BusinessCommunity.it
Home page BusinessCommunity.it Cerca Sommario di questo numero Arretrati News Abbonamenti
BusinessCommunity.it

09/06/2021

idee

GDPR: norme sulla privacy ancora un rebus per le imprese italiane

Giulio Coraggio (DLA Piper): la compliance privacy non deve essere più percepita come un costo, ma come una funzione strategica da cui dipende il futuro dell'azienda

Sono già passati tre anni da quando è entrato in vigore il General Data Protection Regulation (GDPR), ed è tempo di bilanci, che mettono in risalto positività e criticità di una norma che ha fatto e fa molto discutere sulle sue interpretazioni.
Molto interessante una survey realizzata dello studio legale internazionale DLA Piper, in collaborazione con l'Italian Privacy Think Tank - IPTT, che ha tracciato lo stato dell'arte: le aziende italiane sono ancora alle prese con la corretta interpretazione delle norme, nonostante l'accelerazione digitale e di tutto quel che ha a che fare con i dati, diventati oramai "person of the year" a tutti gli effetti.
Il sondaggio è il risultato del contributo di esperti privacy di 75 società provenienti da tutti i principali settori dell'economia italiana, dalla tecnologia, media e telecomunicazioni (24%) alla moda, cibi o bevande e vendita al dettaglio (23%), inclusi il mercato bancario e dei servizi finanziari (16%), assicurativo (9%), life sciences and wellness (11%).
In merito alle ispezioni del Garante privacy, le aziende italiane risultano le più sanzionate in assoluto per la violazione delle disposizioni del GDPR.


Le ispezioni durante questi primi mesi del 2021 sono raddoppiate rispetto a quelle del semestre precedente: diventa quindi essenziale per le società adottare delle procedure interne per la gestione delle ispezioni da parte dell'autorità.
Dalla survey risulta che il 43% degli intervistati si è mosso in questo senso, seguito da un altro 19% che ha adottato una procedura interna, senza tuttavia includere elementi di dettaglio all'interno della stessa.
Un numero più ridotto di imprese che ha optato per un approccio differente: solo il 7% delle società non ha adottato una procedura per gestire le ispezioni e ritiene di non averne bisogno, mentre il 5% - avendo già subito ispezioni - pensa di poterle gestire senza la necessità di una procedura ad hoc.

Il termine di conservazione dei dati ancora un rebus per le aziende

Il termine di conservazione dei dati personali è uno dei compiti più complessi per gli esperti privacy.
I dati riflettono un contesto a volte sottovalutato dalle aziende, nonostante il Garante abbia già emesso le prime sanzioni nei casi di violazione.
Dallo studio emerge come rispetto alla finalità di marketing:
- il 23% fa decorrere 24 mesi dall'ultima interazione, come l'ultima apertura di una email, l'ultimo acquisto o partecipazione a un evento che mostra un interesse dell'utente per il brand;
- il 19% conserva i dati per più di 24 mesi dalla raccolta o dall'ultima interazione;
- una percentuale decisamente elevata (21%) conserva i dati a tempo indeterminato finché l'interessato non esegue l'opt-out.


Rispetto alla finalità di profilazione:
- nel 19% dei casi le aziende non procedono alla cancellazione, continuando il trattamento in modalità aggregata che consente comunque di risalire ai singoli dati di profilazione, nel 53% dei casi procedono alla cancellazione, mentre solo l'8% non cancella mai nessuna categoria di dati personali.
A distanza di tre anni dall'entrata in vigore del GDPR, il 64% delle aziende continua a richiedere due consensi separati per le attività di marketing e profilazione e dal sondaggio sembra emergere un cambio di direzione nell'utilizzo dei cookies per attività di marketing: infatti, il 49% dichiara di non svolgere attività di marketing su siti di terze parti, con solo il 19% delle società che installano i propri cookie su siti di terzi.
Si rileva inoltre un crescente interesse per il legal design, al fine di trasmettere i concetti legali in maniera adeguata e diretta, e instaurare un legame più trasparente con i propri utenti: il 23% ha già incaricato uno studio legale e/o un designer di rivoluzionare i propri documenti legali (ad esempio, informative privacy, contratti, ecc.

), il 50% pensa di farlo nel breve termine.
Sul modello organizzativo di compliance privacy, il 48% delle aziende dichiara di averne uno a tre livelli con l'ufficio legale, compliance o privacy, con il DPO che ha un ruolo di supervisione, e con soggetti delegati nei principali dipartimenti dell'azienda. Intervistate sul giusto posizionamento del Data Protection Officer, il 32% delle aziende ha dedicato un budget specifico al suo ruolo, mentre nel 41% dei casi esiste un budget per il DPO ma il relativo importo non è determinato.
A quasi un anno dalla sentenza Schrems II, alcune società sembrano ancora spaesate su come gestire il trasferimento dei dati fuori dello SEE. Infatti, soltanto il 37% delle società, tra quelle partecipanti alla survey promossa da DLA Piper, esegue una valutazione sistematica dei trasferimenti di dati personali, mentre il 19% si limita ad analizzare quelli più rilevanti per il proprio business. Ed è di rilievo che, sebbene il 44% del campione intervistato si limiti ad eseguire controlli sui responsabili del trattamento dei propri fornitori IT, oltre la metà non conduce alcun audit o controllo sui propri fornitori in generale.



Italia poco propensa a comunicare Data Breach

I risultati del "Data Breach Report 2021" - pubblicato da DLA Piper - hanno mostrato come il numero di data breach notificati al Garante per la protezione dei Dati Personali dal 25 maggio 2018 sino al 27 gennaio 2021 sia di circa 3.460 (contro 77.747 in Germania).
L'Italia più protetta? No, l'Italia sembra avere un approccio restio alle notifiche: ad oggi solo il 26% delle aziende si affida ad una analisi caso per caso o all'assistenza di un legale esterno. Al contrario, il 74% del campione intervistato ha introdotto nella propria struttura organizzativa una procedura interna, mentre solo il 14%, oltre alla procedura interna, si avvale di un tool di legal tech per garantire l'indipendenza e imparzialità nella valutazione.
Il rischio è quindi che, in alcuni casi, le procedure (più o meno dettagliate) rimangano puramente formali e non comportino un'analisi concreta delle circostanze del caso e degli obblighi che ne possono derivare ai sensi della normativa sul trattamento dei dati personali.


Commentando i risultati della survey, Giulio Coraggio, partner di DLA Piper e responsabile del settore Technology, ha affermato: "la pandemia da COVID-19 e la corsa alla digitalizzazione con cui le aziende stanno cercando di uscire dalla crisi ha valorizzato come non mai i dati. I dati rappresentano ormai un asset aziendale di enorme valore, ma il loro valore dipende anche dalla capacità dell'azienda di massimizzarne i benefici e minimizzare i rischi derivanti dal loro sfruttamento. Se si utilizzano i dati in modo scorretto si rischiano gravi conseguenze in caso di contestazione, sia in termini reputazionali che in termini economici. La compliance privacy non deve quindi essere più percepita come un costo, ma come una funzione strategica da cui dipende il futuro dell'azienda".

ARGOMENTI: marketing - retail - ecommerce - intelligenza artificiale - AI - IA - digital transformation - pmi - high yield - bitcoin - bond - startup - pagamenti - formazione - internazionalizzazione - hr - m&a - smartworking - security - immobiliare - obbligazioni - commodity - petrolio - brexit - manifatturiero - sport business - sponsor - lavoro - dipendenti - benefit - innovazione - b-corp - supply chain - export - - punto e a capo -

> Vai al sommario < - > Guarda tutti gli arretrati < - > Leggi le ultime news <

Copyright © 2009-2024 BusinessCommunity.it.
Reg. Trib. Milano n. 431 del 19/7/97
Tutti i Diritti Riservati. P.I 10498360154
Politica della Privacy e cookie

BusinessCommunity.it - Supplemento a G.C. e t. - Reg. Trib. Milano n. 431 del 19/7/97
Dir. Responsabile Gigi Beltrame - Dir. Editoriale Claudio Gandolfo


Copertina BusinessCommunity.it