GDPR: dopo cinque mesi, è tempo di un primo bilancio
adv

GDPR: dopo cinque mesi, tracciamo un primo bilancio sugli effetti dell’applicazione del nuovo Regolamento Generale per la Protezione dei Dati

Sono ormai passati cinque mesi dall’entrata in vigore del GDPR nei paesi dell’Unione Europea. Abbiamo già esaminato, da diverse prospettive, i cambiamenti che sarebbero derivati dall’adozione del Regolamento Generale per la Protezione dei Dati, analizzando sia aspetti tecnico – normativi (qui potete trovare un’ampia carrellata di articoli sull’argomento), che questioni di eminente carattere pratico. Nel contempo, abbiamo fortemente consigliato di affidarsi a soggetti seri e preparati, diffidando dei profili improvvisati e dalla dubbia professionalità che invadevano la rete.

In effetti l’arrivo del GDPR, sebbene ampiamente annunciato, ha colto tantissimi completamente impreparati, in Italia e all’estero (leggi qui). Le piccole realtà aziendali hanno, in generale, dovuto faticare più delle grosse multinazionali per adeguarsi alla nuova regolamentazione. Ciò è imputabile soprattutto ai costi da sostenere, ammortizzabili con maggiore facilità da realtà forti e consolidate.

Tutela della privacy: in quanti conoscono il GDPR?

Una premessa è d’obbligo: attualmente, sono ancora in pochissimi ad avere reale contezza di cosa sia il GDPR e di quali siano i propri diritti in materia di protezione dei dati personali. Allo stesso modo, tra i soggetti che si occupano in qualsiasi forma del trattamento dei dati sensibili di terzi, vige spesso una conoscenza altrettanto approssimativa del nuovo Regolamento per la Protezione dei Dati. I rischi non sono trascurabili: la sentenza della Corte UE, che ha condannato i gestori delle pagine Facebook (ne abbiamo parlato qui), suona come un grosso campanello d’allarme.

In generale, solo una piccolissima parte dei consumatori sceglie di affidarsi a professionisti del settore per tutelare la propria privacy. Dopo i recenti scandali informatici, che hanno colpito Facebook in particolare, l’attenzione sull’argomento è comunque in aumento. Le aziende hanno provveduto ben presto a rafforzare la protezione sui dati operativi e finanziari. Ma lo stesso non si può dire sia avvenuto in merito alle informazioni personali dei consumatori.

Gli aspetti da migliorare sono numerosi, ad iniziare dall’adozione di regolamenti interni sufficientemente chiari e dettagliati sull’utilizzo dei dati degli utenti. La preparazione e la competenza dei dipendenti che si occupano dell’analisi e del trattamento dei dati sono, per lo più, ancora inadeguate. Ciò nonostante, il processo di riqualificazione professionale si svolge spesso troppo a rilento.

GDPR e Privacy

Cinque mesi di GDPR: un primo bilancio

Analizzando le relazioni delle Autorità Garanti per la Privacy di diversi paesi europei (qui i dettagli sulla relazione del Garante italiano), è possibile tracciare un bilancio dei primi mesi di vita del GDPR, comparando le diverse realtà degli Stati comunitari. Come preannunciato, la corsa per mettersi in pari con le nuove disposizioni ha generato parecchia confusione. L’obbligo di individuare e comunicare i dati relativi alla figura centrale del Responsabile della Protezione Dati, o DPO (Data Protection Officer), è stato il primo banco di prova.

Molte aziende hanno preferito indicare per questo ruolo personale interno, non potendo permettersi nuove assunzioni; altre hanno percorso questa strada non riuscendo a trovare, in tempi rapidi, professionalità adeguate sul mercato del lavoro. Come già accennato, la formazione interna dei dipendenti sta però riservando difficoltà maggiori del previsto.

Leggermente migliore la situazione francese, dove la figura del DPO era già contemplata, per alcune tipologie aziendali, dalla legislazione precedente.

L’entrata in vigore del GDPR ha dato luogo ad un drastico aumento dei reclami e delle segnalazioni inviati alle Autorità Garanti per la Privacy. In termini percentuali, è la Francia ad aver fatto registrare l’aumento più significativo di reclami. Numeri a parte, il dato testimonia la crescente consapevolezza dei cittadini sui propri diritti.

Il GDPR e l’obbligo di segnalazione delle violazioni dei dati

In vertiginoso aumento, un po’ ovunque, le segnalazioni di attacchi informatici. Le comunicazioni di Data Breach, ossia delle violazioni dei dati, mostrano invece numeri assai diversi in Italia rispetto ai principali partner dell’eurozona. In quasi 300 casi, le violazioni di dati hanno travalicato i confini del singolo Paese, richiedendo un lavoro coordinato dei Garanti delle Nazioni coinvolte.

Analizzando i dati dei singoli Paesi emerge che, a fronte dell’obbligo di segnalare la violazione al Garante entro 72 ore dalla scoperta dell’evento, gli italiani sono meno solerti di francesi e, soprattutto, tedeschi. Non solo: in termini assoluti, il numero di segnalazioni italiane è notevolmente inferiore a quello di altre Nazioni. Ricordiamo, tuttavia, che il GDPR prevede pensanti sanzioni non solo per i trasgressori della nuova normativa sulla tutela dei dati personali, ma anche per coloro che non fanno tempestiva comunicazione delle avvenute violazioni subite.