GDPR: a un anno (abbondante) dall’entrata in vigore, qual è la situazione?

466

Il 25 maggio 2018, il Regolamento Europeo n. 679 /2016 è entrato in vigore in Italia e ha portato un grande cambiamento nel Trattamento dei dati personali unificando in tutta l’Europa l’approccio alla protezione dei dati.

Ma cos’è cambiato in Italia dopo tale data?

Quante aziende sono compliance con il GDPR?

Le conseguenze del GDPR, la nuova normativa sul trattamento dei dati personali

Possiamo affermare che oggi c’è maggiore sensibilità verso le tematiche legate alla privacy e molte aziende iniziano ad approcciarsi alla questione ma questo non basta in quanto ad oggi sono ancora poche le realtà aziendali e i professionisti che si sono adeguati al Regolamento.

È emblematica la relazione dell’Autorità Garante sull’attività 2018 nella quale è emerso che:

– sono stati adottati 517 provvedimenti collegiali.

– l’Autorità ha fornito riscontro a oltre 5.600 quesiti, reclami e segnalazioni con specifico riferimento in particolare ai settori: marketing telefonico e cartaceo; credito al consumo; videosorveglianza; recupero crediti; lavoro; enti locali; sanità e servizi di assistenza sociale.

-sono state contestate 707 violazioni amministrative in merito a: trattamento illecito di dati; mancata adozione di misure di sicurezza; telemarketing; violazioni di banche dati; omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali; omessa esibizione di documenti al Garante.

– le sanzioni amministrative riscosse ammontano a oltre 8 milioni 160 mila euro, segnando circa il 115% in più rispetto al 2017.

– sono state effettuate 150 ispezioni anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche, hanno riguardato numerosi e delicati settori e, per quanto riguarda il settore privato, le ispezioni si sono rivolte principalmente ai trattamenti effettuati: dagli istituti di credito, da società che svolgono attività di telemarketing e da società che offrono servizi di “money transfer”.

trattamento dati personali

La strada della privacy è ancora lunga

Sono dati impressionanti che ci devono far riflettere su quanta strada ci sia ancora da fare. Ricordo poi che il D.lgs. n. 101/2018, entrato in vigore il 19 settembre 2018, ha uniformato il nostro Codice privacy con il Regolamento UE e ha previsto un periodo di 8 mesi (scaduti ormai il 19 maggio 2019) in cui il Garante, nell’irrogare eventuali sanzioni, ha tenuto conto della fase di transizione.

Il Regolamento UE ha rappresentato una svolta introducendo nuovi principi e nuove figure. Tra i principi introdotti sicuramente il più importante è stato quello dell’accountability ossia di responsabilizzazione del Titolare del trattamento.  Secondo il principio di responsabilizzazione i titolari del trattamento devono assicurare il rispetto dei principi applicabili al trattamento dei dati personali e analizzare e verificare ogni aspetto in fase di progettazione della protezione dei Dati Personali. La conseguenza diretta dell’applicazione del principio di accountability ha comportato che in Italia dopo un anno dall’entrata in vigore del GDPR i Titolari del trattamento hanno iniziato a prendere consapevolezza delle responsabilità derivate dal trattamento dei dati e a mettere in campo misure di sicurezza tecniche e organizzative per trattare i dati delle persone fisiche.

Un’altra elemento importante che è stato introdotto dal GDPR è l’Analisi dei rischi che assume una rilevanza fondamentale ai fini della realizzazione della responsabilizzazione del Titolare e in particolar modo ha svolto e svolge un ruolo importante per le finalità di marketing e di profilazione.

Un’altra novità che ha coinvolto direttamente la struttura organizzativa delle aziende italiane è stata l’introduzione della figura del DPO (Data Protection Officer). Spesso la scelta di questa figura professionale è stata fatta e avviene tutt’oggi secondo criteri di economicità e non di professionalità e autonomia, sottovalutando, in particolare, il necessario requisito della professionalità, che deve essere adeguato alla complessità del settore in cui opera l’azienda e alla tipologia di dati che vengono da essa trattati.

Il GDPR si è rivelato un ottimo strumento di partenza ma c’è ancora molta strada da fare per tutelare i nostri dati. Infatti, se è vero che il Gdpr viene visto da molti come un problema e un costo da sopportare, è altrettanto vero che prima di tutto siamo persone con nostri dati che vogliamo vedere tutelati e rispettati e quindi il Gdpr è prima di tutto una soluzione. Attendiamo fiduciosi adesso il Regolamento ePrivacy, che ad oggi è fermo al Consiglio Europeo per la revisione del testo e che andrà a completare e implementare il GDPR.

Articolo realizzato per EIYOU dall’Avvocato Alessandro Vercellotti – Legal for Digital