ll 25 maggio 2019 il GDPR compie tre anni. Entrato in vigore il 25 maggio del 2016, è stato attuato in tutta Europa a partire dal 25 maggio 2018.
Inoltre, il 19 maggio è ufficialmente scaduto il periodo transitorio concesso dal Garante della privacy alle aziende italiane per adeguarsi al GDPR, così come decretato dall’art. 22, comma 13 del D.Lgs. 101/2018 dove si legge:
“per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.
Il termine ultimo di questa “moratoria” sulle sanzioni era il 19 maggio. Dopo questa data nessuna ulteriore giustificazione può salvare le aziende da una qualsiasi sanzione imposta dal Garante, che ricordiamo possono essere piuttosto salate, da un 2% a un 4% del fatturato internazionale a seconda dell’illecito, senza contare i possibili risvolti penali e i poteri correttivi.
Dal 19 maggio 2019, quindi, non è auspicabile in termini di quantificazione della sanzione amministrativa irrogabile, pertanto eventuali inottemperanze non potranno più trovare un occhio di riguardo circa la relativa considerazione, in ragione del fatto che i destinatari delle disposizioni del GDPR non solo hanno avuto ben due anni per procedere alla implementazione delle misure tecniche e organizzative adottate, ma anche ulteriori otto mesi successivi all’entrata in vigore del decreto di adeguamento.
Qualcosa si muove, ma non è abbastanza
In questi ultimi tre anni, termini come “privacy” e “data protection” (o “protezione dati” per dirla all’italiana) sono diventati sempre più comuni, e insieme al loro utilizzo è cresciuta la consapevolezza sul tema da parte di privati e aziende.
Tuttavia, l’adeguamento al GDPR viene ancora visto prevalentemente come un noioso adempimento per soddisfare un obbligo di legge, anziché essere valorizzato come quello che in realtà è: un’evoluzione organizzativa.
Lo stesso Pizzetti, ex presidente del Garante della privacy, sottolinea: “Il regolamento è stato vissuto prima con preoccupazione poi come mero obbligo cui adempiere al minor costo possibile”.
Pizzetti ha definito controproducente lo stesso periodo di moratoria concesso alle aziende fino al 19 maggio, affermando che:
“la reazione è stata quella di pensare fino ora non ci sanzionano quindi facciamo il minimo in dispensabile. Ma questo significa aver perso un anno, perché la regolamentazione serve allo sviluppo economico del Paese e bisogna attuarla in modo intelligente. Pensare al GDPR solo come una cosa burocratica significa aver fatto male a sé stessi. Ora ci si aspetta che le società italiane ed europee capiscano e accettino la sfida dell’economia digitale, altrimenti l’Europa non può che perdere competitività”.
Le parole di Pizzetti trovano conferma nello studio “Data Privacy Benchmark 2019”, promosso da Cisco, leader mondiale nella produzione di infrastrutture informatiche, nel quale la stessa azienda mette in luce i benefici ricevuti dalle organizzazioni che hanno investito nella salvaguardia della privacy e delle informazioni.
Secondo il report, le aziende che hanno investito nella riservatezza dei dati per soddisfare i requisiti del GDPR hanno subito minori ritardi nelle vendite ai clienti esistenti o nell’erogazione di servizi: 3,4 settimane rispetto a 5,4 settimane per le aziende meno pronte in ottica GDPR.
Le aziende pronte per il GDPR hanno indicato una minor incidenza delle violazioni dei dati, un minor numero di record coinvolti in incidenti legati alla sicurezza e tempi inferiori di inattività del sistema.
La probabilità di subire una perdita finanziaria significativa a causa di una violazione dei dati è stata molto inferiore.
Il 75% degli intervistati ha dichiarato di aver ottenuto vari benefici dagli investimenti fatti nella salvaguardia della privacy, che includono maggiore agilità e innovazione derivanti da un adeguato controlli dei dati, nonché vantaggio competitivo e maggiore efficienza operativa grazie a una pronta organizzazione e classificazione dei dati.
In Italia, meglio correre ai ripari!
La Commissione europea ha pubblicato, in occasione del compleanno del GDPR, una statistica relativa alla consapevolezza, Paese per Paese, riguardo l’esistenza del Regolamento europeo.
Il 90% dei cittadini svedesi dichiara di essere informato sulla normativa, segue l’Olanda con l’87% e la Polonia con l’86%, a fronte di una media del 57% di europei coscienti che il proprio Stato abbia un’autorità che si occupa della protezione dei dati personali. Dato molto positivo, considerando che tale percentuale media si è alzata di ben 20 punti percentuali rispetto al precedente sondaggio del 2015.
Purtroppo l’Italia non fa una bella figura e si aggiudica il penultimo posto in questa statistica con il 49% dei cittadini informati sul regolamento, seguita solo dalla Francia con il 44%.
Un’indagine dell’Osservatorio Information Security & Privacy ha evidenziato che il livello di adeguamento delle imprese italiane ai requisiti imposti dal GDPR rispecchia la scarsa attenzione dedicata alla materia dimostrata dai concittadini.
Dallo studio emerge che il 59% delle organizzazioni si è interessato per adottare politiche aziendali conformi al nuovo regolamento europeo ma solo il 23% ha effettivamente completato un percorso di adeguamento.
Come possiamo adeguarci al GDPR?
Ecol Studio, avvalendosi dei suoi consulenti specializzati in materia di privacy e data protection, ha già salvato numerosi partner dalle incombenti sanzioni, ottimizzando l’organizzazione aziendale in un’ottica di rispetto dei dati personali orientato all’efficienza di tutti i processi aziendali.
Per tutte le aziende lungimiranti, dalla mentalità aperta, che condividono i nostri valori e credono in un futuro migliore, Ecol Studio propone un percorso di adeguamento al GDPR che va oltre all’ottuso limite dell’adempimento burocratico, focalizzando l’attenzione su come l’azienda possa migliorare i propri asset grazie al Regolamento europeo.
Tutto questo può essere raggiunto seguendo, insieme ai nostri consulenti, dei semplici passi che renderanno tutto il processo facile e intuitivo, migliorando la vostra produttività ed evitando inutili perdite di tempo.
Il percorso prevede:
- il censimento di tutti i trattamenti effettuati in azienda e la creazione del loro registro come disciplinato dall’art. 30 del Regolamento, un documento volto a tenere traccia di tutte le operazioni di trattamento effettuate;
- l’individuazione dei ruoli e delle responsabilità di tutti i soggetti coinvolti nei trattamenti, interni ed esterni all’azienda: tassativamente necessario, sulla base della nuova normativa, individuare e contrattualizzare tutti i responsabili del trattamento interni ed esterni, oltre a formare ed informare tutti gli autorizzati;
- la definizione delle politiche di sicurezza e valutazione dei rischi: tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento, nonché dei diversi rischi per i diritti e le libertà delle persone fisiche, ogni titolare deve mettere in atto misure tecniche e organizzative adeguate al fine di garantire la conformità del trattamento stesso al Regolamento;
- l’implementazione di un processo di gestione delle violazioni (data breach): con il termine “data breach” si intende il complesso di azioni che deve svolgere il titolare del trattamento in caso di distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trattati. Pertanto, ai sensi dell’art. 33 del Regolamento, se si verificano violazioni di dati personali il titolare ne deve dare comunicazione all’Autorità di Controllo (entro 72 ore dall’avvenuta conoscenza della violazione) e, nei casi più gravi, anche agli interessati;
- l’implementazione di un processo di valutazione d’impatto sulla protezione dei dati personali: quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, il GDPR obbliga i titolari a svolgere una valutazione di impatto (Data Protection Impact Assessment – DPIA) prima di dare inizio al trattamento stesso;
- l’implementazione dei processi per l’esercizio dei diritti dell’interessato: il GDPR ha ampliato il novero dei diritti concessi agli interessati, in particolare introducendo in modo puntuale il diritto alla portabilità dei dati e il diritto all’oblio;
- la valutazione della necessità e l’eventuale nomina di un Data Protection Officer (DPO): il GDPR prevede la nuova figura del Data Protection Officer, la cui nomina è obbligatoria in una serie di ipotesi previste dall’art. 37 del Regolamento.
- la stesura e modifica della modulistica necessaria ai nuovi asset aziendali costruiti insieme nel rispetto della protezione dei dati personali: informative per i dipendenti, per clienti e fornitori, privacy policy del sito internet, modulistica di raccolta del consenso per le finalità che lo richiedono, e quanto risulti necessario dalle singole realtà affrontate;
- infine, una volta creato un sistema GDPR compliant, formiamo tutti i dipendenti e i collaboratori che nell’esercizio della loro attività trattano dati personali per conto dell’azienda, spiegando l’importanza della normativa e quali sono i principi che da oggi dovranno rispettare. In modo da soddisfare l’obbligo di formazione del personale incaricato ai sensi degli artt. 29 e 32 del GDPR.
Contatta i nostri esperti per un consulto senza impegni. Insieme, troverete la soluzione ideale per mettere al sicuro i tuoi dati e quelli dei tuoi clienti!
Scrivi a privacy@ecolstudio.com o contattaci allo 0583.40011.
Per conoscere meglio che cosa possiamo fare per te, visita la pagina dedicata sul nostro sito web.
