Il 25 maggio 2018 è stata una data storica per la legislazione europea: è infatti il giorno in cui è diventato direttamente applicabile il GDPR (Regolamento Europeo sulla Protezione dei Dati Personali). Il regolamento dà disposizioni in materia di raccolta, elaborazione e conservazione dei dati personali degli utenti, con l’obiettivo di tutelare maggiormente la privacy dei cittadini e rendere più trasparente l’utilizzo dei dati da parte di aziende e organizzazioni.

Secondo una ricerca pubblicata a febbraio 2019 dall’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, solo un quarto delle aziende italiane è adeguata al GDPR, anche se l’88% delle intervistate ha dichiarato di destinare un budget alle attività di security.

Tra gli ostacoli principali riscontrati dalle imprese per l’adeguamento al GDPR troviamo nell’ordine:

  1. Difficoltà nella raccolta e mappatura dei dati personali (52%)
  2. Mancanza di sensibilizzazione sul tema tra i dipendenti (38%)
  3. Scarsa sponsorizzazione da parte del Management (37%)
  4. Difficoltà nella comprensione della normativa (27%)
  5. Mancanza di figure professionali specializzate (23%)
  6. Insufficienza o assenza del budget stanziato (20%)
  7. Inadeguatezza delle soluzioni tecnologiche e delle iniziative (20%)

Il 19 maggio 2019 sancisce la fine del periodo di tolleranza delle inadempienze e l’intensificarsi delle ispezioni da parte del garante. Per chi non ha adeguato azienda, prodotti e procedure, le sanzioni possono arrivare fino ai 20 milioni o al 4% del fatturato annuo.


Da leggere: La differenza tra informativa Privacy e consenso informato


Ma facciamo un passo indietro e fermiamoci a riflettere: perché il GDPR risulta a molti di difficile comprensione e applicazione?

La motivazione principale è da ricercare nell’origine della normativa, che non si rifà al diritto romano su cui si basa la giurisdizione italiana ma alla common law, il diritto consuetudinario alla base del sistema giuridico anglosassone. A differenza delle leggi a cui siamo abituati, che solitamente forniscono un elenco preciso di adempimenti da rispettare, nella common law viene lasciato ampio margine discrezionale al giudice che applicherà la legge partendo dal caso concreto o dal precedente.

Nel caso specifico del GDPR, il legislatore dà degli obiettivi ma non spiega nel dettaglio come raggiungerli, lasciando così ai singoli il compito di trovare le misure adatte per ottemperare alla legge.

Questa mancanza di imposizioni chiare sul da farsi ha portato diverse associazioni di categoria a proporre come soluzione per l’adeguamento delle aziende una semplice firma su un documento, come se il GDPR si potesse ridurre a una mera questione burocratica.

Perché questo è sbagliato?

L’inadeguatezza di questo metodo si deve ai due principi base del GDPR, che sono:

  • privacy by default
  • privacy by design

Vediamole nel dettaglio:

Privacy by default: tutte le attività devono essere organizzate e gestite in modo da garantire la tutela del dato a priori. Nella pratica, significa raccogliere ed utilizzare solo i dati strettamente necessari alle finalità previste e per il periodo di tempo utile, anche se l’utente non agisce attivamente per limitare la raccolta di tali dati.

Privacy by design: per il principio del “prevenire è meglio che curare”, occorre valutare possibili problematiche dall’inizio, in fase di progettazione e non lasciare la questione della sicurezza come ultima incombenza da risolvere. Una prevenzione del rischio che mira ad evitare sul nascere tutte quelle criticità che possono essere previste, incorporando le misure di protezione nel progetto e garantendo la sicurezza durante tutto il percorso. La tutela del dato viene quindi pensata contestualmente alla progettazione delle attività.

In altre parole, tutto quello che facciamo lo dobbiamo fare tenendo sempre presente la tutela dei dati, includendola a priori nelle attività.


Da leggere: GDPR e posta elettronica: le cose da sapere


Molte realtà aziendali si sono giustamente affidate ad un consulente per adeguarsi al regolamento ed evitare soluzioni fai da te. Ma come capire se il consulente ti ha messo davvero a norma?

Per capirlo ci sono due fattori da valutare:

  • la formazione: tu e il tuo team avete ricevuto una formazione adeguata? Se la risposta è no, allora non puoi dire di essere a norma. Adeguarsi al GDPR significa avere conoscenza delle modalità corrette per la raccolta e la gestione dei dati. Questo vale per tutti i dipendenti e in particolar modo per quelli che svolgono una mansione che prevede l’utilizzo e la gestione di dati sensibili.
  • il sito: il tuo sito web è stato adeguato? Non puoi dire di essere davvero a norma se chi ti ha fatto la consulenza non si è occupato anche dell’adeguamento del sito aziendale. Il sito rappresenta infatti uno degli strumenti principali per la raccolta di dati: e non ci limitiamo a quelli classici reperibili anche offline come nome, cognome, email e numero di telefono, ma si estende a quei dati che identificano l’utente sul web come indirizzo IP, cookie e geolocalizzazione. Il sito aziendale è una delle prime cose ad essere controllate a livello di privacy. Motivo in più per assicurarsi di averlo reso perfettamente a norma.

Ma quindi cosa serve per essere davvero in regola con il GDPR?

Purtroppo non esiste una lista completa di quello che è necessario per adeguarsi al GDPR, perché ogni azienda è diversa e deve valutare come adeguarsi in funzione delle sue caratteristiche. Anche se il Garante ha elaborato una guida per l’applicazione del GDPR, questa non contiene indicazioni specifiche sulle misure da adottare, ma delinea un quadro di quello che deve essere lo standard da raggiungere.

Il principio guida deve essere il Risk Assessment: bisogna cioè fare una stima del rischio e valutare il rapporto tra rischio per l’utente e vantaggio per l’azienda in relazione ad ogni specifico trattamento del dato.

A ciò si ricollega uno dei principi cardine del GDPR, e cioè quello della minimizzazione del dato: i dati devono essere utilizzati solo entro i limiti tali da rendere possibile il raggiungimento dello scopo per il quale sono stati raccolti. Come sancito dall’art. 5 del GDPR, i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati“. Dati non strettamente necessari alle finalità descritte non devono essere né raccolti né trattati.

Ad esempio, raccogliere dati sensibili come condizioni di salute, se non strettamente necessarie ai fini dello svolgimento delle attività, comportano un rischio più elevato in caso di data breach, cioè quelle violazioni della sicurezza che espongono i dati dell’utente a potenziali danni. In questo caso, è chiaro come il rischio per l’utente abbia un peso maggiore rispetto al beneficio per l’azienda.

Alla luce di tutto ciò, è chiaro come l’adeguamento al GDPR sia un’attività complessa, che deve agire in sinergia tra online e offline per assicurare una piena compliance. La consulenza sul GDPR va fatta da una figura esperta, che sappia controllare l’adeguatezza dei sistemi informatici e valutare correttamente la situazione in base alla specifica realtà dell’azienda.

Dal 19 maggio 2019 è terminato il periodo di moratoria concesso dal Garante: questo significa che non ci saranno più attenuanti per chi non è GDPR compliant.

Se vuoi assicurarti che la tua azienda sia davvero in regola con il GDPR, Meta Line ha la soluzione.

La tua azienda è adeguata al GDPR?

Usiamo cookie, anche di terze parti, per fini tecnici, statistici e di profilazione. Cliccando su "Accetto", acconsenti all’uso dei cookie. Per informazioni sui cookie e su come gestirli, consulta la nostra Cookie Policy