GDPR: dopo cinque anni la compliance sulla privacy ancora ritenuta un adempimento burocratico

Anche se sono ormai trascorsi cinque anni dall’introduzione del GDPR, le prescrizioni del Regolamento UE sulla protezione dei dati personali in molti casi trovano un'applicazione teorica o approssimativa. Questo è uno dei motivi per cui migliaia di imprese, che hanno compiuto cospicui investimenti in denaro e risorse per adeguarsi alla normativa europea, incorrono in sanzioni da parte delle autorità di controllo.

L’Osservatorio di Federprivacy ha condotto un'indagine su questo tema: hanno partecipato quasi mille addetti ai lavori e il risultato è che il 78% degli intervistati ritiene che le aziende hanno nei riguardi del GDPR uno sguardo superficiale, reputandolo solo un adempimento burocratico. Soltanto il 18% ha rispetto anche della sostanza del regolamento, mentre il restante 4% mira invece alla protezione dei dati.

Un esempio concreto di non conformità alle prescrizioni del GDPR è dato da una società di e-commerce che doveva adempiere all’obbligo di dotarsi di un Data Protection Officer, nominando un proprio funzionario che aveva allo stesso tempo anche il ruolo di amministratore delegato di altre due società di servizi, che egli stesso doveva controllare. L'evidente conflitto d’interessi è costato all’azienda una multa da 525.000 euro.

Situazioni "distorte"

Nicola Bernardi, presidente di Federprivacy, sintetizza le conseguenze a cui può portare una gestione non appropriata degli adempimenti del GDPR: "Quando un’azienda applica tout court le prescrizioni del GDPR senza tenere conto del contesto e della ratio legis, il rischio concreto è quello di generare rilevanti incongruenze nella compliance, e non è raro imbattersi in situazioni distorte come quella del DPO che opera in conflitto d’interessi, oppure in articolate procedure che oggettivamente non garantiscono di poter notificare un data breach nelle 72 ore successive all’evento, ristrettive lettere di autorizzazione agli addetti che poi nella realtà dei fatti possono accedere a tutti i dati aziendali, o addirittura in imprese di pulizie che, applicando in modo distorto l’art.28 del Regolamento UE, sono state nominate responsabili del trattamento solo perché i loro addetti possono accidentalmente accedere a informazioni aziendali mentre svuotano i cestini della spazzatura”.

Il Privacy Day Forum 

L’importanza di conseguire una conformità concreta, che non si limiti solo agli aspetti formali del GDPR, sarà uno degli argomenti al centro del dibattito del prossimo Privacy Day Forum, che quest’anno sarà arricchito da approfondimenti e focus da parte di un board di esperti, di cui farà parte anche Paola Casaccino, Senior Manager di KPMG, che a questo riguardo spiega:

“Nonostante il principio di accountability introdotto dall’art.23 del Regolamento UE 2016/679 abbia responsabilizzato le imprese richiedendo loro di adottare comportamenti proattivi per dimostrare in concreto la propria conformità tramite misure tecniche ed organizzative, spesso si riscontra che le società sanzionate abbiano curato gli adempimenti in modo del tutto formale, e in molti casi si siano purtroppo affidate a dei consulenti che avevano prodotto solo documentazione burocratica senza badare alla sostanza. Occorre quindi che, oltre a dedicare risorse e budget adeguati, il management aziendale si avvalga anche di DPO e professionisti in grado di fornire loro soluzioni operative che assicurino una reale conformità al GDPR, passando così dalla teoria alla pratica.”

Oltre ad essere rappresentata dall’Avv. Casaccino nel dibattito degli esperti, quest’anno KPMG sarà anche Top Partner del Privacy Day Forum che, lo ricordiamo, sarà accolto dal CNR di Pisa il 25 maggio, con una presenza prevista di oltre 1.000 addetti ai lavori.

(Fonte foto: www.focus.namirial.it)