Buon compleanno gdpr

Buon compleanno GDPR!

Un anno fa compiva il suo primo anno di vita il GDPR, ovvero il regolamento europeo per la protezione dei dati personali.

 

Avevamo iniziato a parlare di GDPR con l’Avv. Maglio, uno dei massimi esperti del tema, in questa intervista.

 

Che cosa è successo in questo primo anno di GDPR?

Molte aziende se lo domandano, e anche individualmente ci si chiede che cosa sia cambiato nel modo in cui vengono trattati i nostri dati, se effettivamente c’è stato o meno un adeguamento da parte delle imprese.

 

Sicuramente sappiamo che se fino a pochi giorni vi è stata una certa tolleranza verso le inadempienze delle aziende, dal 19 maggio è scaduto definitivamente il “periodo di prova” stabilito dal legislatore circa l’applicabilità delle sanzioni previste.

 

Purtroppo c’è da dire che questo periodo di tolleranza ha fatto scendere massivamente l’attenzione della maggior parte di aziende: l’Osservatorio Information Security & Privacy del Politecnico di Milano ha evidenziato che, ad inizio 2019, solamente il 23% delle realtà italiane si presentava pienamente in regola con la normativa.

 

Il 59% aveva comunque iniziato un percorso per l’adeguamento e il restante 18%, invece, sembrava non aver ancora mosso un passo verso questo importante cambiamento.

 

In ogni caso, ora le aziende non hanno più scusanti e rischiano pesanti sanzioni.

 

GDPR: il piano ispettivo del 2019

 

A prescindere dalla tolleranza di cui sopra, da marzo di quest’anno è iniziato in Italia un piano ispettivo curato dall’Ufficio del Garante, con l’aiuto della Guardia di finanza, che si concluderà a giugno con la fine di questo primo semestre.

 

Presi in esame sia gli enti della pubblica amministrazione ma anche le società di privati che raccolgono dati sensibili, come l’Istat, gli istituti bancari, le aziende che si occupano di profilazione di dati.

 

In questo primo periodo di ispezione, dice il Garante, ci si sta concentrando sul rispetto delle norme in materia di informativa e consenso, e sulla durata della conservazione dei dati.

 

L’attività ispettiva, svolta insieme al Nucleo investigativo della Guardia di Finanza, viene svolta anche a seguito di segnalazioni e reclami, prestando maggiore attenzione alle violazioni più gravi.

 

Una delle cose che emerge in questo primo momento di controllo, è che le aziende non sono ancora pronte a sostenere un’ispezione.

 

Stranamente si evince maggiormente nelle multinazionali che, seppur abbiano con largo anticipo adottato globalmente tutti gli accorgimenti, strumenti e procedure utili per adeguarsi alla normativa, non hanno voluto affrontare il grande onere di adottare una gestione localizzata nel trattamento dei dati raccolti.

 

Così gli incaricati del trattamento dei dati si trovano a gestire documentazioni di difficile lettura, spesso non tradotte in italiano, aggiungendo un’ulteriore complicazione dato che il Garante valuta solo documenti in lingua.

 

Ancora peggio quando il responsabile, ovvero il Data Privacy Officer, è di gruppo e non ha una visione locale e una conoscenza approfondita della realtà italiana.

 

Oltre alle multinazionali, sono impreparate anche quelle aziende che non hanno adottato delle procedure per la gestione delle indagini fiscali.

 

Ovviamente, entrambe le circostanze sono considerate negativamente dal Garante e rischiano di portare a delle sanzioni.

 

 

Le prime sanzioni del GDPR

 

Sappiamo che dal fatidico 25 maggio 2018, in Europa, sono state registrate più di 41mila violazioni della sicurezza di dati personali.

 

Una delle più chiacchierate è stata quella francese impartita a Google, per un valore pari a 50mila euro: il colosso statunitense è stato multato per aver violato uno dei princìpi base di questa normativa, ovvero la trasparenza, la chiarezza nelle informazioni detenute dalle imprese che utilizzano i dati personali, e le modalità attraverso cui gli utenti prestano il consenso a tale utilizzo.

 

Altro caso è avvenuto in Germania, dove un’azienda ha dovuto pagare 20mila euro per non aver protetto le password dei propri dipendenti in maniera adeguata; e ancora il caso austriaco di un’azienda che, a causa di telecamere messe su strada senza avere autorizzazione, si è trovata circa mila euro di sanzione.

 

Lo scorso dicembre in Italia, il Garante ha avviato un provvedimento sanzionatorio verso Uber che è reo – fra le molte cose – di non dare ai propri utenti un’informativa completa e di trattare i dati sensibili senza un valido consenso.

 

Ad oggi, però, l’unica sanzione emessa dal Garante ai sensi del Gdpr è stata contro l’Associazione Rousseau,  per non aver adottato delle misure di sicurezza a seguido del data breach relativo ai siti web connessi al Movimento 5 Stelle nell’estate del 2017.

 

In ogni caso, nel primo anno di GDPR sono state poche le sanzioni – anche se a seguito di molte segnalazioni, a riprova di questo periodo di adeguamento (ma rimaniamo in attesa del verdetto finale preso contro Facebook nel caso Cambridge Analytica).

 

Tuttavia questo primo anno è passato e le cose ora devono cambiare veramente o si rischiano sanzioni importanti:  ci auguriamo che le aziende italiane si dimostrino capaci di adeguarsi al GDPR in maniera consona.

Tags:


Privacy Preference Center

Close your account?

Your account will be closed and all data will be permanently deleted and cannot be recovered. Are you sure?