Sono passati cinque anni dall’introduzione del Gdpr, ma restano ancora molti i casi in cui le prescrizioni del Regolamento Ue sulla protezione dei dati personali vengono applicate in modo teorico o approssimativo. Ne consegue che migliaia di imprese, che pure hanno investito soldi e risorse per adeguarsi alla normativa europea, si trovano loro malgrado esposte a sanzioni da parte delle autorità di controllo.
E’ quanto rivela un sondaggio condotto dall’Osservatorio di Federprivacy, cui hanno partecipato quasi mille addetti ai lavori. Secondo i risultati, il 78% degli intervistati ritiene che le aziende curano il rispetto del Gdpr come un mero adempimento burocratico, mentre solo il 18% bada sia alla burocrazia che alla sostanza, e il residuo 4% mira invece alla sostanziale protezione dei dati.
I rischi di un’applicazione superficiale del Gdpr
Ma quali sono i rischi che possono derivare da una grossolana applicazione del Gdpr? Il caso portato alla luce da federprivacy riguarda una società di e-commerce che doveva adempiere all’obbligo di dotarsi di un Data protection officer. L’azienda ha nominato un proprio funzionario che allo stesso tempo era però anche amministratore delegato di altre due società di servizi che egli stesso doveva controllare, e il palese conflitto d’interessi di recente è costato all’azienda una multa da 525.000 euro.
“Quando un’azienda applica tout court le prescrizioni del Gdpr senza tenere conto del contesto e della ratio legis – spiega Nicola Bernardi, presidente di Federprivacy -, il rischio concreto è quello di generare rilevanti incongruenze nella compliance, e non è raro imbattersi in situazioni distorte come quella di un Dpo che opera in conflitto d’interessi, oppure in articolate procedure che oggettivamente non garantiscono di poter notificare un data breach nelle 72 ore successive all’evento, ristrettive lettere di autorizzazione agli addetti che poi nella realtà dei fatti possono accedere a tutti i dati aziendali, o addirittura in imprese di pulizie che, applicando in modo distorto l’art.28 del Regolamento Ue, sono state nominate responsabili del trattamento solo perché i loro addetti possono accidentalmente accedere a informazioni aziendali mentre svuotano i cestini della spazzatura”.
Necessario garantire la reale conformità
“Nonostante il principio di accountability introdotto dall’art.23 del Regolamento Ue 2016/679 abbia responsabilizzato le imprese richiedendo loro di adottare comportamenti proattivi per dimostrare in concreto la propria conformità tramite misure tecniche ed organizzative – puntualizza Paola Casaccino, Senior manager di Kpmg -, spesso si riscontra che le società sanzionate abbiano curato gli adempimenti in modo del tutto formale, e in molti casi si siano purtroppo affidate a dei consulenti che avevano prodotto solo documentazione burocratica senza badare alla sostanza. Occorre quindi che, oltre a dedicare risorse e budget adeguati, il management aziendale si avvalga anche di Dpo e professionisti in grado di fornire loro soluzioni operative che assicurino una reale conformità al Gdpr, passando così dalla teoria alla pratica”.
