Gli effetti del nuovo regolamento sulla privacy ad un anno dall’entrata in vigore
È passato poco più di un anno (25 maggio 2018) dall’entrata in vigore del GDPR, il nuovo regolamento europeo sul trattamento dei dati personali, pensato per stabilire regole più precise nella gestione della privacy e consentire agli utenti di avere maggiore controllo e consapevolezza sull’uso che viene fatto dei propri dati.
Com’è andata in Italia?
Per le imprese italiane, il nuovo regolamento si è trasformato in una corsa verso l’adeguamento alla normativa. Se per le grandi aziende la necessità di essere “GDPR compliant” si è rivelato un processo sì elaborato, ma pianificato nel tempo, l’adeguamento si è rilevato molto complicato per le piccole e medie imprese. Queste ultime sono state costrette ad investire risorse importanti per adattare la normativa alla normale attività quotidiana. E non tutti ce l’hanno fatta.
- 48.591 Comunicazioni dei dati di contatto del Responsabile Protezione Dati (DPO);
- 7.219 tra reclami e segnalazioni;
- 946 notifiche di Data Breach;
- 18.557 contatti con l’URP del Garante della Privacy.
Sono i dati rilasciati dal Garante della Privacy riguardo i primi 10 mesi di applicazione del GDPR. Come possiamo leggere questo primo bilancio?
La centralità del Data Privacy Officer
I numeri rilasciati dal Garante evidenziano una elevata fascia di aziende italiane che hanno dovuto far affidamento ad un responsabile per la gestione dei dati degli utenti, sia per la quantità di dati da dover gestire, sia per il tipo di business.
Il consistente numero di reclami e segnalazioni (7.219) e le notifiche di violazioni (946), evidenzia un deficit di competenze nelle realtà aziendali. Sono infatti ancora numerose le imprese che affidano la gestione dei dati a impiegati inesperti, che non hanno mai avuto modo di gestire in modo strutturato e codificato i dati degli utenti. Nelle aziende più piccole spesso a mancare è proprio il professionista di riferimento, l’esperto in grado di consigliare l’azienda e comunicare con il Garante della Privacy in caso di ispezioni o richieste di informazioni.
Cosa è successo in Europa?
“Il GDPR ha resistito molto bene all’onda d’urto, anche sopra le aspettative. Il GDPR è uno strumento di partenza, non uno strumento di arrivo. Il 1°compleanno è quindi molto positivo”
Il Garante Europeo per la protezione dei dati è molto soddisfatto dei risultati del GDPR dopo il primo anno di attuazione. I dati, a livello europeo, ci restituiscono però un quadro più complesso. Stando ad una recente ricerca Gartner, circa il 40% dei DPO si rivela insoddisfatto sul processo di adeguamento raggiunto.
Il problema principale è l’uniformità del regolamento alle normative nazionali. Le aziende devono infatti fare i conti con le normative nazionali e allinearsi ad un universo fatto di linee guida, ordini e interpretazioni, rende l’adeguamento una faccenda molto complicata.
Non sono mancate le multe. Un esempio su tutti il “caso Google”, multato di 50 milioni di euro in Francia per “non aver fornito informazioni trasparenti e facilmente accessibili sulle sue politiche di gestione dei consensi alla gestione dei dati personali“.
La grande questione della raccolta del consenso
Il web e l’invasione delle caselle mail
Il fine ultimo del nuovo Regolamento GDPR è quello di migliorare la modalità di raccolta dati ed introdurre nuovi diritti in termini di privacy, tra cui la portabilità dei dati.
Sul web, in questo ultimo anno, le aziende alle quali avevamo rilasciato le nostre informazioni sensibili hanno iniziato ad intasare le nostre caselle di posta con la richiesta di consenso al trattamento dei dati. In molti casi si è trattato di un modo piuttosto semplicistico di sanare situazioni al limite della legalità mentre, più in generale, si è rivelata un’attività insufficiente a rispondere alla complessità e all’invasività raggiunta dai cookies per la profilazione nelle attività di web marketing.
Nel mondo digitale si tratta un argomento sensibile. La questione, sollevata dall’Autorità per la Privacy in Olanda, svela l’inadeguatezza di un semplice clic come autorizzazione alla condivisione e al consenso per l’utilizzo dei dati personali da parte di soggetti terzi.
Cosa aspettarci dal secondo anno di GDPR?
Il grande merito del nuovo Regolamento Europeo sulla privacy è stato quello di mettere a nudo le criticità della raccolta dei dati degli utenti. Molte realtà aziendali non sono infatti del tutto informate, né strutturate per gestire in maniera corretta i dati in proprio possesso e acquisirne di nuovi.
Inoltre, il GDPR ha evidenziato la necessità di una maggiore attenzione verso l’ePrivacy, che il Garante Europeo per la protezione dei dati ha definito come un “vuoto normativo da colmare“. Aspettiamoci dunque novità su questo fronte, sia in termini di regolamentazione che di sanzioni verso le aziende inadempienti.
Altrettanto centrale sarà il tema dell’accountability, ovvero la responsabilizzazione del titolare del trattamento dei dati, che da semplice esecutore delle norme e responsabile delle scelte in materia di gestione dati deve strutturarsi come un manager in grado di valutare l’impatto delle scelte fatte dall’azienda.
Infine, molta attenzione verrà riservata alla privacy by design, il sistema di privacy da progettare per ogni attività messa in atto dalle aziende.
Tutti temi che ritroveremo al Privacy Day Forum 2019, l’evento annuale organizzato da Federprivacy e che vede coinvolti professionisti e figure aziendali che quotidianamente sono coinvolti dalle tematiche privacy.
La privacy come processo aziendale: il Sistema di Gestione Privacy di Mediacom
Quanto previsto dal Regolamento GDPR e dal Codice Privacy nazionale, aggiornato dal Dlgs 101/2018, in merito alle tipologie di trattamento di dati personali, impone un’organizzazione molto attenta ed un impegno quotidiano nel predisporre, attivare, monitorare e migliorare tutte le misure tecniche e organizzative necessarie.
In tal senso, Mediacom, ha deciso di costruire un proprio Sistema di Gestione Privacy (SGP).
SGP va ad integrarsi con il preesistente Sistema di Gestione Qualità (SGQ), ampiamente consolidato, ed il Sistema di Information Security (SIS), implementato secondo la norma ISO 27001.
L’approccio con il quale è stato definito SGP si ispira al principio della Privacy by design, che prevede di gestire la privacy a partire dalla progettazione di un processo aziendale e tenendo conto delle componenti informatiche di supporto.
Come è stato realizzato il progetto
Le fasi che hanno portato alla realizzazione di SGP di Mediacom, nella versione 1.0, costituiscono anche le fasi con cui l’azienda potrà affrontare qualsiasi nuovo progetto di trattamento o variazione significativa su trattamenti esistenti.
- Fase 1. Mappatura dei trattamenti dei Dati Personali effettuati;
- Fase 2. Valutazione dell’attuale livello di conformità ai requisiti richiesti dal GDPR;
- Fase 3. Implementazione del Registro dei Trattamenti, Nomina DPO, aggiornamento informative e nomine addetti;
- Fase 4. Gestione dei diritti degli Interessati;
- Fase 5. Pianificazione degli aspetti organizzativi in materia di protezione dei Dati Personali;
- Fase 6. Gestione dei Rischi in materia di protezione dei Dati Personali;
- Fase 7. Valutazione d’Impatto sulla protezione dei dati Personali e Gestione degli Incidenti;
- Fase 8. Verifica (audit) con raccolta delle evidenze e Riesame della Direzione;
- Fase 9. Formazione degli incaricati al trattamento;
In questa prima versione, SGP è composto da un impianto procedurale e da uno strumento software, che consentono di dimostrare nel tempo il rispetto del principio di responsabilizzazione (la c.d. Accountability), elemento cardine del GDPR.