Dal 25 maggio entrerà in vigore il nuovo Regolamento Generale sulla protezione dei dati, il così detto GDPR, ma ad oggi il 70% delle aziende italiane non è a norma con le nuove direttive europee recepite dall’Italia ad aprile 2016 ma con due anni di transizione per l’effettiva applicazione.
Il dato arriva dallo Studio Legale internazionale DLA Piper che ha pubblicato il suo secondo Data Privacy Snapshot report. La ricerca evidenzia che i programmi di privacy internazionali delle aziende hanno lacune importanti nell’adempiere i sempre più esigenti principi del regolamento privacy.
Il report, pubblicato in occasione della Giornata internazionale della protezione dei dati lo scorso 28 gennaio, si basa sulle oltre 200 risposte del 2017 allo strumento di indagine online Data Protection Scorebox di DLA Piper.
Il regolamento, che disciplina solo il trattamento dei dati personali delle persone fisiche si applica ai dati dei residenti nell’Unione Europea e vale per tutti i tipi di dati personali: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP. Inoltre, a differenza dell’attuale direttiva, il regolamento si applica anche a imprese ed enti, organizzazioni in generale, con sede legale fuori dall’UE che trattano dati personali di residenti nell’Unione Europea.
Patrick Van Eecke, Partner e Global Co-Chair della practice Data Protection di DLA Piper ha commentato: “Un anno dopo il nostro primo report sulla privacy, è chiaro che molte organizzazioni sono ben lontane dalla maturità della protezione dei dati. Uno stato che interessa tutte le aziende di tutte le dimensioni e di tutti i settori. In particolare, la conformità al regolamento è in molti casi disomogenea, evidenziando che alcuni requisiti di riservatezza dei dati sono più problematici di altri. Le aziende devono assicurarsi di star affrontando adeguatamente e in modo coerente i vari principi del regolamento in modo di evitare di cadere in fallo nei confronti del GDPR e di alter legislazioni.”
Tra gli obblighi che avranno le aziende vi sono innanzitutto disclaimer informativi ampliati che devono includere il tempo di mantenimento dei dati personali e in cui occorre fornire i contatti di chi controlla i dati e del funzionario preposto alla protezione dei dati.
È stato inoltre introdotto il diritto di contestazione delle decisioni automatizzate, compresa la profilazione. I cittadini hanno ora il diritto di contestare e contrastare decisioni che hanno impatto su di loro e che sono state realizzate unicamente in base ai risultati di un algoritmo.
Tale diritto, fatta eccezione per dati personali intesi ad identificare in modo univoco una persona fisica, non si applica nel caso in cui la decisione:
- sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento,
- si basi sul consenso esplicito dell’interessato.
“Con il GDPR è senza dubbio aumentata la consapevolezza in termini di tutela dei dati personali. Molte aziende si sono rese conto che una governance adeguata in tema di dati personali può costituire un’opportunità di business, un modo di differenziarsi dai concorrenti, piuttosto che un semplice onere. In ogni caso in Italia, seppur con qualche ritardo, la grande maggioranza delle aziende sta adottando dei programmi di adeguamento”, ha aggiunto l’avvocato Giangiacomo Olivi, partner DLA Piper Italia
Tra le nuove norme troviamo, ad esempio, che un valido consenso deve essere esplicitamente dato per la raccolta dei dati e per i propositi per i quali sono usati. I controllori dei dati devono essere in grado di provare il consenso (“opt-in”) e il consenso può essere ritirato o modificato con l’introduzione di limitazioni nel trattamento. La sicurezza dei dati raccolti deve essere garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio.
Il titolare del trattamento dei dati avrà l’obbligo legale di rendere note le fughe di dati all’autorità nazionale e di comunicarle entro 72 ore da quando ne è venuto a conoscenza. I resoconti delle fughe debbono essere riferite all’autorità sovrintendente non appena se ne viene a conoscenza e comunque entro 72 ore. In alcune situazioni le persone di cui sono stati sottratti i dati dovranno essere avvertite.
“L’impatto del regolamento privacy europeo sul business è stato purtroppo sottovalutato per molto tempo. Le aziende avevano l’impressione che la messa in conformità con il GDPR richiedesse unicamente l’adozione di nuove policy che venivano spesso ignorate. Al contrario, è necessario un cambiamento culturale, tecnico e procedurale. Sta proprio nella bravura di noi consulenti la capacità di calibrare l’assistenza al livello di rischio collegato al business dell’azienda, per evitare che la normativa privacy limiti la crescita dell’azienda. E’ necessario comprendere in ogni caso che la messa in conformità con il regolamento privacy può diventare un investimento sul futuro dell’azienda nell’epoca della digitalizzazione in cui il dato acquisirà sempre più valore”, conclude l’avvocato Giulio Coraggio, partner DLA Piper Italia
Il regolamento europeo sulla protezione dei dati (GDPR) verrà applicato a tutte le organizzazioni che operano all’interno dell’Unione Europea e tutte quelle al di fuori che offrono beni o servizi a persone nell’UE e prevede per i cittadini il diritto di cancellazione, limitazione, modifica e portabilità dei dati.
Per il mancato rispetto del GDPR ossono essere comminate le seguenti sanzioni:
- un’ammonizione scritta in casi di una prima mancata osservanza non intenzionale.
- accertamenti regolari e periodici sulla protezione dei dati
- una multa fino a 10 milioni di euro, o fino al 2% del volume d’affari globale registrato nell’anno precedente nei casi previsti dall’Articolo 83, Paragrafo 4
- una multa fino a 20 milioni di euro o fino al 4% del volume d’affari nei casi previsti dai Paragrafi 5 e 6.