Gdpr: regole ancora poco chiare per le imprese
Secondo una survey realizzata Dla Piper, a tre anni dall’entrata in vigore del regolamento sulla conservazione e trattamento dei dati personali le aziende italiane mostrano poca linearità nell’adeguamento alla norma
27/05/2021
Dla Piper coglie l’occasione del terzo anniversario dell’entrata in vigore del Gdpr per realizzare una survey (in collaborazione con l’Italian Privacy Think Tank – IPTT) su come le imprese italiane stanno mettendo in pratica le direttive sulla gestione e trattamento dei dati.
Le aziende italiane sono in Europa le più sanzionate per la violazione delle disposizioni del Gdpr a seguito delle ispezioni del Garante privacy; emerge inoltre che, secondo i risultati del “Data Breach Report 2021” di Dla Piper, il numero di data breach notificati al Garante dal 25 maggio 2018 sino al 27 gennaio 2021 sia di circa 3.460, un numero molto più contenuto rispetto alle notifiche in Germania (77.747). L’impressione è che il dato sia esito di una sorta di resistenza da parte delle imprese, dimostrata dal fatto che ad oggi solo il 26% si affida ad una analisi caso per caso o all’assistenza di un legale esterno.
Nel corso dei primi mesi del 2021 le ispezioni sono raddoppiate rispetto al semestre precedente: questo aspetto richiederebbe da parte delle imprese l’adozione di procedure interne per la gestione delle ispezioni da parte dell’autorità, soluzione che è limitata al 43% degli intervistati.
Riguardo alle notifiche, solo il 26% delle aziende del campione ha adottato un sistema di analisi caso per caso o si affida all’assistenza di un legale esterno, mentre il 74% ha attivato una procedura interna e il 14% integra la procedura interna con un tool di legal tech. Il rischio evidenziato da Dla Piper è quello di un approccio formalmente compliant e non del tutto effettivo.
Questo aspetto apre la prospettiva sul modello organizzativo di compliance privacy: il 48% del campione intervistato dichiara un modello a tre livelli che prevede l'ufficio legale, compliance o privacy, il Data Protection Officer con ruolo di supervisione, e figure delegati nei principali dipartimenti dell'azienda. Rispetto alla figura del DPO, il 32% delle aziende ha dedicato un budget specifico al suo ruolo, mentre il 41% prevede un budget ma senza averne determinato l’importo.
© RIPRODUZIONE RISERVATA
👥