GDPR compliance: i trend, i numeri e le nuove strategie
31 Agosto 2020 in DPO as a Service
Il bilancio sulla GDPR Compliance, ovvero sulla adozione del General Data Protection Regulation non sembra pienamente positivo. Infatti, a distanza di due anni dall’introduzione del Regolamento per la protezione dei dati personali come obbligo per tutte le organizzazioni pubbliche e private i numeri della “messa in regola” sono ancora molto bassi. Si rendono necessarie strategie nuove e/o approcci tattici efficaci per stimolare la rispondenza al Regolamento trasformando la GDPR compliance in una leva strategica di business. Analizziamo come approcciare correttamente la strategia di GDPR compliance partendo dai casi più critici di multe GDPR da parte di alcune delle Autorità Garanti europee per violazione della privacy fino agli scarsi numeri di adeguamento delle organizzazioni.
Mancata GDPR compliace e multe GDPR
Il sistema sanzionatorio delineato dal GDPR esprime le condizioni generali per applicare sanzioni amministrative pecuniarie ed è trattato nell’articolo 83. A partire dalla metà del 2018 diverse Autorità Garanti Europee hanno iniziato ad analizzare e ravvisare violazioni della privacy applicando le sanzioni. Ne sono esempi significativi, Google LLC multata dalla Autorità francese per 50 milioni di dollari, l’Ospedale Barreiro Montijo sanzionato dal Garante Privacy Portoghese, la Comissão Nacional de Protecção de Dados (CNPD) per 400 mila euro totali; Knuddels.De multata dalla Autorità Garante tedesca per 20 mila euro, la IDdesign società produttrice di mobili, sanzionata dal Garante privacy danese per 200.850 euro e Unicredit back SA multata per 130 mila euro dal Garante Privacy Rumeno. A questi fanno seguito multe del Garante Privacy italiano per 16 mila euro verso un medico a causa di un trattamento illecito di dati personali, e il caso esemplare del Garante austriaco che ha sanzionato un imprenditore per 4800 euro per aver installato telecamere in modo improprio rispetto alla privacy dei passanti.
In totale in Italia il Garante ha iscritto a ruolo 779 contravventori e prevede di completare l’iter di iscrizione per altri 500. Nei primi sei mesi del 2019, inoltre, il Garante ha dichiarato che sono state realizzate 65 ispezioni, anche con l’ausilio della Guardia di finanza (fonte Mondo Privacy). I dati fanno pensare, ma sono sostanzialmente coerenti con la ricerca del Capgemini Research Institute pubblicata a settembre 2019 e svolta su 1.100 manager di livello dirigenziale e superiore, appartenenti a diverse categorie aziendali, da cui è emerso solo il 28% delle aziende intervistate era in regola con la GDPR compliance, e solo il 30% stava lavorando attivamente per raggiungere la piena compliance. Quando raggiunta risulta invece positivo l’impatto sul brand (81%), sul maggior vantaggio competitivo (92%) sulle pratiche di Cybersecurity (91%), sulla applicazione dei controlli di conformità verso i subcontractor (61%). Per il 2020 il 40% degli intervistati stima che nel 2020 affronterà una spesa pari a oltre un milione di USD per spese legali, mentre il 44% pensa di investire quella stessa cifra per aggiornamenti tecnologici.
Strategie per la GDPR Compliance
Come provato dalla ricerca sopracitata la maggior parte delle organizzazioni intervistate ritiene che il GDPR possa rappresentare una opportunità determinante e cruciale. Il motivo risiede nella comprensione della strategicità di impostazione che il GDPR richiede per poter garantire la protezione dei dati personali. Quindi chi ha compreso l’impianto regolatorio e la sua innovatività per l’accountabililty, la responsabilizzazione e per l’autovalutazione del rischio e delle misure adeguate da implementare nella propria organizzazione, capisce come sia corretto il nuovo paradigma di gestione dei dati e della loro governance. Il GDPR infatti imposta un solido disegno composto da molteplici elementi pratici e operativi. Considerare la GDPR compliance come un investimento aziendale e un’opportunità per rinnovare la gestione dei dati rendendolo un fattore abilitante differenziante, può rappresentare la nuova strategia aziendale da adottare. Quindi la GDPR compliance può essere un’opportunità per spingere un’azienda alle migliori pratiche nella gestione dei suoi dati e nella realizzazione dei vantaggi strategici, competitivi e finanziari di una visione più ampia. A tal fine può essere appropriato adottare un approccio integrato alla compliance, ovvero un approccio integrato alla gestione dei processi aziendali coniugato ad un unico approccio di governance, perché sono molti i requisiti comuni ai diversi schemi normativi a cui una organizzazione deve essere rispondente.
P4I – Partners4Innovation