Il 25 Maggio 2018, due anni dopo la prima pubblicazione nella Gazzetta Ufficiale europea, entrava in vigore il GDPR (General Data Protection Regulation), con lo scopo di regolamentare la circolazione e l’utilizzo dei dati personali all’interno dell’Unione Europea e verso le altre parti del mondo.
A due anni di distanza dalla sua applicazione è lecito interrogarsi sullo stato di avanzamento della normativa e sugli effetti che essa ha prodotto.
Un ripasso del GDPR
L’ obiettivo generale del GDPR è quello di aumentare la protezione dei cittadini appartenenti all’area dell’UE, anche i non residenti, restituendo loro il controllo dei propri dati personali e facilitando, allo stesso tempo, la circolazione degli stessi.
Come? Obbligando aziende, imprese e organizzazioni a trattare le informazioni sensibili solo dopo esplicito consenso, con la massima chiarezza e indicando in modo trasparente le finalità, le modalità e la durata del trattamento. Ciò comporta l’archiviazione dei dati esclusivamente per il periodo necessario al raggiungimento delle finalità dichiarate.
Il GDPR delega al titolare la gestione del rischio, imponendogli l’attuazione di comportamenti proattivi volti a garantire la riservatezza, la sicurezza e l’integrità dei dati delle persone interessate da furti o eventi accidentali. In caso di Data Breach, infatti, è lo stesso responsabile ad avere l’obbligo di darne esplicita comunicazione (entro 72 ore), fornendo tutti i dettagli sulla violazione e sulle azioni intraprese per limitarne le conseguenze.
Il biennio 2018-2020: le sanzioni più importanti
Il mancato adempimento della normativa, come si legge nel testo ufficiale , espone a pene pecuniarie estremamente severe e onerose.
Qual è la situazione due anni dopo?
Secondo i dati diffusi da enforcementtracker.com, da Luglio 2018 a Marzo 2020 sarebbero state emesse nell’Unione Europea 230 sanzioni per un ammontare totale pari a 466.677.568 euro.
La più importante, di circa 204 milioni di euro, è toccata alla British Airways, responsabile del furto dei dati personali di circa 500.000 clienti a seguito di un attacco hacker. Molto clamore ha suscitato anche il caso di Google, sanzionato con 50 milioni di euro dal garante della privacy per “mancanza di trasparenza, informazioni adeguate e mancanza di un valido consenso in merito alla personalizzazione degli annunci”.
Non è mancata una serie di casi minori dovuti, il più delle volte, a implicazioni politiche: tra questi ha fatto storia quello di un medico reo di aver utilizzato i dati di 3.500 ex pazienti a scopi elettorali (sanzionato per 16.000 euro), o l’Associazione Rousseau del Movimento 5 Stelle colpevole di criticità legate alla sicurezza dell’omonima piattaforma (50.000 euro).
Nonostante due anni di lavori a pieno regime, alle Autorità della Privacy non sono mancate critiche. L’ultima è arrivata nelle scorse settimane dal New York Times, secondo cui “il GDPR non ha ancora mostrato i denti” come ci si aspettava.
GDPR: a che punto sta l’Italia?
L’ Osservatorio di Cybersecurity e Data Protection ha condotto una ricerca per comprendere lo stato di avanzamento dei lavori e le criticità mostrate dal GDPR nel panorama italiano.
Seppur davanti agli occhi di molti ci sia ancora la multa di 27 milioni di euro pagata dalla Tim per violazioni multiple e protratte nel tempo, i risultati sono abbastanza incoraggianti: la quasi totalità delle aziende ha messo in atto progetti di implementazione del GDPR e il 45% ha aumentato il budget dedicato.
Nello specifico, le imprese si sono occupate principalmente di: creare un registro del trattamento dati (85%), individuare i diretti responsabili del trattamento (81%), definire le procedure di Data Breach notification (68%) e valutarne i rischi (66%).
Infine, complici le numerosi azioni di formazione del personale e dei dirigenti sfruttando anche la modalità e-learning, è diventata ormai comune la figura del DPO (Data Protection Officer), presente nel 65% delle nostre organizzazioni.
