Le aziende italiane sono le più sanzionate in assoluto per la violazione delle disposizioni del General data protection regulation (Gdpr). Questa uno dei dati principali dell’istantanea scattata dallo studio legale internazionale Dla Piper, attraverso un sondaggio realizzato in collaborazione con l’Italian privacy think tank (Iptt), in occasione del terzo anno di vita del Gdpr.
Il sondaggio è il risultato del contributo di esperti privacy di 75 società provenienti dai principali settori dell’economia italiana, dalla tecnologia, media e telecomunicazioni (24%) alla moda, cibi o bevande e vendita al dettaglio (23%), inclusi il mercato bancario e dei servizi finanziari (16%), assicurativo (9%), life sciences and wellness (11%).
L’importanza dei dati per le aziende
La pandemia da Covid-19 e la corsa alla digitalizzazione, con cui le aziende stanno cercando di uscire dalla crisi, ha valorizzato come non mai i dati, spiega Dla piper. Per questo i dati ad oggi rappresentano un asset aziendale di enorme valore. Ma “il loro valore dipende anche dalla capacità dell’azienda di massimizzarne i benefici e minimizzare i rischi derivanti dal loro sfruttamento. Se si utilizzano i dati in modo scorretto si rischiano gravi conseguenze in caso di contestazione, sia in termini reputazionali che in termini economici”, spiega Giulio Coraggio, partner di Dla piper e responsabile del settore technology.
Ispezioni del Garante privacy
Le ispezioni del Garante della privacy durante questi primi mesi del 2021 sono raddoppiate rispetto a quelle del semestre precedente. Diventa essenziale per le società, spiega lo studio legale in una nota, adottare delle procedure interne per la gestione delle ispezioni da parte dell’autorità.
Dalla ricerca risulta che il 43% degli intervistati si è mosso in questo senso, seguito da un altro 19% che ha adottato una procedura interna, senza tuttavia includere elementi di dettaglio all’interno della stessa.
Un numero più ridotto di imprese ha optato per un approccio differente. Il 7% delle società non ha adottato una procedura per gestire le ispezioni e ritiene di non averne bisogno, mentre il 5% (avendo già subito ispezioni) pensa di poterle gestire senza la necessità di una procedura ad hoc.
Quanto conservare i dati: ad oggi è un rebus per le aziende.
Il termine di conservazione dei dati personali legato al Gdpr è uno dei compiti più complessi per gli esperti privacy, spiega lo studio legale. I dati riflettono un contesto a volte sottovalutato dalle aziende, nonostante il Garante abbia già emesso le prime sanzioni nei casi di violazione.
Dallo studio emerge come, rispetto alla finalità di marketing, il 23% conservi i dati per 24 mesi dall’ultima interazione (ultima apertura di una mail, ultimo acquisto o partecipazione a un evento che mostra un interesse dell’utente per il brand). Il 19% poi conserva i dati per più di 24 mesi dalla raccolta o dall’ultima interazione, mentre il 21% conserva i dati a tempo indeterminato finché l’interessato non esegue l’opt-out. Una percentuale, che per Dla piper è “decisamente elevata”
Passando alla conservazione dei dati ai fini della profilazione si nota come il 19% delle volte le aziende non procedono alla cancellazione, ma continuino il trattamento in modalità aggregata che consente comunque di risalire ai singoli dati di profilazione.
Nel 53% dei casi studiati dal sondaggio, le aziende procedono alla cancellazione, mentre l’8% non cancella mai nessuna categoria di dati personali.
Consenso sul trattamento dei dati e utilizzo dei cookies
A distanza di tre anni dall’entrata in vigore del Gdpr, il 64% delle aziende continua a richiedere due consensi separati per le attività di marketing e profilazione e dal sondaggio sembra emergere un cambio di direzione nell’utilizzo dei cookies per attività di marketing: infatti, il 49% dichiara di non svolgere attività di marketing su siti di terze parti, con solo il 19% delle società che installano i propri cookie su siti di terzi.
Puntare sul legal design per rendere i dati legali più trasparenti
Si rileva inoltre un crescente interesse per il legal design, al fine di trasmettere i concetti legali in maniera adeguata e diretta, e instaurare un legame più trasparente con i propri utenti: il 23% ha già incaricato uno studio legale e/o un designer di rivoluzionare i propri documenti legali (ad esempio, informative privacy, contratti, ecc.), il 50% pensa di farlo nel breve termine.
La compliance privacy, una funzione strategica
Sul modello organizzativo di compliance privacy, il 48% delle aziende dichiara di averne uno a tre livelli con l’ufficio legale, compliance o privacy, con il Data protection officer (Dpo) che ha un ruolo di supervisione, e con soggetti delegati nei principali dipartimenti dell’azienda. Intervistate sul giusto posizionamento del Dpo, il 32% delle aziende ha dedicato un budget specifico al suo ruolo, mentre nel 41% dei casi esiste un budget per il Dpo ma senza un importo determinato. “La compliance privacy non deve quindi essere più percepita come un costo, ma come una funzione strategica da cui dipende il futuro dell’azienda”, ha dichiarato Coraggio.
Il trasferimento dei dati fuori dallo Spazio economico europeo
A quasi un anno dalla sentenza Schrems II, alcune società “sembrano ancora spaesate su come gestire il trasferimento dei dati fuori dallo Spazio economico europeo (See)”, spiega nella nota lo studio legale. Soltanto il 37% delle società, tra quelle partecipanti alla survey, esegue una valutazione sistematica dei trasferimenti di dati personali, mentre il 19% si limita ad analizzare quelli più rilevanti per il proprio business. Ed è di rilievo che, sebbene il 44% del campione intervistato si limiti ad eseguire controlli sui responsabili del trattamento dei propri fornitori It, oltre la metà non conduce alcun audit o controllo sui propri fornitori in generale.
Violazione dei dati personali: meno casi della Germania ma analisi poco concrete
I risultati del ‘Data Breach Report 2021‘, pubblicato da Dla piper, hanno mostrato come il numero di data breach notificati al Garante per la protezione dei dati personali dal 25 maggio 2018 al 27 gennaio 2021 sia di circa 3.460 (contro 77.747 in Germania).
L’Italia è quindi la più protetta? No, per Dla piper l’Italia sembra avere un approccio restio alle notifiche: ad oggi il 26% delle aziende si affida ad una analisi caso per caso o all’assistenza di un legale esterno. Al contrario, il 74% del campione intervistato ha introdotto nella propria struttura organizzativa una procedura interna, mentre il 14%, oltre alla procedura interna, si avvale di un tool di legal tech per garantire l’indipendenza e imparzialità nella valutazione.
Il rischio è quindi che, in alcuni casi, le procedure (più o meno dettagliate) rimangano puramente ‘formali’ e non comportino un’analisi concreta delle circostanze del caso e degli obblighi che ne possono derivare ai sensi della normativa sul trattamento dei dati personali.
