GDPR – Rischi per la violazione della privacy

Le aziende Italiane investono ancora poco nella privacy policy e i numeri delle notifiche dei data branch sono 3460 contro le 77mila della Germania, un numero preoccupante.

Ormai sono passati 3 anni dall’entrata in vigore del regolamento GDPR, ma la “l’arrivo” sembra essere ancora distante da quelli che sono gli standard Europei. Lo studio legale internazionale Dla Piper in collaborazione con l’Italian Privacy Think Tank, hanno condotto un’analisi sulla conformità del regolamento in Italia e i risultati sembrano essere chiari e prevedibili; le aziende Italiane sono le più sanzionate in assoluto per la violazione delle disposizioni del Regolamento generale europeo per la protezione dei dati. Il sondaggio è stato portato a termine grazie al contributo di esperti di privacy di 75 società provenienti dai principali settori dell’economia Italiana, 24% (media, tecnologia, telecomunicazioni) 23% (vendita al dettaglio) 16% (mercato bancario) 9% (assicurativo) 11% (life sciences and wallness).

Il covid-19 ha provocato una corsa alla digitalizzazione in cui le aziende stanno cercando di uscire dalla crisi provocata dalla pandemia, puntando il massimo degli sforzi sulla valorizzazione dei dati, un valore che sembra ormai inestimabile. Bisogna però considerare i rischi oltre che alle opportunità, perché se si utilizzano i dati in modo scorretto si possono rischiare gravi conseguenze in caso di contestazione sia per la reputazione aziendale che in termini economici. La GDPR compliance non dove più essere vista come un costo, ma come un investimento di una scelta strategica per il futuro dell’azienda.

Il tracciamento sul web

Le aziende di marketing intervistate che tendono ad usare forme di profilazione poco invadenti sono appena il 18%, ovvero quelle che richiedono l’utilizzo dei dati per “legittimo interesse” per consentire di usarli per la pubblicità diretta e per tutale l’azienda dai rischi di frode. Il 64% richiede due consensi separati per la pubblicità e profilazione, senza specificare il legittimo interesse, mentre l’8% chiede un consenso unico per le due attività, entrambe non valide per il garante della privacy.

Conservazione dei dati

Il GDPR europeo non impone un limite di tempo per la conservazione dei dati, ma il garante Italiano ha stabilito un limite massimo di 24 mesi per le attività di marketing. Solo il 19% rimuove i dati dopo l’anno, il 23% considera 24 mesi dall’ultima attività dell’utente e mentre il 21% conserva i dati a tempo indeterminato fino a quando l’interessato non richiede la cancellazione, violando in questo caso il principio di minimizzazione. Il discorso vale uguale anche per la profilazione, dove il 19% non delle aziende non cancella i dati aggregati e l’8% non cancella nessun dato.

L’importanza del DPO

Il data protection officer svolge un ruolo fondamentale, ovvero quello di sorvegliare l’azienda per assicurare che i principi del GDPR vengano rispettati. Per far sì che il suo ruolo sia efficace, bisogna garantirgli indipendenza dall’ufficio interno, che si occupa della privacy generale. Nel 24% dei casi il DPO svolge un ruolo di coordinamento per la compliance privacy, la quale deve dimostrare il principio di accountability, ovvero la responsabilità, da parte degli amministratori che impiegano risorse finanziarie pubbliche, di rendicontarne l’uso sia sul piano della regolarità dei conti sia su quello dell’efficacia della gestione. Molte aziende hanno mostrato un grande interessamento verso il legal design per comunicare in modo trasparente con gli utenti, cioè la creazione dei documenti legali in maniera chiara e comprensibile, quindi questo fattore è di vitale importanza per un corretto coordinamento.

Le sanzioni del Garante della privacy

L’Italia è il paese che ha imposto più sanzioni di tutta l’Unione Europea per la violazione del GDPR e nei primi mesi del 2021, le sanzioni sono addirittura raddoppiate rispetto al semestre precedente. È quindi indispensabile per qualsiasi azienda adottare delle procedure per la gestione delle ispezioni da parte della Guardia di Finanza. In conclusione, a tre anni dal lancio, molti paesi fanno ancora fatica a rafforzare la legislazione sulla privacy e molti casi richiederanno anni per essere risolti, poiché l’approccio al GDPR non tiene conto delle differenze tra grandi colossi e piccole-medie imprese.