GDPR, finito il periodo di tolleranza: già 69,3 mln di euro di sanzioni

Dall'entrata in vigore del Regolamento Europeo 2016/679 sulla protezione dei dati (General Data Protection Regulation - GDPR) le aziende avrebbero già da tempo dovuto iniziare un percorso per valutare la propria conformità alla normativa ed adeguarsi alla stessa. 

In realtà però molte organizzazioni, sia pubbliche che private, non sono ancora conformi e quindi sono ad oggi esposte ad ingenti sanzioni.

Lo scorso 19 maggio è scaduto il periodo di tolleranza previsto dal Garante per la mancata conformità al nuovo Regolamento sulla privacy. 

Sono conseguentemente iniziate le ispezioni del garante in collaborazione con la guardia di finanza. 

Secondo i dati pubblicati nel bilancio relativo al primo anno dall’entrata in vigore del GDPR, dal 31 marzo 2019 sono stati registrati già 7.219 reclami e ben 946 notifiche di data breach. 

A questi si aggiungono quasi 10.000 contatti con l’Ufficio relazioni del Garante e 50.000 comunicazioni dei dati di contatto dei Responsabili Protezione Dati.

Lo scorso anno è stato anche approvato dal collegio del Garante per la protezione dei dati personali - composto da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia, Guido Scorza - il piano ispettivo per il secondo semestre 2020, che si trascinerà anche nel 2021 per le logiche conseguenze del piano pandemico.

Le ispezioni programmate saranno indirizzate a verificare il rispetto delle norme nel rilascio di certificati, tramite l’Anagrafe nazionale della popolazione residente, e nell’attività di marketing, sia nel settore pubblico che privato.

I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano particolari categorie di dati personali, sul rispetto delle norme sull’informativa e il consenso e  sui tempi di conservazione dei dati. 

L'attività ispettiva verrà svolta anche a seguito di segnalazioni e reclami, con particolare attenzione alle violazioni più gravi.

Un primo bilancio dell’attività ispettiva e sanzionatoria dell’Autorità nel primo semestre del 2020 registra un notevole incremento delle entrate complessive derivanti dalle sanzioni, che passano da 1 milione 223mila euro del primo semestre del 2019, a 7 milioni 108 mila euro, con un aumento del 481%.

Sono state effettuate, inoltre, iscrizioni a ruolo per un importo complessivo di 5 milioni 42 mila euro (+124%), a fronte dei 2 milioni 248mila euro del primo semestre 2019. Queste hanno riguardato i trasgressori che non si sono avvalsi della facoltà di definizione agevolata prevista dal decreto legislativo n.101 del 2018.

Le sanzioni emesse valgono già 69,3 mln di euro e l'Italia è al quinto posto della classifica. 

Secondo le previsioni, con l’inizio delle ispezioni, nei prossimi mesi le sanzioni aumenteranno significativamente.

Un numero elevato di procedimenti regolati dalla precedente normativa si sono inoltre chiusi negli ultimi mesi.

In questo contesto diventa più che mai necessario adeguarsi al nuovo regolamento sulla privacy e assicurarsi di essere conformi.

Vediamo insieme dei semplici step per potersi adeguare al GDPR e mantenere la propria compliance nel tempo. 

1-    Processi aziendali

Il primo passo del percorso di adeguamento consiste nel far fare una valutazione dei processi aziendali o dell'ente per quanto riguarda il livello di conformità alla normativa vigente. E' infatti necessario comprendere e avere ben chiari tutti i processi aziendali toccati dal regolamento generale per la protezione dei dati, per poi poter verificare se questi passaggi siano già conformi o meno, e in quest'ultimo caso procedere poi ad adeguarli al più presto. 

2-    Documentazione

Si procede con l’analisi di tutta la documentazione esistente e si capisce dove intervenire per poterla aggiornare. In questa fase sarebbe meglio farsi coinvolgere da chi svolge questo studio, affinchè questo non si risolva con una moltitudine di scartoffie da firmare, ma ci consenta di comprendere lo scopo dei documenti che la legge ci chiede di fornire e conservare. 

3-    Dati

Lo studio si concentra poi su procedure e flussi di trattamento dati, accessi ai dati, modalità di effettuazione del trattamento dati e tipologia degli stessi. Occorre rendersi ben consapevoli sia della tipologia di dati che sono oggetto del regolamento europeo, sia dei processi in cui la nostra azienda o il nostro ente inizia a trattarli. Avere ben chiaro ciò permette di comprendere meglio quali siano i soggetti, interni alla nostra struttura, da coinvolgere nelle procedure e che necessitano di una formazione ad hoc.  

4- Formazione

In tutto il processo non bisogna mai dimenticare infatti la formazione che tutti i soggetti coinvolti nel trattamento dei dati devono necessariamente e costantemente avere. Dobbiamo assicurarci che il nostro personale segua adeguati corsi e si mantenga sempre ben aggiornato, per poter recepire al meglio e applicare senza complicazioni un framework operativo valido, che possa mantenere nel tempo la nostra azienda o il nostro ente al sicuro e conforme al GDPR. 

5- Sistema informatico

Attenzione deve essere posta anche sulle modalità di gestione del sistema informatico, per assicurare che sia conforme alle nuove disposizioni e che i dati inseriti siano sufficientemente protetti dai rischi informatici e telematici. Chi lo ha in gestione deve essere sempre a conoscenza delle procedure e delle regole da seguire per rispettare la normativa. 

6- Soluzioni e verifiche

Una volta individuate le criticità nel sistema organizzativo aziendale o dell'ente, e messe in atto le procedure necessarie a garantire la sicurezza dei dati e del loro trattamento, è fondamentale prevedere una verifica almeno annuale sullo stato di protezione e sull'effettiva esecuzione delle misure prescritte.

Trattandosi infatti di una normativa relativamente giovane, potrebbero facilmente e da un momento all'altro essere introdotte novità capaci di andare a modificare il lavoro svolto.

Per questi motivi, si consiglia vivamente una sistematica verifica della propria compliance, ovvero dell’aderenza dei processi, dei sistemi e delle procedure alla normativa GDPR, indipendentemente dall’avere incaricato un DPO esterno.

Stando ad una recentissima ricerca, pubblicata a febbraio 2021 dall’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, purtroppo solo il 23% delle imprese italiane si è adeguata al GDPR, mentre il 59% ha ancora progetti in corso. Fortunatamente sono però aumentate le risorse stanziate per adeguarsi al GDPR: l’88% delle aziende prevedono un budget dedicato, trenta punti in più rispetto al 2017. 

Si deduce che inizia ad esserci più consapevolezza della necessità di adeguamento, forse sostenuta dal timore delle sanzioni che ora è diventato più tangibile e concreto. 

Da ultimo ricordiamo che la sicurezza dei dati non riguarda solo le imprese.

Da uno studio condotto da Federprivacy, emerge infatti che anche molti siti istituzionali presentano una informativa privacy non ancora aggiornata. 

Ben il 47% dei siti web dei comuni italiani utilizza protocolli non sicuri e il 36% degli enti non rende noti i recapiti per contattare il DPO, figura che il legislatore ha reso obbligatoria per la Pubblica Amministrazione.

In questo contesto, il seguire i 6 step sopra indicati e assicurarsi un sereno adeguamento alla normativa diventa assolutamente prioritario per dormire sonni tranquilli.