GDPR EU, ecco i miti da sfatare per l'Italia | Digital4Trade
Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

#Gdprevolution

GDPR, otto miti da sfatare. Ecco cosa bisogna fare

di Gianluigi Torchiani

08 Nov 2017

A otto mesi dalla piena entrata in vigore del GDPR, Anna Italiano, legal consultant di P4I, smonta i luoghi comuni che ancora circolano sulla nuova normativa della privacy dell’Ue. E spiega alle aziende italiane cosa occorra fare

Mancano pochi mesi alla piena operatività del GDPR, prevista per il 25 maggio 2018. Una scadenza che agita non poco le aziende, come si racconterà il prossimo 23 novembre a Milano in occasione dell’evento #GDPRevolution.  (Qui tutti i dettagli per registrarsi). Anche perché intorno al nuovo regolamento europeo sulla protezione dei dati personali circolano non poche leggende urbane, non dissipate neppure dai tanti articoli pubblicati. Per sfatare alcuni dei miti più diffusi quando si parla di GDPR e privacy, Digital4Trade ha chiesto ad Anna Italiano, avvocato e legal consultant di P4I, di spiegare cosa preveda realmente la normativa.

Mito numero 1: Le sanzioni sono l’aspetto più significativo del GDPR EU:

È indubbio che le sanzioni costituiscono il grande spauracchio che porta le aziende a informarsi sugli obblighi previsti dalla normativa e ad adeguarsi di conseguenza. In realtà è vero che dal regolamento sono previsti dei massimali effettivamente molto alti (fino a 20 milioni di euro e sino al 4% del fatturato mondiale totale annuo dell’azienda). Ma in realtà queste cifre sono appunto soltanto dei massimali: ad oggi non si può dire come queste misure saranno declinate all’interno dei diversi Stati membri. In Italia il legislatore non ha ancora stabilito l’entità delle sanzioni, presumibilmente dovrà farlo entro la data in cui il regolamento sarà pienamente applicabile, cioè dal 25 maggio 2018. Quindi bisognerà aspettare questa data per capire quali saranno le sanzioni definitive in vigore nel nostro Paese. La minaccia di essere sottoposti a sanzioni in caso di inadempimento è forse la conseguenza più immediatamente percepibile ma non è certo l’unica: la perdita di dati, i rischi per la sicurezza, i connessi danni all’immagine sono degli aspetti non certo irrilevanti.

Anna Italiano, Legal consultant at Partners4Innovation

Mito numero 2: Il GDPR interessa soltanto le imprese europee

Non è così. Anche le aziende extraeuropee che offrono beni e servizi ai cittadini europei dovranno assolutamente conformarsi alle nuove prescrizioni, a prescindere da dove hanno la sede fisica o da dove risiedono i loro server. Dunque fa fede il principio della cittadinanza dei dati dell’interessato. Per quanto riguarda la Brexit, anche in caso di futura uscita dall’Ue, le aziende britanniche dovranno comunque conformarsi al principi sanciti dal Regolamento in relazione al trattamento dati dei cittadini comunitari.

Mito numero 3: Il GDPR è una normativa troppo complicata e complessa

Di per sé non si tratta di una normativa troppo complicata e complessa. Sicuramente è una normativa che va a incidere pesantemente su una materia su cui sinora non c’era stata la necessaria attenzione e sensibilità. Non è complesso perché gli adempimenti richiesti per conformarsi ai nuovi obblighi dettati dal legislatore europeo sono chiari. Inoltre, al contrario della normativa oggi vigente che sarà sostituita, semplifica molto per un certo verso gli adempimenti previsti. Ad esempio, in materia di sicurezza si passa dal precedente approccio alla compliance in senso di checklist, poiché la normativa vigente stabilisce ciò che è obbligatorio mettere in atto, ad un approccio alla compliance intesa come modello di gestione, che implica una maggiore responsabilizzazione del titolare del trattamento. Quest’ultimo, in autonomia, dovrà decidere qual è il livello di sicurezza adeguato rispetto ai trattamenti che andrà a porre in essere. Quindi il GDPR, offrendo delle linee guida, , demanda all’azienda che recepisce la normativa il compito di concretizzarle in azioni che ne garantiscano il rispetto, con il dovere di giustificare però costantemente la ratio delle proprie scelte di adeguatezza.

Mito numero 4: IL GDPR riguarda soltanto le grandi imprese

Essendo la normativa-cardine in materia di trattamenti dei dati personali, il GDPR ovviamente riguarda tutti coloro che trattano dati personali. Dunque interessa piccole e medie imprese così come le grandi organizzazioni. Queste ultime ovviamente sono più preparate e si sono mosse per tempo per recepirlo, anche perché per esse gli adempimenti da effettuare sono molto più onerosi. Vero è che all’interno della normativa sono previste delle semplificazioni per le Pmi. Per esempio, le aziende al di sotto dei 250 dipendenti sono esonerate dall’obbligo di redigere il registro dei trattamenti. Invece, l’obbligatorietà della figura del Data protection Officer è basata sulla tipologia di trattamenti effettuati piuttosto che sulla dimensione dell’impresa.

Mito numero 5: È vero che il GDPR faciliterà la vita ad attori come Google e Facebook?

Al contrario la normativa è anzi volta ad assicurare più rigore al trattamento dei dati personali svolto dai cosiddetti Over The Top, ovvero Facebook, Google e quanti altri, cioè a coloro cioè che utilizzano le reti per offrire i propri servizi a una platea vastissima e globale. Infatti, se si considerano tematiche come portabilità dei dati e diritto all’oblio, è chiaro che l’attenzione del legislatore europeo si è rivolta soprattutto a questi attori, piuttosto che alle piccole imprese.

 

Mito numero 6: Il nuovo GDPR mi costringerà a ripensare da zero la mia impostazione in materia di dati personali

Probabilmente costringerà le imprese a mettere in piedi un modello di gestione della compliance rispetto altrattamntodei dati personali e, sicuramente, obbligherà a rivedere l’approccio rispetto alla data protection. La normativa richiede non solo un adeguamento nell’immediato, cioè entro la scadenza del 25 maggio 2018, ma anche una gestione e supervisione costante, quindi bisognerà pensare a mettere in piedi dei processi aziendali che permettano di presidiare gli adempimenti normativi nel tempo.

Mito numero 7: La mia azienda ad oggi non ha ancora fatto nulla per il GDPR. Ormai è troppo tardi per intervenire

In realtà non è mai troppo tardi per adeguarsi, anzi, come dice il proverbio, meglio tardi che mai. Anche se un’azienda dovesse rendersi conto di non riuscire a centrare il termine del 25 maggio del 2018, deve attivarsi da subito così da potersi mettersi in regola quanto prima con le prescrizioni del GDPR. Il consiglio è di iniziare quanto prima possibile, cercando di adeguare i trattamenti dati più rilevanti e più rischiosi all’interno dell’azienda. Il mito da sfatare è che ci possono essere dei rinvii rispetto alla data di scadenza, visto che il legislatore europeo sinora si è dimostrato meno propenso alle deroghe rispetto a quello italiano.

Mito numero 8: Per adeguarsi al Gdpr occorre effettuare degli investimenti importanti da un punto di vista economico

Dipende dalla dimensione aziendale e dal numero dei trattamenti posti in essere. Non è escluso che l’adeguamento alla normativa comporti degli investimenti in termini di sicurezza abbastanza rilevanti. Ad esempio per la criptazione dei dati, che è una misura caldamente consigliata dal regolamento e particolarmente opportuna per tutelarsi in relazione a trattamenti rilevanti o rischiosi. Oppure per la necessità di mettere in piedi dei sistemi per la cancellazione dei dati, una misura obbligatoria da mettere in atto una volta scaduti i termini previsti per la loro conservazione.

 

Anche per l’esistenza di questi miti, i passi in avanti concreti portati avanti dalle organizzazioni sono inferiori rispetto a quanto potrebbe realmente essere. Secondo una recente ricerca di SAS, che ha coinvolto 340 dirigenti aziendali a livello globale, meno della metà delle aziende ha già adottato un piano per adeguarsi e il 58% non è del tutto consapevole dell’impatto del regolamento GDPR. Lo confermano anche altri dati:

  • Solo il 45% delle organizzazioni ha messo in atto un processo strutturato per adeguarsi regolamento GDPR, ma di queste solo il 66% ritiene che tale processo sarà in grado di soddisfare appieno i requisiti di conformità. Molti degli intervistati infatti ammettono di non sapere come determinare la conformità in ambito GDPR.
  • Non sorprende che le grandi organizzazioni (con più di 5.000 dipendenti) siano meglio attrezzate per gestire il regolamento GDPR, con il 54% degli intervistati pienamente consapevole dell’impatto, rispetto ad appena il 37% delle aziende di piccole dimensioni.
  • Solo il 24% delle organizzazioni si avvale della consulenza esterna per adeguarsi al regolamento GDPR, ma il 34% di quelle che già dispongono di un processo strutturato in atto si affidano a società di consulenza.

 

 

I vantaggi del GDPR

In positivo, c’è da segnalare una notevole consapevolezza delle opportunità: alla domanda sui potenziali vantaggi del GDPR, il 71% degli intervistati ritiene che il regolamento comporterà un miglioramento nella governance dei dati. Dal sondaggio risulta inoltre che il 37% delle organizzazioni ritiene che le proprie capacità informatiche miglioreranno man mano che ci si impegnerà per adeguarsi, mentre il 30% concorda sul fatto che la conformità al GDPR favorirà la propria immagine aziendale. Le aziende ritengono inoltre che l’impegno investito nel processo di conformità risulterà vantaggioso anche per i clienti. Dal sondaggio risulta che il 29% delle organizzazioni ritiene che la soddisfazione dei clienti aumenterà proporzionalmente al loro impegno per adeguarsi al regolamento GDPR.

GDPR e privacy, le mosse da fare subito

Cosa può fare allora un’azienda nel concreto per migliorare immediatamente la propria privacy in vista dell’imminente arrivo del GDPR? Qui di seguito una lista di consigli immediatamente attuabili stilata dal sito E-Privacy.

  1. Porre la protezione dei dati personali tra le priorità del Risk Management. Il Risk Management Officer deve essere conscio dei rischi rappresentati dal gestire i dati dei clienti, dei fornitori e degli stessi dipendenti. Il suo contributo nel misurarli è essenziale per graduare gli investimenti necessari a garantire la sicurezza dei dati.

2) Coinvolgere la governance dell’azienda, a partire dal CEO, per avere il giusto livello di coinvolgimento necessario ad assicurare i cambiamenti di carattere organizzativo e tecnologico. Anche se il core business dell’azienda non è rappresentato dalla gestione dei dati personali, questi rappresentano un asset importante da proteggere: qualsiasi danno o violazione rappresenta, oltre a possibili perdite economiche, un danno di immagine.

3) Nominare, all’interno del proprio organigramma, le figure di Data Processor, Data Controller e Data Protection Officer (quest’ultima obbligatoria solo per la PA o se espressamente prevista dalle leggi nazionali).
Coinvolgere il dipartimento IT ed assicurarsi la collaborazione del CIO, in relazione a tutti gli interventi legati alla cybersecurity.

4) Svolgere un “data protectio impact assessment (DPIA)” relativo alla protezione dei dati. In questa attività saranno coinvolti tutti gli attori precedentemente individuati e si terrà conto della natura, della portata, del contesto e delle finalità che il trattamento dei dati rappresenta per la propria azienda, così come della probabilità e dell’impatto dei rischi sui diritti e le libertà degli individui.

5) Verificare che siano già formalizzate in azienda tutte le procedure relative all’acquisizione del consenso da parte dei Data Owner compreso anche il diritto alla cancellazione dei record personali (Right to be forgotten).

6) Disegnare per la propria organizzazione uno scenario target di sicurezza dei dati in linea con le indicazioni del Regolamento Europeo

7) Instaurare corrette relazioni con gli organismi nazionali ed europei incaricati della privacy. I Data Controller nominati al di fuori dell’EU debbono individuare un rappresentante all’interno dell’EU, a meno che le attività di processo dei dati personali non siano, per l’azienda, occasionali e/o non rappresentino un rischio per gli individui.

8)Se infine l’azienda processa dati personali sensibili, mettere in atto addizionali misure di sicurezza per assicurare un elevato livello di consapevolezza dei rischi e permettere in tempo reale l’adozione di azioni preventive, correttive e di mitigazione.

  • arrow_upward
  • arrow_downward
  • share
    460 Share
Gianluigi Torchiani

Cagliaritano trapiantato a Milano, in dieci anni ha scritto di qualsiasi argomento. Papà, un passato in canoa olimpica e un presente nel calcetto. Patito di classic rock. Redattore #Digital4Trade

  • Franco Tauceri

    “Anche le aziende extraeuropee che offrono beni e servizi ai cittadini europei dovranno assolutamente conformarsi alle nuove prescrizioni, a prescindere da dove hanno la sede fisica o da dove risiedono i loro server. ”
    Interessante.
    E come si ha intenzione di imporre il rispetto di questo obbligo ad un’azienda, per esempio, USA?
    Faccio ad esempio notare che molte aziende USA ancora oggi non si sono regolarizzate in merito alla fatturazione dell’IVA nazionale ai cittadini europei, non hanno aperto la propria partita IVA di tipo EUxxxxxxxx, e sostanzialmente se ne fregano del fatto di essere inadempienti.
    Nel caso in specie poi, l’azienda USA dovrà decidere cosa fare:
    – rispettare la normativa USA (compreso quello che, ad esempio, comporta il Patriot Act in termini di accesso ai dati personali), violando la norma europea
    – oppure rispettare la normativa europea, violando quella USA
    Secondo voi, cosa sceglierà l’azienda USA?
    Le grandi aziende risolveranno creando infrastrutture e filiali in Europa. Ma se un cittadino (o un’azienda) europea si rivolgerà ad un’azienda USA con server negli USA, è velleitario sperare che possa ottenere le tutele previste dalle normative europee.