Consulenze privacy

Nuovo regolamento privacy UE, un’azienda italiana su tre ha le idee confuse

E’ di marzo 2017 la pubblicazione delle conclusioni della ricerca “Gestione della protezione dei dati personali nelle aziende italiane”, a cura di Federprivacy. Il rapporto recentemente pubblicato prende in esame un campione di circa mille aziende italiane che tra poco più di anno dovranno farsi trovare conformi alle nuove regole sulla protezione dei dati, evidenziando quanto l’introduzione del nuovo Regolamento, che entrerà ufficialmente in vigore il 25 maggio 2018, stia disorientando le aziende che appaiono ancora molto confuse in merito a più punti investiti dalla riforma.

“Il 32% delle imprese non sa ancora se rientra o no nell’obbligo di nomina del data protection officer, e nel dubbio il 72% non ha nominato nessuno per ricoprire questo ruolo”. A ciò aggiungasi che, pur essendo le certificazioni in crescita nel mercato delle professioni, ben il 58% dei DPO non ne possiede ancora alcuna e solo  il 75,7% delle imprese ha provveduto a dotarsi anche di un referente interno per occuparsi dei temi della privacy.

E che una fetta importante delle imprese italiane non abbia ancora le idee chiare sull’argomento privacy, è confermato dal fatto che anche tra quelle che il data protection officer lo hanno già nominato, nel 25% dei casi ha selezionato un candidato con un titolo di studio informatico, e un’azienda su cinque (20%) ha scelto una risorsa con retaggio IT, e questo nonostante l’art.37 del nuovo testo richieda di designare il responsabile della protezione dei dati (DPO) “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”. Inoltre, ben il 22% delle aziende intervistate ha collocato la funzione nell’area dell’Information Technology, esponendosi in tal modo anche al rischio di conflitti d’interesse. Come infatti osserva Nicola Bernardi, presidente di Federprivacy:

“L’art.38 del Regolamento richiede che il titolare debba assicurarsi che i compiti svolti dal data protection officer non diano adito a un conflitto di interessi, ma se tali funzioni vengono svolte all’interno del reparto IT, dove generalmente vengono trattati la maggior parte dei flussi di dati aziendali, questo produce nella maggior parte dei casi una sorta di auto-monitoraggio in cui una funzione dovrebbe controllare il proprio operato, in contrasto con le disposizioni del Regolamento”.

Secondo gli esperti, quindi, il profilo ideale è quello di un professionista che sia esterno all’azienda, dotato delle necessarie competenze giuridiche (per poter interpretare in modo corretto le norme) ed informatiche (per potersi interfacciare in modo adeguato con i responsabili dei sistemi informativi); capace di realizzare una completa analisi dei rischi e una valutazione delle interazioni con le altre discipline che riguardano, anche indirettamente, la sicurezza e la gestione delle informazioni.

Il DPO ha il compito di sorvegliare che siano rispettati sia il Regolamento Ue, sia le specifiche prescrizioni delle autorità nazionali, che vi sia cooperazione con l’autorità di controllo, che chi gestisce il trattamento dei dati sia informato e consigliato rispetto all’eventuale non conformità di scelte adottate.

Ai sensi della normativa tutte le imprese pubbliche e private che svolgono trattamenti di dati personali potenzialmente in grado di ledere gravemente i diritti degli interessati devono dotarsi di un Data Protection Officer  ed è una  necessità essere monitorati da un soggetto indipendente.

L’entità delle sanzioni previste dal nuovo Regolamento UE 2016/679, che sarà applicabile dal 25 maggio 2018, potrà arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale dei trasgressori, tanto che tre aziende italiane su quattro, pur con i limiti analizzati, si sono organizzate prevedendo nel loro organigramma una specifica funzione per la protezione dei dati personali.

Con sanzioni amministrative così elevate non si può poi escludere un’azione di responsabilità da parte degli azionisti nei confronti degli amministratori che non abbiano adottato le misure necessarie per conformarsi al regolamento europeo sul trattamento dei dati personali.

E tali misure sarebbero in aggiunta alle possibili azioni da parte dei clienti ed utenti i cui dati sono stati violati e alle sanzioni anche di carattere penale che sono già esistenti, oltre all’ordine di cancellare i dati raccolti illecitamente che potrebbe causare danni operativi ed economici.

“La necessità di garantire la conformità con la normativa privacy non può più essere ignorata, a maggior ragione in un periodo in cui le aziende stanno affrontando un processo di digitalizzazione che comporta l’aumento della profilazione e un trattamento elevato di dati.

La conformità con la normativa privacy e la certificazione della stessa diventerà un requisito obbligatorio per poter stipulare contratti con banche, assicurazioni, tech company, ecc. e per accedere a bandi pubblici. Per tale motivo la conformità con la normativa privacy può diventare un vantaggio competitivo rispetto ai competitor, specialmente in questa fase di transizione verso la prima adozione del GDPR. “

Attivarsi subito, anche per poter eventualmente rimediare a scelte fatte fino ad oggi, è il consiglio che gli esperti suggeriscono alle aziende in attesa del 25 maggio 2018.