GDPR UN ANNO DOPO. COSA CAMBIA ADESSO?

Private

Vi ricordate l’ondata di e-mail che lo scorso anno, di questi tempi, aveva inondato le nostre caselle? Si avvicina infatti il primo anniversario dell’entrata in vigore del
GDPR (General Data Protection Regulation), la nuova normativa europea sulla protezione dei dati personali. Ancora più vicina, però, è la scadenza del periodo di prima applicazione del regolamento, il periodo “bonus”, di tolleranza, circa l’applicabilità delle sanzioni previste dalla normativa.
L’art. 22 co. 13 del d.lgs. 101/2018, che ha adattato al GDPR le precedenti normative nazionali, ci dice infatti che “Per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.  Considerando che il decreto è entrato in vigore il 19 settembre dello scorso anno, il termine di otto mesi scade questa domenica, quasi in coincidenza con l’anno di entrata in vigore del GDPR.
Quindi, cosa è cambiato finora e cosa cambierà da qui in avanti? Ne abbiamo parlato con l’ing. Giulio Destri, Digital Transformation Advisor e professore a contratto di Sistemi Informativi presso l’Università di Parma, che ha curato i contenuti del nostro corso e-Learning sul GDPR

È passato un anno dall’entrata in vigore del GDPR. Secondo lei a che punto siamo a livello di adeguamento, da parte delle aziende italiane, alla normativa?

Alcune aziende, soprattutto le più grandi o quelle che hanno a che fare con il grande pubblico – come le banche, le aziende di telecomunicazioni, le multiservizi, la grande distribuzione organizzata – si sono già completamente adeguate. Aziende medie e piccole solo in parte. Soprattutto si notano ancora parecchi enti pubblici che non si sono completamente adeguati.

Perché, secondo lei, le grandi aziende si sono date da fare più delle altre?

A mio parere per due motivi. Prima di tutto le grandi aziende hanno le risorse e le strutture organizzative per farlo (e, infatti, hanno iniziato il processo di adeguamento molto prima del maggio 2018); in secondo luogo sono le aziende che corrono i maggiori rischi di reclami e segnalazione al Garante Privacy.

Crede che il livello di consapevolezza sia sufficiente oggi, un anno dopo? O invece c’è il rischio che passati i mesi del gran “bombardamento” comunicativo, rispetto al GDPR, l’attenzione possa scemare?

giulio destri

Giulio Destri

Il livello di consapevolezza è sufficiente solo nelle grandi strutture (e nemmeno in tutte). Altrove, dopo i primi mesi tutto si è fermato. Soprattutto manca ancora consapevolezza delle conseguenze legali di un eventuale grave danno nelle infrastrutture IT, sia esso dovuto ad un attacco informatico, sia dovuto a cause fortuite, che porti alla perdita o alla divulgazione non autorizzata di dati personali.

A che punto siamo con la verifica da parte delle autorità della compliance delle aziende? Ci sono già state sanzioni rilevanti?

In Italia la Guardia di Finanza sta iniziando in questi mesi le proprie ispezioni per la verifica. Di solito tali ispezioni hanno luogo non a campione, ma a seguito di segnalazioni di interessati (tipicamente clienti privati) o perché il sito web dell’azienda o altri servizi pubblici forniti dall’azienda non sono corredati delle opportune informative e richieste di consenso informato. In Europa ci sono già state sanzioni, sia molto rilevanti, ad opera del Garante Francese nei confronti di Google, sia minori, nei confronti di ospedali o portali web in altre nazioni. Sono state presentate segnalazioni e denunce al Garante Italiano ma, al momento, non sono state ancora comminate sanzioni da parte di quest’ultimo.

Adesso che sono trascorsi i mesi di questa “tregua” su controlli e sanzioni, le cose cambieranno?

È facile supporre di sì, anche se non è altrettanto facile prevedere come. Un dato interessante ci dice che c’è stato un aumento del 42% delle segnalazioni al Garante della Privacy rispetto al periodo precedente dell’entrata in vigore del GDPR.

In generale, crede che ci sia stato un passo avanti, culturalmente parlando, nel nostro Paese, rispetto alla consapevolezza del valore dei dati?

In parte sì. Alcune categorie professionali che trattano dati per lavoro (come, per esempio, i commercialisti) si stanno rendendo conto del valore dei dati. Dall’altra parte, molti sono rimasti alla situazione precedente sia come organizzazione, sia come consapevolezza. È necessaria un’azione capillare di formazione e responsabilizzazione per diffondere la cultura della consapevolezza. E bisogna farlo, prima che qualche grave incidente con i dati possa provocare disastri.

Formazione, appunto. La legge dice che i dipendenti devono essere formati?

Si, l’articolo 29 del GDPR dice che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.” Inoltre viene ribadito che, sia responsabili, sia titolari del trattamento devono  assicurarsi che “chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento” (art. 32.4). E uno dei compiti del Data Protection Officer, negli enti pubblici e nelle aziende ove tale figura professionale è prescritta, è sorvegliare “la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo” (art. 39.1.b).

Basic Text Widget

Fugiat dapibus, tellus ac cursus commo do, mauris sit condime ntum nibh, uter sitse fermentum massa justo vitaes amet r quia consequuntur magni uns mauris sit condime ntum nibh, uter sitse.

SANO & SALVO

This Is A Custom Widget

This Sliding Bar can be switched on or off in theme options, and can take any widget you throw at it or even fill it with your custom HTML Code. Its perfect for grabbing the attention of your viewers. Choose between 1, 2, 3 or 4 columns, set the background color, widget divider color, activate transparency, a top border or fully disable it on desktop and mobile.

Come Check Us out!
Monday Through Friday: 8am-8pm
Phone: 800-555-5555

This Is A Custom Widget

This Sliding Bar can be switched on or off in theme options, and can take any widget you throw at it or even fill it with your custom HTML Code. Its perfect for grabbing the attention of your viewers. Choose between 1, 2, 3 or 4 columns, set the background color, widget divider color, activate transparency, a top border or fully disable it on desktop and mobile.

SEGUI FROG LEARNING

  Segui la rana, fai un salto sui nostri social per essere sempre aggiornato sul mondo dell’e-Learning e del digital!