GDPR privacy

GDPR, finito il periodo di tolleranza: già 56 mln di euro di sanzioni

Sono iniziate le ispezioni del Garante per la Privacy italiano, che costeranno sanzioni alle aziende non in regola con il Regolamento Europeo per la protezione dei dati personali. Vediamo come verificare la compliance alle nuove disposizioni e come mantenerla nel tempo.

 

Dall'entrata in vigore del Regolamento Europeo 2016/679 sulla protezione dei dati (General Data Protection Regulation - GDPR) le aziende avrebbero dovuto iniziare un percorso per valutare la propria conformità alla normativa ed adeguarsi alla stessa. In realtà però molte organizzazioni non sono ancora conformi e quindi sono a oggi esposte a potenziali sanzioni.

Le sanzioni da fine maggio

Il periodo di tolleranza previsto per le sanzioni che il Garante può infliggere per la mancata conformità al nuovo Regolamento sulla privacy è finito lo scorso 19 maggio 2019, di conseguenza sono iniziate le ispezioni del Garante in collaborazione con la Guardia di Finanza.

Secondo i dati pubblicati dall’Autorità Garante nel bilancio relativo al primo anno dall’entrata in vigore del GDPR, al 31 marzo 2019 sono stati registrati già 7.219 reclami e ben 946 notifiche di data breach. A questi numeri si aggiungono quasi 10.000 contatti con l’Ufficio relazioni del Garante e 50.000 comunicazioni dei dati di contatto dei Responsabili Protezione Dati.

Le sanzioni emesse valgono già 56 mln di euro e l'Italia è al quinto posto della classifica. Secondo le previsioni, con l’inizio delle ispezioni, nei prossimi mesi le sanzioni aumenteranno significativamente.

Un numero elevato di procedimenti regolati dalla precedente normativa si sono inoltre chiusi negli ultimi mesi.

Step per adeguarsi al nuovo Regolamento sulla Privacy

Il primo passo del percorso di adeguamento consiste in una valutazione dei processi aziendali per quanto riguarda il livello di conformità alla normativa vigente. Si cerca di analizzare inoltre la documentazione esistente e capire dove intervenire per aggiornarla.

L’analisi si concentra poi su procedure, flussi di trattamento, accessi ai dati, modalità di effettuazione del trattamento e tipologia dei dati, senza dimenticare la necessaria formazione per tutti i soggetti coinvolti nel trattamento.

Attenzione deve essere posta anche sulle modalità di gestione del sistema informatico, per assicurare che sia conforme alle nuove disposizioni e che i dati inseriti siano sufficientemente protetti dai rischi informatici e telematici.

Una volta individuate le criticità nel sistema organizzativo aziendale e messe in atto le procedure necessarie alla sicurezza dei dati e del loro trattamento, è fondamentale prevedere una verifica almeno annuale sullo stato di protezione e sull'effettiva esecuzione delle misure prescritte.

Trattandosi di una normativa relativamente giovane, i singoli stati potrebbero facilmente introdurre novità capaci di andare a modificare il lavoro svolto.

Per questi motivi, si consiglia una sistematica verifica della propria compliance, ovvero dell’aderenza dei processi, dei sistemi e delle procedure alla normativa, indipendentemente dall’avere incaricato un DPO esterno.

GDPR a oltre un anno dall’entrata in vigore

Stando a una ricerca pubblicata a febbraio 2019 dall’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano solo il 23% delle imprese italiane si è adeguata al GDPR, mentre il 59% ha ancora progetti in corso. Sono aumentate le risorse stanziate per adeguarsi al GDPR: l’88% delle aziende prevedono un budget dedicato, trenta punti in più rispetto al 2017.

La sicurezza dei dati non riguarda solo le imprese: stando a uno studio Federprivacy, molti siti istituzionali presentano una informativa privacy non ancora aggiornata, il 47% dei siti web dei comuni italiani utilizza protocolli non sicuri e il 36% non rende noti i recapiti per contattare il DPO, figura obbligatoria per la Pubblica Amministrazione.

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI