A un anno dall’applicazione del Gdpr – era il 25 maggio del 2018 quando il nuovo Regolamento sulla protezione dei dati personali diventava operativo – l’Italia non solo è ancora indietro ma è fra i Paesi messi peggio sul fronte della conoscenza delle regole e delle correlate sanzioni.
Gli italiani ne sanno poco di Gdpr
I dati dell’Eurobarometro della Commissione Ue parlano chiaro: solo il 49% dei cittadini italiani conosce il Gdpr contro il 90% degli svedesi, l’87% degli olandesi, l’86% dei polacchi e l’83% degli slovacchi – per citare i più virtuosi. E anche scendendo nella classifica fanno meglio di noi Grecia e Cipro, con il 58% dei cittadini “consapevoli” e il Belgio (al 53%), mentre battiamo per poco la Francia (44%). Il gap da colmare è ancora ampio. E bisogna fare in fretta se si considera che “il nuovo regolamento è diventato la base normativa che plasma la nostra risposta in tanti altri settori in Europa. Dall’intelligenza artificiale allo sviluppo delle reti 5G, passando per l’integrità delle nostre elezioni, le norme severe sulla protezione dei dati contribuiscono allo sviluppo delle nostre politiche e di tecnologie che si basano sulla fiducia dei cittadini”, hanno evidenziato i Commissari Ue Andrus Ansip, Vicepresidente responsabile per il Mercato unico digitale, e Věra Jourová, Commissaria per la Giustizia in occasione del primo anniversario del Gdpr.
Pmi e PA locale ancora troppo indietro
Fra i soggetti più al palo sul fronte del Gdpr ossia che non si sono ancora adeguati alle nuove regole in pole position – per quel che riguarda il nostro Paese – Pubblica amministrazione locale e piccole e medie imprese: secondo dati di Federprivacy il 47% dei siti delle amministrazioni utilizza protocolli non sicuri e il 36% non rende noti i recapiti per contattare il Data Protection Officer, figura obbligatoria per le pubbliche amministrazioni. Un fenomeno “grave ed esteso che riguarda tutte le PA italiane”, evidenzia l’associazione.
Fine della fase “transitoria”: ora nessun occhio di riguardo sulle sanzioni
Se è vero che l’articolo 13 del dlgs 101/2018 disponeva una sorta di “periodo transitorio”, quantificato in otto mesi – di cui il Garante per la Privacy ha tenuto conto ai fini delle sanzioni (nei limiti ovviamente delle situazioni meno gravi) – la deadline è ora scaduta. Quindi non ci sono più alibi né possibilità di potenziali “sconti”. Peraltro in quanto a sanzioni – che in Europa hanno raggiunto i 56 milioni – l’Italia si è già “guadagnata” un discreto posizionamento nella classifica elaborata dalla International Association of Privacy Professionals: siamo al quinto posto preceduti da Danimarca, Polonia, Portogallo e Francia. È il Garante della Privacy ad aver messo nero su bianco nella sua Relazione annuale cosa prevede la normativa in tema di sanzioni. Sono previste sanzioni fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato per la violazione degli obblighi del titolare e del responsabile, dell’organismo di certificazione o dell’organismo di controllo; fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato per la violazione dei princìpi di base del trattamento (artt. 5, 6 7 e 9), dei diritti degli interessati (artt. Da 12 a 22), degli obblighi previsti dagli Stati nelle materie del capo IX (artt. da 85 a 91 – es. giornalismo, lavoro, ricerca scientifica, storica, statistica, segreto professionale), in caso di trasferimento di dati personali al di fuori dell’Unione europea (artt. da 44 a 49); in caso di inosservanza di un ordine o di una limitazione del Garante o di diniego all’accesso ai dati e ai locali (art. 58, par. 1 e 2).
Ecco come fare a recuperare il gap
Ma come mai l’Italia è ancora indietro? E soprattutto come si può fare a raggiungere quelle imprese, in particolare le piccole e medie, che non si sono adeguate? E perché non lo hanno fatto? “Non è solo un tema tecnologico ma anche di cultura e disponibilità di servizi correlati”, spiega a Corcom Pierluigi Acunzo, Marketing Business di Tim. “Oltre alle soluzioni che permettono alle aziende di verificare la loro compliance al Gdpr, indirizzarne gli interventi e redigere tutti i documenti previsti dalla nuova normativa sulla privacy europea, è necessario rendere maggiormente accessibili i servizi che, ad esempio, offrono supporto per la protezione ed il backup di dati e applicazioni, la sicurezza dei propri device (pc, smartphone, table), la protezione della posta elettronica e delle reti”.
Integrazione tecnologia-servizi: la ricetta di Tim
Ed è proprio sull’integrazione tecnologia-servizi che Tim ha deciso di fare leva per spingere l’adozione del Gdpr in Italia e posizionarsi come player leader anche in questo campo. “Il regolamento europeo sulla privacy nasce con l’obiettivo di sensibilizzare e standardizzare le misure nel trattare e proteggere i dati delle persone. I relativi rischi sono tanto più grandi quanto maggiori sono le quantità dei dati trattati e quanto più complesso è il loro utilizzo in azienda. Pertanto è fondamentale mantenere una forte attenzione sui trattamenti informatici”, continua Acunzo. Garantire l’integrità e la sicurezza delle informazioni non è una questione da poco. Di qui la necessità di affidarsi a partner che abbiano il know how e che siano capaci di fornire assistenza in una visione “future proof”, ossia pronti ad adeguarsi rapidamente sia da un punto di vista di aggiustamenti di tipo normativo sia soprattutto sul fronte delle rinnovate esigenze di business. “Scegliere l’azienda giusta è fondamentale per adeguare e mantenere la conformità alla normativa che richiede espressamente di prestare attenzione ai rischi di distruzione, perdita, modifica, divulgazione non autorizzata dei dati trattati”, sottolinea ancora Acunzo.
Numerose le soluzioni offerte da Tim: si va dall’assessment assistito per l’esame preliminare dei rischi e per analizzare – attraverso questionari mirati – il livello di compliance e preparazione dell’azienda al Gdpr alla gestione del Dpia (Data protection impact assessment, alias la valutazione di impatto e rischio), delle note informative e dei vari documenti previsti dal nuovo regolamento; dalla redazione guidata, aggiornamento e conservazione a norma con valore probatorio del registro del trattamento alle informative privacy e cookies policy per siti web, dall’assessment di siti e applicazioni web per identificare proattivamente vulnerabilità e criticità di sicurezza al “network scan” per l’individuazione di vulnerabilità su network e device; dai servizi professionali e consulenziali per la formazione del personale sulle nuove disposizioni legislative Gdpr e sui processi di gestione della privacy fino alla consulenza su tematiche in ambito Legal, Hr, processi e contrattualistica (la lista delle soluzioni e i dettagli delle stesse sono disponibili su https://digitalstore.tim.it/gdpr).
