Compliance GDPR: a che punto siamo?
Il Regolamento europeo in materia di protezione dei dati personali entrerà direttamente in vigore il prossimo 25 maggio. Pur essendo auspicabile un adattamento delle normative nazionali, si attende ancora il parere delle commissioni competenti del Parlamento rispetto allo schema di decreto varato lo scorso 21 marzo, che dovrebbe aggiornare la normativa italiana sulla privacy. Il rischio è che la tematica non sia considerata prioritaria, anche se la quasi totalità delle aziende italiane raccoglie e utilizza dati personali e attende quindi regole attuative.
La consapevolezza della necessità di proteggere i dati personali e di migliorare la sicurezza informatica in azienda sta infatti crescendo. Secondo l’Osservatorio Information Security & Privacy del Politecnico di Milano, solo l’8% delle imprese continua ad avere una scarsa conoscenza delle implicazioni (un anno fa si trattava del 23%) e il numero di aziende in cui è già in corso un progetto strutturato di adeguamento al GDPR cresce dal 9% del 2016 al 51%. I dati, inoltre, stanno acquisendo un’importanza sempre maggiore nell’economia globale e la loro protezione dovrebbe cominciare ad essere vista più come un’opportunità di sviluppo che come un semplice adempimento.
Per ridurre il rischio compliance relativo al nuovo Regolamento e il rischio di violazione dei dati tramite attacchi informatici, le aziende devono dotarsi di un sistema di adeguamento dei processi interni aziendali e aver implementato un efficace sistema di protezione dei sistemi informativi e gestione del rischio informatico.
Occorre prima di tutto creare un’informativa dettagliata da sottoporre ai soggetti interessati, per informarli su modalità e finalità del trattamento di dati. E’ richiesto inoltre di tenere aggiornato un registro del trattamento dei dati e di prevedere la supervisione di un addetto alla sicurezza dei dati personali, il Data Protection Officer (DPO). Per evitare sanzioni è necessario un ampio processo di adeguamento che tocca l’azienda su più livelli.
Violazione dei dati personali: le sanzioni previste
Il Regolamento europeo sulla privacy non appare preciso per quanto riguarda le sanzioni. Le organizza in due gruppi relativi a:
- violazione degli adempimenti e degli obblighi, con una sanzione massima di 10 milioni di euro (o in alternativa il 2% del fatturato totale mondiale annuo);
- violazione di principi e diritti, con sanzioni fino ai 20 milioni di euro (o il 4% del fatturato totale mondiale annuo).
Italia Oggi, 16 aprile 2018, pagina 2 Manca sia un’indicazione di sanzioni minime che una graduazione di quelle massime, lacune che potrebbero rendere la violazione del regolamento molto più pesante da sopportare per le medie e piccole imprese italiane, rispetto, ad esempio, alle multinazionali del web che si trovano a trattare dati personali in quantità molto maggiori. La norma prevede infatti la sanzione massima per molte violazioni, senza distinguere tra violazioni formali o sostanziali, gravi o lievi. Ne risulta un regime sanzionatorio che non conosce violazioni di lieve entità e delega la differenziazione tra i vari casi alle singole decisioni dell’Autorità garante. Seppure il regolamento preveda la possibilità per il legislatore nazionale di agevolare le piccole e medie imprese, è più probabile che rimanga un’incertezza sulle misure da intraprendere per l’adeguamento e che la compliance al GDPR continui a pesare in termini di costi sul tessuto imprenditoriale italiano, che dovrà essere in grado di ottimizzare le spese affidandosi a consulenze specializzate.
Rivolgersi ad un unico interlocutore per tutte le questioni coinvolte a livello giuridico, organizzativo, tecnologico e assicurativo può ridurre i tempi e ottimizzare i costi, assicurando il completo rispetto delle normative vigenti.