Lo studio legale internazionale DLA Piper ha elaborato un sondaggio per “scattare una fotografia” della situazione delle aziende italiane rispetto all’applicazione del GDPR a 3 anni dall’entrata in vigore del Regolamento stesso. Il campione di aziende intervistate afferisce a vari settori:

  • 24% tecnologia, media e telecomunicazioni;
  • 23% aziende alimentari e vendita al dettaglio;
  • 16% servizi finanziari e mercato bancario;
  • 9% assicurazioni;
  • 11% wellness e life sciences. 

Dal sondaggio emerge chiaramente come le aziende italiane risultino le più sanzionale in Europa per violazioni delle previsioni del GDPR. Il numero di sanzioni è correlato ad un vero e proprio balzo in avanti del numero di ispezioni compiute dall’authority, che risultano raddoppiate rispetto allo stesso semestre dello scorso anno: un dato che ribadisce la necessità e urgenza, per le aziende, di adottare procedure interne per gestire al meglio eventuali ispezioni da parte del Garante.

Dal sondaggio emerge che oltre il 43% degli intervistati si è già organizzata in questo senso, il 19% ha adottato invece una procedura interna, senza però analizzarla e specificarla nei dettagli. C’è anche un 7% di aziende che non ha adottato alcuna procedura di gestione delle ispezioni e ritiene di non averne bisogno, mentre il 5% degli intervistati ha dichiarato di aver già subito ispezioni e quindi ritiene di non aver bisogno di procedure ad hoc.

A fronte di un aumento dell’attività ispettiva, non corrisponde però una conseguente attenzione alla notifica dei data breach subiti: il Data breach report 2021, pubblicato sempre da Dla Piper mostra come il numero di breach notificati al Garante in questi 3 anni sia di 3460, dato che stride con le 77.747 notifiche registrate in Germania. Il dato stride perchè non indica che le aziende italiane sono più sicure e ubiscono meno breach ma che, anzi, le aziende italiane sono estremamente restie a denunciare i data breach subiti nonostante sia un obbligo di legge.

Sul tema è interessante registrare come solo il 26% delle aziende esegua analisi specifiche caso per caso o richieda l’assistenza di un legale esterno, solo il 14% si è dotato di una procedura interna ma anche di strumenti legali per garantire imparzialità e indipendenza nella valutazione dei breach. Eppure il 74% degli intervistati conferma di avere introdotto una procedura interna sul punto: insomma, il rischio è che tali procedure rimangano “pura lettera”, semplicemente formali, senza una solida e dettagliata analisi sia del caso che degli obblighi derivanti.

Interessante il cambio di rotta che emerge sull’uso dei cookie per attività di marketing: il 49% dichiara di non svolgere (o non svolgere più) attività di marketing su siti di terze parti, mentre solo il 19% delle aziende installa i propri cookie su siti di terze parti.

Il grande enigma: quanto conservare i dati?
Pare che uno dei temi che più crea difficoltà agli esperti di privacy sia quello dei termini di conservazione dei dati. I dati indicano inoltre che questo problema è il più sottovalutato dalle aziende nonostante già siano state emesse le prime sanzioni proprio per violazione dei termini di conservazione. In fatto ad esempio, di trattamenti a finalità di marketing, il 19% conserva i dati per più di 24 mesi dalla raccolta dei dati stessi o dall’ultima interazione dell’utente mentre oltre il 21% non dà alcuna limitazione alla conservazione dei dati finchè non è l’interessato stesso ad eseguire l’opt-out.

Rispetto invece alla finalità di profilazione dell’utente, il 18% non cancella mai i dati e continua a trattarli in una modalità che è si aggregata, ma che consente comunque di risalire al dato singolo. Un rassicurante 53% però quantifica le aziende che procedono alla cancellazione dei dati personali.

Il trasferimento dati: aziende nel caos dopo la sentenza Schrems II
La sentenza Schrems II pare aver mandato in confusione alcune aziende sul come gestire il trasferimento dei dati fuori dallo Spazio economico europeo: solo il 37% delle società valuta sistematicamente il trasferimento dei dati personali, il 19% si limita alle analisi a quei dati che sono asset rilevante per l’azienda. Oltre la metà degli intervistati, però, non esegue alcun audio o controllo sui propri fornitori.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *