GDPR in Italia: a che punto siamo?

Si è parlato a sufficienza di GDPR in Italia? Forse no, a giudicare dalla recente classifica di Finbold cha ha collocato l'Italia al primo posto per l'ammontare delle multe pagate dalle aziende finora, nel corso del 2020. La somma è particolarmente elevata a causa delle ammende inflitte ad alcuni nei nostri principali operatori di telecomunicazioni, nello specifico TIM e Wind, oltre che - in maniera molto inferiore - Iliad.
Ci sono un paio di aspetti però che meritano di essere evidenziati. A parte le tre aziende citate, le violazioni sanzionate in Italia riguardano soprattutto piccole realtà, spesso del mondo della pubblica amministrazione o dell'istruzione: comuni, università, aziende ospedaliere, scuole superiori, etc. Si tratta di organizzazioni per cui un'ammenda, anche nell'ordine delle migliaia di euro, può essere significativa. Un'ulteriore conferma di quanto noi diciamo da tempo: il GDPR è una normativa che non riguarda solo le aziende più grandi e strutturate, ma che tocca chiunque tratti a qualsiasi titolo dati di altri. A maggior ragione, se si tratta di un'organizzazione di piccole dimensioni, un'eventuale multa può avere un impatto importante sulla capacità operative.

Non meno importante è quanto emerge dalle motivazioni che stanno dietro le sanzioni comminate: la violazione più ricorrente è quella relativa all'insufficienza di basi giuridiche per il trattamento dei dati. Questo significa che, a due anni dall'entrata in vigore della normativa, troppe aziende non hanno ancora chiaro quali dati possano conservare e per quali finalità. Su questo forse è mancata una riflessione sufficientemente profonda.
Se per ragioni di business le aziende devono processare dati di terzi, il GDPR ha introdotto alcune limitazioni a tutela dei consumatori e per rispettarle, devono avere chiaro quali dati raccolgono, come li utilizzano e per quanto tempo, in modo da poter limitare tempi e modi al minimo indispensabile, come è nello spirito della normativa.
Per questo, un supporto specialistico può essere importante, soprattutto per le realtà più piccole, che spesso non hanno un esperto di dati né un responsabile legale in house. In questo modo, sarà possibile per loro procedere all'analisi e alla revisione dei processi di raccolta, all'utilizzo e alla conservazione delle informazioni che permettano di rispettare le normative senza impatto sul business aziendale.

Andrea Lambiase, DPO di Axitea