GDPR e multe: da agosto 2020 primato negativo dell’Italia
Il piano ispettivo GDPR per il secondo semestre 2020 approvato nell’ottobre scorso dal Garante per la Protezione dei Dati Personali, dovrà assicurarsi il rispetto delle relative norme rivolte a settori particolarmente delicati, nei quali la tutela della privacy è considerata centrale.
Il piano che l’ha preceduto, quello per il primo semestre, ha mostrato un approccio negativo del nostro Paese al tema della privacy. L’Italia, infatti, ha ottenuto il primato negativo: da agosto 2020, a due mesi dal nuovo piano, è al primo posto per valore totale delle sanzioni per aver violato il GDPR.
Il valore delle multe è molto pesante: ad agosto 2020 era di 45,6 milioni di euro, arrivata oggi a 69,3 milioni di euro. Cifra alta, altissima, un triste primato che equivale a più di 1/4 rispetto al totale delle multe in Europa, dove si sono raggiunti i 272,5 milioni di euro di multe (158,5 milioni di euro solo negli ultimi 12 mesi). Un bel problema per le imprese già messe alle strette dal Covid-19!
L’infrazione più ricorrente? Quella di “basi giuridiche insufficienti per il trattamento dei dati”.
Siamo di fronte ad un serio problema culturale.
GDPR, Covid e Digital Transformation
I numeri appena visti dimostrano che le autorità di protezione dei dati personali non si sono fermate nonostante il Covid-19.
Però, al di là delle sanzioni che pendono sul nostro capo, nel primo periodo di eventi pandemici tutti gli Stati membri dell’Unione europea, compresa l’Italia, hanno mostrato aumentata armonizzazione, pur nella (necessariamente da tener d’occhio) frammentazione.
Le imprese sono al centro delle restrizioni economiche da mesi, contemporaneamente però sono parte di un processo rivoluzionario di Digital Transformation. In quest’era, la protezione dei dati e la conformità al GDPR diventano un vantaggio competitivo, e nelle realtà produttive di tutta Europa si sta cercando di diffondere sempre di più la cultura della conformità alla rigorosa protezione dei dati. Si è già al lavoro in ambito nazionale ed europeo per strutturare e approvare le regole che disciplineranno l'ottenimento di certificazioni GDPR da parte delle aziende. Ottenere queste certificazioni attestanti il raggiungimento della compliance , significherà aumentare la fiducia dei propri clienti e fornitori e beneficiare di un vantaggio competitivo nei confronti dei competitor che non le hanno ottenute!
GDPR: cosa si viola?
L’attività ispettiva del Garante per la privacy ha riguardato e riguarderà i settori delicati di cui parlavamo: fatturazione elettronica; whistleblowing (o segnalatore di illeciti); marketing; data breach (o violazione dei dati personali).
L’obbligo di segnalazione del data breach, in particolare, è il più gravoso tanto che la notifica di eventuali violazioni di dati deve avvenire, se possibile, entro 72 ore, a meno che la violazione dei dati personali non presenti un rischio per i diritti e le libertà delle persone fisiche. A tal proposito il Garante ha messo a disposizione di recente un servizio online di autovalutazione del data-breach.
Tuttavia ci sono tool e software come il nuovo GDPR Zucchetti e soprattutto servizi di consulenza GDPR come quello che proponiamo noi, in grado di fornire supporto a 360° e risultati molto più concreti.
In questo contesto, il piano ispettivo concentrerà accertamento e verifiche su grandi temi quali il rispetto delle norme nel rilascio di certificati tramite l’Anagrafe nazionale della popolazione residente, l’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e imprese che hanno a che fare con particolari categorie di dati personali, il rispetto delle norme sulla informativa e il consenso e (non ultimo) i tempi di conservazione dei dati.
