Buon compleanno GDPR! Cosa è successo nel primo anno?

Un anno fa compiva il suo primo anno di vita il GDPR, ovvero il regolamento europeo per la protezione dei dati personali.

Avevamo iniziato a parlare di GDPR con l’Avv. Maglio, uno dei massimi esperti del tema, in questa intervista.

Che cosa è successo in questo primo anno di GDPR?

Molte aziende se lo domandano, e anche individualmente ci si chiede che cosa sia cambiato nel modo in cui vengono trattati i nostri dati, se effettivamente c’è stato o meno un adeguamento da parte delle imprese.

Sicuramente sappiamo che se fino a pochi giorni vi è stata una certa tolleranza verso le inadempienze delle aziende, dal 19 maggio è scaduto definitivamente il “periodo di prova” stabilito dal legislatore circa l’applicabilità delle sanzioni previste.

Purtroppo c’è da dire che questo periodo di tolleranza ha fatto scendere massivamente l’attenzione della maggior parte di aziende: l’Osservatorio Information Security & Privacy del Politecnico di Milano ha evidenziato che, ad inizio 2019, solamente il 23% delle realtà italiane si presentava pienamente in regola con la normativa.

Il 59% aveva comunque iniziato un percorso per l’adeguamento e il restante 18%, invece, sembrava non aver ancora mosso un passo verso questo importante cambiamento.

In ogni caso, ora le aziende non hanno più scusanti e rischiano pesanti sanzioni.

GDPR: il piano ispettivo del 2019

A prescindere dalla tolleranza di cui sopra, da marzo di quest’anno è iniziato in Italia un piano ispettivo curato dall’Ufficio del Garante, con l’aiuto della Guardia di finanza, che si concluderà a giugno con la fine di questo primo semestre.

Presi in esame sia gli enti della pubblica amministrazione ma anche le società di privati che raccolgono dati sensibili, come l’Istat, gli istituti bancari, le aziende che si occupano di profilazione di dati.

In questo primo periodo di ispezione, dice il Garante, ci si sta concentrando sul rispetto delle norme in materia di informativa e consenso, e sulla durata della conservazione dei dati.

L’attività ispettiva, svolta insieme al Nucleo investigativo della Guardia di Finanza, viene svolta anche a seguito di segnalazioni e reclami, prestando maggiore attenzione alle violazioni più gravi.

Una delle cose che emerge in questo primo momento di controllo, è che le aziende non sono ancora pronte a sostenere un’ispezione.

Stranamente si evince maggiormente nelle multinazionali che, seppur abbiano con largo anticipo adottato globalmente tutti gli accorgimenti, strumenti e procedure utili per adeguarsi alla normativa, non hanno voluto affrontare il grande onere di adottare una gestione localizzata nel trattamento dei dati raccolti.

Così gli incaricati del trattamento dei dati si trovano a gestire documentazioni di difficile lettura, spesso non tradotte in italiano, aggiungendo un’ulteriore complicazione dato che il Garante valuta solo documenti in lingua.

Ancora peggio quando il responsabile, ovvero il Data Privacy Officer, è di gruppo e non ha una visione locale e una conoscenza approfondita della realtà italiana.

Oltre alle multinazionali, sono impreparate anche quelle aziende che non hanno adottato delle procedure per la gestione delle indagini fiscali.

Ovviamente, entrambe le circostanze sono considerate negativamente dal Garante e rischiano di portare a delle sanzioni.

Le prime sanzioni del GDPR

Sappiamo che dal fatidico 25 maggio 2018, in Europa, sono state registrate più di 41mila violazioni della sicurezza di dati personali.

Una delle più chiacchierate è stata quella francese impartita a Google, per un valore pari a 50mila euro: il colosso statunitense è stato multato per aver violato uno dei princìpi base di questa normativa, ovvero la trasparenza, la chiarezza nelle informazioni detenute dalle imprese che utilizzano i dati personali, e le modalità attraverso cui gli utenti prestano il consenso a tale utilizzo.

Altro caso è avvenuto in Germania, dove un’azienda ha dovuto pagare 20mila euro per non aver protetto le password dei propri dipendenti in maniera adeguata; e ancora il caso austriaco di un’azienda che, a causa di telecamere messe su strada senza avere autorizzazione, si è trovata circa mila euro di sanzione.

Lo scorso dicembre in Italia, il Garante ha avviato un provvedimento sanzionatorio verso Uber che è reo – fra le molte cose – di non dare ai propri utenti un’informativa completa e di trattare i dati sensibili senza un valido consenso.

Ad oggi, però, l’unica sanzione emessa dal Garante ai sensi del Gdpr è stata contro l’Associazione Rousseau, per non aver adottato delle misure di sicurezza a seguido del data breach relativo ai siti web connessi al Movimento 5 Stelle nell’estate del 2017.

In ogni caso, nel primo anno di GDPR sono state poche le sanzioni – anche se a seguito di molte segnalazioni, a riprova di questo periodo di adeguamento (ma rimaniamo in attesa del verdetto finale preso contro Facebook nel caso Cambridge Analytica).

Tuttavia questo primo anno è passato e le cose ora devono cambiare veramente o si rischiano sanzioni importanti: ci auguriamo che le aziende italiane si dimostrino capaci di adeguarsi al GDPR in maniera consona.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
PHPSESSID	1 year	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_151576412_1	1 minute	This cookie is set by Google and is used to distinguish users.
_gat_gtag_UA_151576412_2	1 minute	This cookie is set by Google and is used to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	No description available.
_hjFirstSeen	30 minutes	This is set by Hotjar to identify a new user’s first session. It stores a true/false value, indicating whether this was the first time Hotjar saw this user. It is used by Recording filters to identify new user sessions.
_hjid	1 year	This is a Hotjar cookie that is set when the customer first lands on a page using the Hotjar script.
_hjIncludedInPageviewSample	2 minutes	No description available.
_hjTLDTest	session	No description available.
CONSENT	16 years 3 months 24 days 16 hours 1 minute	These cookies are set via embedded youtube-videos. They register anonymous statistical data on for example how many times the video is displayed and what settings are used for playback.No sensitive data is collected unless you log in to your google account, in that case your choices are linked with your account, for example if you click “like” on a video.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	These cookies are set via embedded youtube-videos.
yt-remote-device-id	never	These cookies are set via embedded youtube-videos.