GDPR privacy

Protezione dei dati e privacy a due anni dall’entrata in vigore del GDPR

Condividi

 

L’emergenza Covid ha evidenziato ancor di più l’esigenza per le aziende di proteggere in modo più sistematico e organizzato i dati trattati. L’improvviso ricorso allo smart working ha imposto un necessario aggiornamento delle misure di sicurezza informatica e delle informative  e procedure privacy, con la conseguenza che molte organizzazioni si sono scoperte impreparate ad attenersi alle direttive del regolamento europeo (GDPR). A che punto siamo e come possiamo assicurare la compliance rispetto al Regolamento sulla Protezione dei dati personali in azienda?

Il Rapporto della Commissione Europea

A poco più di due anni dalla sua piena applicazione, la Commissione europea ha pubblicato un rapporto di valutazione sul Regolamento europeo in materia di protezione dei dati personali. Il rapporto mostra come il GDPR stia raggiungendo i suoi obiettivi, garantendo ai cittadini UE dei chiari diritti con un nuovo sistema europeo di governance. Le nuove regole si sono dimostrate flessibili e utili anche nel supportare soluzioni digitali impreviste come quelle incoraggiate dall’emergenza Covid-19.

Inoltre, la Commissione evidenzia che le legislazioni nazionali si stanno effettivamente omogeneizzando, sebbene resti una certa frammentazione in alcuni ambiti (per esempio, nel bilanciamento fra libertà di espressione e protezione dati, o in materia sanitaria). Tra le aziende sta prendendo piede anche in Italia la cultura della “responsabilizzazione” e l’idea che le misure a protezione dei dati personali possano costituire anche un vantaggio competitivo.

Si sono rilevate una maggiore trasparenza e una maggiore consapevolezza dei diritti di privacy, come il diritto di accesso, rettifica, cancellazione, il diritto di opposizione e il diritto alla portabilità dei dati.  Le nuove norme sulla protezione dei dati si sono dimostrate adeguate all'era digitale: il GDPR ha promosso la partecipazione attiva e consapevole delle persone alla transizione digitale e favorisce l’innovazione su basi affidabili, con un approccio basato sia sul rischio sia su principi come la protezione dei dati in base alla progettazione e per impostazione predefinita (privacy by design e privacy by default). Le Autorità per la protezione dei dati stanno utilizzando i più forti poteri correttivi previsti dal regolamento, dagli avvertimenti e dagli ammonimenti fino alle sanzioni pecuniarie. Tuttavia, la Commissione sottolinea come esse debbano essere supportate con le giuste risorse umane, tecniche e finanziarie. Tra il 2016 e il 2019 si è registrato un aumento del 42% del personale e del 49% del bilancio per tutte le Autorità nazionali per la privacy nell’Ue, ma permangono forti differenze tra gli Stati membri.

La Commissione denuncia margini di miglioramento per quanto riguarda il sistema di governance europea della protezione dei dati, in particolare rispetto al funzionamento del meccanismo di “sportello unico”, in base al quale una società che svolge trattamenti transfrontalieri di dati ha una sola Autorità di protezione dei dati come interlocutore, vale a dire l’Autorità dello Stato membro in cui ha sede il suo stabilimento principale. Tra il 25 maggio 2018 e il 31 dicembre 2019, 141 progetti di decisione relativi a reclami transfrontalieri sono stati presentati tramite lo “sportello unico”, 79 dei quali hanno portato a decisioni definitive. Sul fronte della governance sta lavorando anche l’Edpb (il Comitato europeo per la protezione dei dati formato da rappresentanti di tutti i Garanti europei) attraverso l’elaborazione di specifiche linee-guida che affrontano anche l’interpretazione e l’attuazione di aspetti chiave del Regolamento e temi emergenti. Relativamente alla dimensione internazionale, la Commissione intende lavorare con l’Edpb alla modernizzazione di alcuni meccanismi in atto per i trasferimenti di dati personali al di fuori dell’Ue tra cui le clausole contrattuali standard, che risultano essere lo strumento più utilizzato dalle aziende per questi trasferimenti, anche alla luce degli sviluppi della giurisprudenza della Corte di giustizia. La Commissione evidenzia, infine, la necessità di proseguire nei negoziati internazionali per valutare l’adeguatezza alle norme europee dei Paesi extra-Ue e di esplorare l’impiego di strumenti come accordi internazionali di mutua assistenza per rendere più efficace l’applicazione del Regolamento.

Il rapporto elenca anche le azioni che faciliteranno ulteriormente l’applicazione del GDPR con particolare riguardo alle piccole e medie imprese, coinvolgendo i diversi stakeholder (Commissione, Stati membri, Autorità di protezione dati, soggetti pubblici e privati). La Commissione europea intende vigilare con attenzione sulla riduzione da parte dei Governi della frammentazione normativa, promuovere e sviluppare ulteriormente una cultura europea della protezione dei dati e l’applicazione rigorosa delle norme. Si richiede il supporto delle Autorità di protezione dati e una maggiore cooperazione fra le stesse, che sono invitate a fare pienamente uso degli strumenti messi a loro disposizione dal Regolamento.

GDPR: cos’è e quando è entrato in vigore?

Il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, è applicabile in tutti gli Stati membri dal 25 maggio 2018. Risponde alle sfide poste dagli sviluppi tecnologici, armonizza le normative nazionali e fornisce un quadro giuridico chiaro al trasferimento di dati personali dall’Ue verso altre parti del mondo.

Cosa è cambiato sulla protezione dei dati?

In estrema sintesi con il GDPR:

  • viene introdotto il concetto di responsabilizzazione o accountability del Titolare, che deve essere proattivo e dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento stesso, oltre che tenere in considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati, con attenzione alle vulnerabilità e alle misure tecniche e organizzative ritenute adeguate per garantire una maggiore sicurezza;
  • aumentano le sanzioni amministrative pecuniarie, fino a 20 milioni di euro o al 4% del fatturato;
  • nascono i concetti di “privacy by design” e di approccio basato sul rischio e adeguatezza delle misure di sicurezza, di valutazione d’impatto e data breach;
  • subentrano regole più rigorose per la selezione e la nomina di un responsabile del trattamento e di eventuali sub-responsabili;
  • si introduce la previsione, in alcuni casi obbligatoria, di un Responsabile della protezione dei dati (Rpd / Dpo);
  • si introducono regole più chiare su informativa e consenso, con gestione dello stesso;
  • viene ampliata la categoria dei diritti che spettano all’interessato;
  • si stabiliscono criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue.

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato UE. Tutte le aziende, ovunque stabilite, devono quindi rispettare le nuove regole, con più responsabilità e sanzioni in caso di inosservanza.

Quanto costa il GDPR all’impresa

Le ultime stime dei costi di adeguamento al GDPR parlano di cifre attorno ai 200 milioni di euro per le aziende italiane, secondo Idc, anche se Confesercenti è arrivata a stimare 2 miliardi di euro. Il Garante Privacy in Italia ha già sanzionato un’azienda pubblica per 11 milioni e 500 mila euro, una privata per telemarketing illegittimo per 27 milioni e 800 mila euro, rispettivamente a gennaio e febbraio 2020, e altre due a luglio per 17,8 milioni di euro. Per le aspre sanzioni, conviene spesso affidarsi ad una consulenza specifica sui rischi privacy e di compliance al GDPR, che può analizzare lo stato di sicurezza dei dati in azienda e definire le giuste misure di protezione.

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI