Privacy: l’80% delle aziende non è “a norma”

di Felice Florio
Privacy: l'80% delle aziende non è

Nel nostro Paese solo il 23% delle aziende si è adeguata al Gdpr, il 59% ha avviato dei progetti sulla questione e l’88% ha destinato al tema una parte del proprio budget

«Il Regolamento generale sulla protezione dei dati, il Gdpr, dev’essere considerato un’evoluzione delle norme sul trattamento dei dati personali già esistenti, non una rivoluzione». L'avvocato Giovanni Battista Gallus è uno dei massimi esperti nel diritto dell’informatica e nella tutela della privacy. Con noi di Open ha fatto il punto sullo stato della nuova normativa europea. Alla fine dell’articolo, cinque punti sintetici per spiegare cos'è il Gdpr.

In Italia solo il 23% delle aziende si è adeguata al Gdpr mentre il 59% ha avviato dei progetti sulla questione. L’88% ha destinato al tema una parte del proprio budget. A scattare questa fotografia, uno studio dell’Information Security & Privacy della School of Management del Politecnico di Milano. Sempre secondo la ricerca, nell’82% dei casi la principale vulnerabilità dei sistemi informatici è costituita proprio dalla distrazione e dalla scarsa consapevolezza dei dipendenti.

Avvocato Gallus, facciamo un recap: cos’è cambiato con l’introduzione del Gdpr?
«Il regolamento europeo vede un significativo rafforzamento dei diritti dei cittadini, non solo perché questi diritti sono al centro di tutto l’impianto del Gdpr, ma perché ne vengono stabiliti di nuovi che prima non esistevano. Penso alla portabilità dei dati personali che spetta ad esempio a chi carica i dati su Facebook o sul sito della propria assicurazione. Il diritto alla portabilità consente di chiedere una copia strutturata delle informazioni cedute. Oltre a questo, in base a questo diritto quando è necessario il passaggio ad un altro soggetto se ne deve fare carico la piattaforma e non l’utente. Si può chiedere il trasferimento automatico per il passaggio da un social a un altro».

Privacy: l'80% delle aziende non è

È passato quasi un anno dall’approvazione del nuovo regolamento, come mai le aziende faticano ad adeguarsi?
«Sul lato aziende la questione è più complessa. Sempre citando il diritto alla portabilità, l’azienda deve organizzarsi per effettuarla in maniera rapida e completa. Quando arriva una richiesta, questa deve essere evasa in 30 giorni: se i sistemi informatici non sono aggiornati, è un problema. Inoltre ai cittadini viene confermata la possibilità di fare reclami al Garante, il quale può comminare sanzioni economiche ingenti. È un deterrente contro l’utilizzo scorretto dei dati dell’utente».

Ne va anche della reputazione dell’azienda.
«Ecco un altro punto rilevante sul quale imprese e pubblica amministrazione devono insistere. Dal caso Cambridge Analytica ho constatato che il danno più temuto non è tanto la sanzione o la causa legale ma il danno reputazionale. Prima le banche e le assicurazioni andavano incontro a seccature legali ma la loro reputazione restava pressoché intonsa. Oggi invece c’è una maggiore consapevolezza delle regole sul trattamento dei dati».

Molti considerano l’attuazione del Gdpr come un costo e non come un investimento.
«Ottenere la conformità è un procedimento complesso che va aggiornato continuamente. Sia per la sicurezza dagli attacchi informatici, che si evolvono sempre, sia per l’aggiornamento delle normative. Nonostante questo l’implementazione deve essere per forza eseguita subito, non può essere pensata a posteriori. Adesso le aziende o l’ente devono attuare fin dall’inizio il principio per la tutela dei dati personali. Sempre per fare un esempio sulla portabilità, se non si tiene conto dall’inizio, rifarla a posteriori è più complesso, costoso e meno efficace. È inutile negarlo, in Italia siamo partiti in ritardo, ci siamo attivati in zona Cesarini».

Quali segnali ha potuto cogliere con il suo lavoro?
«Io noto che si sta diffondendo una maggiore attenzione ai principi del trattamento dei dati personali. Però non dimentichiamo che stiamo parlando di una disciplina ultra ventennale: in Italia la prima norma risale al 1996. Adesso c’è un clima di interesse più diffuso. Ad esempio, la figura del data protection officer è obbligatoria negli enti della pubblica amministrazione: questo può dare un ulteriore slancio all’adempimento del Gdpr, sia perché controlla dall’interno l’ente, sia perché il data protection officer è la persona con cui si interfacciano i cittadini. È obbligatorio sul sito web l’indirizzo mail del data protection officer: capita sempre più spesso che ci si rivolga a questa nuova figura e le questioni vengano risolte con un semplice dialogo. So che la funzione di mediazione si sta rivelando molte utile».

Privacy: l'80% delle aziende non è

Il Gdpr in cinque punti

  • Introduce nuove regole su informativa e consenso
  • Definisce nuovi limiti al trattamento automatizzato dei dati personali
  • Dà più tutele ai cittadini fornendo loro nuovi diritti
  • Stabilisce criteri più stringenti per il trasferimento dei dati fuori dai Paesi dell'Unione europea
  • Introduce nuove norme per i casi di data breach, la violazione cioè dei database