Il 78% delle imprese considera ancora la privacy come un mero adempimento burocratico.
Il caso della multa da mezzo milione di euro alla società di e-commerce che aveva nominato un DPO in conflitto d’interessi.
Bernardi: “Con applicazioni fuorvianti del GDPR ci sono imprese di pulizia che sono state nominate responsabili del trattamento solo perché i loro addetti vedono informazioni aziendali quando svuotano i cestini dei rifiuti”.
Paola Casaccino: “Spesso le società sanzionate si erano affidate a consulenti che avevano prodotto solo documentazione burocratica senza badare alla sostanza.
Necessario passare dalla teoria alla pratica”.
Firenze, 16 marzo 2023 – A cinque anni dall’introduzione del GDPR sono ancora molti i casi in cui le prescrizioni del Regolamento UE sulla protezione dei dati personali vengono applicate in modo teorico o approssimativo, e migliaia di imprese che pure hanno investito soldi e risorse per adeguarsi alla normativa europea si trovano loro malgrado esposte a sanzioni da parte delle autorità di controllo.
Non è quindi un caso che da un sondaggio condotto dall’Osservatorio di Federprivacy a cui hanno partecipato quasi mille addetti ai lavori è emerso che il 78% degli intervistati ritiene che le aziende curano il rispetto del GDPR come un mero adempimento burocratico, mentre solo il 18% bada sia alla burocrazia che alla sostanza, e il residuo 4% mira invece alla sostanziale protezione dei dati.
Ad esempio, una società di e-commerce che doveva adempiere all’obbligo di dotarsi di un Data Protection Officer aveva nominato un proprio funzionario che allo stesso tempo era però anche amministratore delegato di altre due società di servizi che egli stesso doveva controllare, e il palese conflitto d’interessi di recente è costato all’azienda una multa da 525.000 euro.
A fare la sintesi delle conseguenze a cui può portare una gestione grossolana degli adempimenti del GDPR è Nicola Bernardi, presidente di Federprivacy:
“Quando un’azienda applica tout court le prescrizioni del GDPR senza tenere conto del contesto e della ratio legis, il rischio concreto è quello di generare rilevanti incongruenze nella compliance, e non è raro imbattersi in situazioni distorte come quella del DPO che opera in conflitto d’interessi, oppure in articolate procedure che oggettivamente non garantiscono di poter notificare un data breach nelle 72 ore successive all’evento, ristrettive lettere di autorizzazione agli addetti che poi nella realtà dei fatti possono accedere a tutti i dati aziendali, o addirittura in imprese di pulizie che, applicando in modo distorto l’art.28 del Regolamento UE, sono state nominate responsabili del trattamento solo perché i loro addetti possono accidentalmente accedere a informazioni aziendali mentre svuotano i cestini della spazzatura”.
(Nella foto: Nicola Bernardi, Presidente di Federprivacy)
L’importanza di conseguire una conformità concreta che non si limiti puramente agli aspetti formali del GDPR, sarà pertanto uno degli argomenti al centro del dibattito del prossimo Privacy Day Forum, che quest’anno sarà arricchito da approfondimenti e focus da parte di un board di esperti, di cui farà parte anche Paola Casaccino, Senior Manager di KPMG, che a questo riguardo spiega:
“Nonostante il principio di accountability introdotto dall’art.23 del Regolamento UE 2016/679 abbia responsabilizzato le imprese richiedendo loro di adottare comportamenti proattivi per dimostrare in concreto la propria conformità tramite misure tecniche ed organizzative, spesso si riscontra che le società sanzionate abbiano curato gli adempimenti in modo del tutto formale, e in molti casi si siano purtroppo affidate a dei consulenti che avevano prodotto solo documentazione burocratica senza badare alla sostanza. Occorre quindi che, oltre a dedicare risorse e budget adeguati, il management aziendale si avvalga anche di DPO e professionisti in grado di fornire loro soluzioni operative che assicurino una reale conformità al GDPR, passando così dalla teoria alla pratica.”
(Nella foto: Paola Casaccino, Senior Manager di KPMG)
Oltre ad essere rappresentata dall’Avv. Casaccino nel dibattito degli esperti, quest’anno KPMG sarà anche Top Partner del Privacy Day Forum che si svolgerà il 25 maggio al CNR di Pisa, a cui è prevista la presenza di oltre 1.000 addetti ai lavori.