GDPR compie tre anni, in Italia siamo in alto mare

Troppe aziende italiane stanno ancora cercando di interpretare la normativa GDPR: l'indagine sulla compliance italiana alla normativa europea sulla protezione dei dati.

Autore: Redazione SecurityOpenLab

A tre anni dall'entrata in vigore del General Data Protection Regulation (GDPR) le aziende italiane sono ancora alle prese con la corretta interpretazione delle norme, nonostante l’accelerazione digitale favorita dalla pandemia. È la conclusione che emerge dalla ricerca condotta da DLA Piper in collaborazione con l’Italian Privacy Think Tank – IPTT, che ha coinvolto gli esperti di privacy di 75 aziende provenienti da tutti i principali settori dell’economia italiana.

Più nel dettaglio, il 24% dei partecipanti proviene da aziende di tecnologia, media e telecomunicazioni, il 23% da quelle di moda, food&beverage e vendita al dettaglio, il 16% dal settore bancario e dei servizi finanziari, il 9% da quello assicurativo (9%).

La scadenza triennale è stata importante nella misura in cui si è ritenuto un periodo sufficientemente lungo per adeguarsi alla normativa, quindi le ispezioni del Garante sono raddoppiate. Hanno comportato una doccia fredda per molte realtà, dato che le aziende italiane sono state le più sanzionate per violazione delle disposizioni del GDPR.
Gli ambiti di controllo sono stati due: marketing e profilazione. Per finalità di marketing il 23% delle aziende sottoposte a ispezione ha fatto fa decorrere i 24 mesi dall’ultima interazione (l’ultima apertura di una email, l’ultimo acquisto o partecipazione a un evento che mostra un interesse dell’utente verso il brand). Il 19% ha conservato i dati per più di 24 mesi dalla raccolta o dall’ultima interazione. Il 21% ha conservato i dati a tempo indeterminato.

Non va meglio quando si passa ad analizzare l'ambito della profilazione. Nel 19% dei casi le aziende non procedono alla cancellazione dei dati e continuano il trattamento in modalità aggregata, che consente comunque di risalire ai singoli dati di profilazione. Nel 53% dei casi si è proceduto alla cancellazione, e solo nell’8% dei casi non si è cancellata nessuna categoria di dati personali.

Eppure l'interesse per la compliance non manca, come dimostra la crescente attenzione per il legal designal fine di trasmettere i concetti legali in maniera adeguata e diretta, e instaurare un legame più trasparente con i propri utenti. È per questo che il 23% degli intervistati ha incaricato uno studio legale di rivoluzionare i propri documenti legali e il 50% pensa di farlo nel breve termine. Sempre sulla scia dei passi avanti è anche il fatto che in molte aziende sta prendendo piede la figura del Data Protection Officer. Il 32% delle aziende ha dedicato un budget specifico al suo ruolo.

Il problema dell'adeguamento però resta, perché gli esempi virtuosi sono comunque una percentuale troppo bassa. Tra i rappresentanti intervistati, solo il 37% ha confermato che la propria azienda esegue una valutazione sistematica dei trasferimenti di dati personali. Il 19% si limita ad analizzare quelli più rilevanti per il proprio business.

Altro problema riguarda la natura delle valutazioni: il 44% del campione si limita ad eseguire controlli sui responsabili del trattamento dei propri fornitori IT, e oltre la metà non conduce alcun audit o controllo sui propri fornitori in generale.

Dalla privacy alla security


Se la situazione della privacy non è rosea, quella della security è ancora peggiore. Sempre DLA Piper ha condotto lo studio Data Breach Report 2021 che colleziona gli incidenti denunciati al Garante che hanno portato a data breach. Nel periodo compreso fra il 25 maggio 2018 e il 27 gennaio 2021 sono stati complessivamente 3.460, che sono infinitesimi rispetto a quelli denunciati da altri Paesi europei.

Il motivo è che in Italia non c'è la propensione a denunciare gli avvenimenti di questo tipo, benché la normativa l'abbia reso obbligatorio, peraltro entro tempi piuttosto stringenti. Difficilmente si chiamano in causa esperti esterni terzi per le indagini forensi che seguono a un incidente, nel 74% dei casi si gestisce tutto in casa, quindi non ci sono garanzie sull'obiettività delle indagini. La conseguenza è una tutela a dir poco lacunosa dell'integrità dei dati e del rispetto della normativa, che di fatto resta solo sulla carta.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.