stata sicuramente strategica. Il Gdpr ha mediamente richiesto un grande impegno di risorse sia in termini di personale sia in termini di finanze.
Stando a quanto riportato da uno studio di settore, la difficoltà nel trovare le persone con le giuste competenze per svolgere i compiti richiesti per assicurarsi della compliance aziendale è stata maggiore del previsto. Motivo per cui i professionisti della privacy hanno visto una netta impennata nel valore del loro profilo.
Ma a causare grattacapi alle aziende non è stata unicamente la difficoltà nel reperire le giuste competenze per affrontare il day 1, quanto più la capacità di mantenere la compliance sugli standard fissati durante il primo intervento.
Infatti sin da quando, all’inizio delle prime conversazioni sugli impatti del Gdpr, è stata “agitata” la minaccia di pesanti multe e sanzioni, questo ha comprensibilmente catturato l’attenzione dei vari Consigli di Amministrazione. Scemato il primo periodo di panico causato dalla normativa, però, è tornato a galla il rischio di scivolare al di fuori dei confini della legge.
Gdpr, cresce l’attenzione delle autorità
Se da parte delle aziende c’è stato un picco d’attenzione iniziale che poi è andato a scemare da parte delle autorità, nei primi mesi dopo l’entrata in funzione del Gdpr, c’è stata l’equazione inversa.
Le autorità di controllo europee infatti hanno inizialmente avviato indagini esplorative, offrendo principalmente raccomandazioni e orientamenti alle imprese inadempienti e alla comunità imprenditoriale in generale.
In effetti, le autorità hanno lasciato un po’ di margine di manovra e l’opportunità per le organizzazioni di mettere (rapidamente) in ordine i propri sistemi. Oggi questa fase è terminata e stanno aumentando esponenzialmente i casi di applicazione delle norme e, conseguentemente, l’aumento delle sanzioni.
Per questo motivo negli ultimi mesi abbiamo assistito a numerosi esempi di applicazione delle norme in diversi paesi e settori, comprese le ammende di alto profilo, come quella inflitta alla catena di Hotel Marriott, già vittima del più grande data breach del settore hospitality.
Non sono mancati neppure esempi di profilo più basso, per esempio, in Polonia una piccola azienda di servizi ha ricevuto un’ammenda di oltre 200mila euro per non aver informato i propri clienti e utenti che i loro dati personali sarebbero stati trattati.
Gdpr, la situazione a “casa”
In totale, a oggi (Giugno 2019, Ndr), sono state comminate in tutta Europa multe per oltre 56 milioni di euro. La classifica dei Paesi con più infrazioni è guidata dalla Francia, seguita da Portogallo e Polonia. L’Italia, in questa particolare graduatoria si è piazzata al quinto posto.
Nel Bel Paese l’ammontare delle sanzioni (dato relativo al 2018) è stato pari a 8,1 milioni di euro, suddiviso in 707 violazioni amministrative contestate dal Garante per la Privacy, per lo più concernenti il trattamento illecito di dati, la mancata adozione di misure di sicurezza, il telemarketing, le violazioni di banche dati, l’omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali.
Sempre secondo i dati diffusi, sono stati 517 i provvedimenti collegiali emanati dal Garante, che ha inoltre fornito riscontro a oltre 5mila tra quesiti, reclami e segnalazioni in un gran numero di settori: credito al consumo, videosorveglianza, concessionari di pubblico servizio, recupero crediti, settore bancario e finanziario, assicurazioni, lavoro, enti locali, sanità e servizi di assistenza sociale e marketing telefonico e cartaceo.
Sul versante ricorsi questi sono stati oltre 120 e hanno riguardato soprattutto editori, datori di lavoro pubblici e privati, banche e società finanziarie, concessionari di pubblici servizi, fornitori telefonici e telematici.
Gdpr, non solo una questione di reputazione
Le sanzioni comminate sono sicuramente un punto dolente sia dal punto finanziario sia dal punto di vista dell’immagine e della percezione che ha il pubblico dell’azienda colpevole. Ma queste possono avere ripercussioni ben più gravi. In alcuni casi infatti (ex Articolo 58) le autorità di controllo possono imporre una sospensione temporanea, o anche indefinita, del trattamento dei dati all’azienda colpevole.
Due casi di questo genere ci arrivano da Malta e Paesi Bassi. Nel primo caso l’equivalente maltese del Garante per la privacy ha imposto una sanzione temporanea al registro fondiario nazionale, reo di aver violato il Gdpr durante la gestione dei dati, nel secondo, in Olanda l’autorità preposta alla protezione dei dati ha vietato al Fisco di utilizzare il numero di identificazione nazionale come parte del numero di dichiarazione Iva per i lavoratori autonomi. Questo perché l’uso del numero di identificazione nazionale a tal fine non ha alcun fondamento giuridico e aumenta il rischio di frode sull’identità.
Gdpr, prospettive fuori dall’UE
Anche i Paesi europei che non fanno parte dalla UE come Svizzera, Norvegia, Islanda e Liechtenstein hanno allineato le proprie normative per ricalcare quasi totalmente il Gdpr. Stesso discorso in numerosi stati dell’Africa e del Sud-Est asiatico, dove stiamo assistendo a un aumento delle leggi sulla protezione dei dati, in particolare quelli in che vogliono continuare a mantenere inalterato il volume di affari correnti con l’Europa.
Sempre su questa falsariga il progetto messo in campo dal parlamento indiano che sta attualmente discutendo la legislazione sulla protezione dei dati che riflette aspetti della Gdpr, mentre la Corea del Sud sta aggiornando le proprie normative con la speranza di raggiungere l’adeguatezza nel prossimo anno. Potenzialmente, le attuali molteplici leggi sulla privacy dei dati del paese potrebbero essere combinate in un’unica legge che può essere considerata essenzialmente equivalente al Gdpr.
In California, il California Consumer Privacy Act (Ccpa) entrerà in vigore il 1 gennaio 2020. Questa legislazione si ispira in parte al Gdpr, ma non è identica, visto che copre maggiormente i diritti degli interessati, ma nessuno degli altri obblighi di responsabilità inclusi nella sua controparte europea.
Anche in Sud America la normativa ha avuto un forte riscontro. Il prossimo 15 agosto 2020, infatti, sarà il turno della Lgpd, la prima legge brasiliana dedicata alla privacy che come il Gdpr si appresta ad essere la legge contenitore di tutti i principi della Data Protection.
Tirando un po’ le somme possiamo rilevare come l’aspetto più comune del Gdpr che viene replicato a livello globale è l’orientamento sui diritti degli interessati, sulle violazioni dei dati e sui requisiti di responsabilità. Sempre più Paesi stanno attuando regolamenti per aiutare lo scambio internazionale di dati e ci aspettiamo di vedere un maggior numero di casi di legislazione che incorporano elementi del Gdpr nei prossimi anni.
Gdpr, mantenere gli standard
In futuro, sarà fondamentale che le imprese si tengano aggiornate con gli orientamenti delle autorità di regolamentazione e le decisioni di applicazione delle rispettive autorità nazionali per sapere quando i processi interni potrebbero richiedere un aggiornamento. Per fare questo, fortunatamente, esistono numerose soluzioni, tra cui spiccano i servizi di Gdpr assessment.
Questo servizio corrisponde ad una valutazione completa ed approfondita in termini di compliance con la normativa europea. Come abbiamo detto in precedenza una delle necessità emergenti per le aziende è quella non solo di assicurarsi la compliance, ma anche di mantenerla nel lungo periodo.
A tal fine, una periodica valutazione del proprio livello di compliance risulta essenziale. Il Gdpr assessment, oltre che a fornire un’indicazione del proprio status in termini legislativi, offre uno spaccato dettagliato delle focus area dove concentrare i propri sforzi di compliance, decisivo per impostare le corrette best practice.
Un assessment Gdpr omnicomprensivo deve essere in grado di fornire indicatori precisi e puntuali circa le molteplici aree tematiche toccate dalla normativa, quali:
- Trattamento dei dati: quanto risulta compliant l’azienda in termini di trattamento dei dati? Le operazioni di trattamento vengono svolte seguendo i principi corretti dettati dalla normativa? Sono state implementate le misure adeguate circa le attività di trattamento? Un Gdpr assessment completo permette di avere una mappatura efficace delle vulnerabilità relative a trattamenti e finalità;
- Gestione dei dati: questo indicatore fornisce un’indicazione molto preziosa circa le metodologie di gestione dei dati. Chi ha accesso ai dati e chi è predisposto alla gestione degli stessi? I dati, durante la fase di trattamento, sono soggetti a trasferimento?
- Informativa: l’assessment Gdpr è uno strumento essenziale. Con la nuova normativa europea, è necessario per le imprese avere le informative aggiornate e in linea con i dettami del Gdpr.
A un anno dall’entrata in vigore del Gdpr possiamo constatare come per alcuni sia ancora una nota dolente, ma questo regolamento è qui per restare.
La compliance non è opinabile e spetta a noi adeguarci a questo standard; gli strumenti ci sono, le competenze anche.
© RIPRODUZIONE RISERVATA