Il GDPR a circa un anno dall'introduzione: primi bilanci e criticità

ROMA - Dal momento della piena introduzione del Regolamento generale sulla protezione dei dati, noto come GDPR, è trascorso quasi un anno. Qual è lo stato di adeguamento alla normativa e quale il grado di consapevolezza delle imprese nel tutelare un bene prezioso che sta diventando un fattore competitivo? A che punto sono le pubbliche amministrazioni?

Il convegno, svoltosi lo scorso 5 aprile: “La protezione dei dati personali: Il GDPR un anno dopo”, organizzato dalla Scuola Nazionale di Amministrazione Digitale e da Unitelma Sapienza, in collaborazione con Privacy Italia e Andig (Associazione Nazionale Docenti di Informatica Giuridica) ha cercato di dare una risposta a queste domande.

Dopo l’introduzione di Donato Limone, Direttore della Scuola Nazionale di Amministrazione Digitale (SNAD) – Università degli studi di Roma Unitelma Sapienza, il primo intervento di Giuseppe Busia, Segretario Generale dell’Autorità Garante per la Protezione dei Dati Personali, ha esposto i punti salienti del lavoro svolto dall’Autorità nel corso dell’anno. 

Si è trattato di un anno di lavoro molto impegnativo per l’implementazione della nuova normativa, tanto complessa quanto densa di spunti: "Il GDPR ha reso la protezione dei dati un tema non più solo per tecnici, ma di tanti, grazie anche all’impatto che ha sul digitale. Il decreto di adeguamento al GDPR ha attribuito al Garante strumenti flessibili per garantire a tutti l’applicabilità del Regolamento, che è diventato un modello nel mondo. Dopo un anno viene apprezzato anche dagli Over The Top. Tim Cook, ceo di Apple, si augura una legge Usa sul modello del Regolamento Ue. Il GDPR ha una criticità – ha concluso Busia – il One Stop Shop (Lo sportello unico)”.

Un bilancio positivo

In videoconferenza da Bruxelles è quindi intervenuto Giovanni Buttarelli, Garante europeo per la protezione dei dati. Positivo, a suo parere, il bilancio dei primi 11 mesi di applicazione del Regolamento: “Il GDPR ha resistito molto bene all’onda d’urto, anche sopra le aspettative. Mentre ci avviciniamo al primo anniversario possiamo ritenerci soddisfatti, ma il GDPR è uno strumento di partenza, non uno strumento di arrivo. Il nuovo Regolamento non va burocratizzato, anzi deve coinvolgere le startup che realizzano soluzioni di privacy by design e by default per aiutare cittadini e imprese. Il 1^ compleanno del GDPR è quindi molto positivo, ma ci sono dei vuoti come la non approvazione dell’ePrivacy”.

Parla di "successo" anche Gianluigi Ciacci, presidente di ANDIG: “Il bilancio di un anno del GDPR è quasi un successo, perché la cultura della protezione dei dati non è cresciuta in Italia e la paura delle sanzioni non è sufficiente: adesso bisogna formare i cittadini, introducendo anche delle sanzioni per la mancata formazione”.

A porre in rilievo le criticità è stato Andrea Lisi, Presidente di Anorc Professioni: “In questo primo anno di GDPR si sono presentate tre criticità: non agiamo con spirito europeo, il DPO è isolato e deve diffidare dai ‘bollini’ e soprattutto la Blockchain non risolve i problemi di privacy”.

Nel secondo panel, focalizzato sul Data Protection Offcier e moderato da Raffaele Barberio, Presidente Privacy Italia, i protagonisti sono stati i DPO di Enti pubblici.

“Viviamo in un’epoca paradossale in cui non esitiamo a condividere sul web i dettagli più intimi della nostra vita e allo stesso tempo cerchiamo norme per proteggere la nostra privacy”, ha commentato Clara Rech, Dirigente scolastico del Liceo E.Q.Visconti di Roma.

“Le Scuole hanno avuto indicazioni dal MIUR tardivamente; si sono organizzate in reti e hanno sopperito con personale interno agli obblighi GDPR ma per il DPO si è preferito rivolgersi ad un professionista esterno che garantisse competenza specifica e ruolo super partes. La Scuola infatti tratta molti dati, non solo legati a minori, e deve costantemente contemperare la loro tutela con la trasparenza. Occorre poi sottolineare la necessità di vigilare sull’uso dei mezzi informatici e della comunicazione in rete, non solo perché sono i media preferiti dai giovani, ma anche perché la didattica oggi si serve molto di essi”.

La necessità di un più elevato livello di consapevolezza

“La tutela diviene fondamentale soprattutto nei confronti di giovani e meno esperti di privacy” ha dichiarato Giovanni Calabrò, Direttore Generale Tutela del Consumatore dell’Autorità Garante della Concorrenza e del Mercato (AGCM). “Abbiamo vietato a Facebook il trasferimento dei dati degli utenti a WhatsApp, con una sanzione. Le multe hanno anche un valore aggiuntivo: contengono il danno reputazionale”.

“Nonostante sia passato quasi un anno dalla piena applicazione del GDPR, è ancora basso il livello di consapevolezza della protezione dei dati”, ha osservato Sandro Di Minco, DPO di enti pubblici, per il quale è un ossimoro “nominare un DPO in ‘formazione’: è un danno per il titolare del trattamento del dato”.

Punta l'attenzione sulla necessità di riconoscere i rischi e le opportunità nel trattare i dati personali e sullo sforzo collettivo per ottenere la massima trasparenza sui dati sanitari degli italiani in server di multinazionali all’estero, Gabriele Lipari, DPO Asl Roma, mentre Gaetano Palombelli, Responsabile Area Istituzionale e Ufficio Studi, Unione Province Italiane (UPI) ha spiegato che “Gli enti locali hanno proceduto alla prima applicazione del GDPR, individuando spesso un DPO esterno all’ente con un dispendio di risorse. In alcuni casi si è dato vita ad una gestione associata tra più enti della materia della protezione dei dati personali. Può essere questa la chiave per semplificare gli adempimenti soprattutto nei piccoli Comuni, attraverso la creazione di strutture di supporto e centri di competenza specializzati in ambito provinciale o metropolitano.”

Sicurezza per le infrastrutture

Il convegno ha quindi evidenziato come nel 2019 gli attacchi informatici ai danni della Pa siano aumentati e che uno dei meriti del GDPR sia quello di aver fatto assumere alla sicurezza informatica una posizione di interesse nazionale, nella consapevolezza che "proteggere i dati significa proteggere le persone".

I dati Clusit sono eloquenti: l’Italia è a rischio di criminali informatici e un importante obiettivo da perseguire è quello di garantire infrastrutture sicure, oltre ad accompagnare gli Enti locali e le Pa nell’adeguamento del GDPR. “La vera sfida del futuro per la Pubblica Amministrazione è la governance dei dati, che sono una vera e propria risorsa strategica nel processo di innovazione del Paese” – ha infine concluso Simone Puksic, Presidente Insiel e Presidente Assinter. 

(Fonte: Key4Biz)