discover our data rooms
Privacy, Garante: “Sanzioni GDPR stanno cambiando approccio delle imprese al trattamento dati”
digi tales 2021

Privacy, Garante: “Sanzioni GDPR stanno cambiando approccio imprese su trattamento dati”

Ghiglia, componente dell’Autorità: «Maggiore proattività. In tlc, media e commercio importanti criticità di sistema. Digitalizzazione ha aumentato efficienza imprese, ma anche rischi per sicurezza»

Ci sono settori come tlc, media, e-commerce con «criticità “di sistema”» nel rispetto delle norme sulla privacy ma la sanzioni previste dal GPDR stanno facendo cambiare atteggiamento alle aziende, ora proattive nel diventare compliant. Agostino Ghiglia, componente dell’Autorità Garante per la protezione dei dati personali, fa il punto sul rapporto tra aziende, tutela dei dati personali e digitalizzazione a tre anni dall’entrata in vigore del Regolamento Ue 679 del 2016 noto come General Data Protection Regulation. Guardando ai dati del GDPR Enforcement Tracker, che tiene conto delle sole sanzioni rese pubbliche dalle rispettive Autorità, la graduatoria relativa al numero delle sanzioni vede Spagna e Italia al proprio posto.

È una fotografia che corrisponde ai vostri riscontri? Da cosa è dipeso per quanto riguarda l’Italia?

«L‘esito dell’indagine non mi sorprende. L’entità delle sanzioni irrogate dipende da svariati fattori. Primo fra tutti l’esperienza nell’attività di controllo, verifica e ispezione che il Garante italiano ha maturato nei suoi quasi 25 anni di attività mentre alcune delle Autorità di controllo europee solo con il GDPR hanno acquisito detti poteri, penso ai molti Paesi dell’Europa dell’est entrati a far parte dell’UE in momenti successivi. Inizialmente l’Autorità italiana è stata molto prudente nell’attuare le nuove norme del Regolamento UE e nell’applicare le sanzioni in riferimento ai nuovi importi consentiti; in un secondo momento il Garante ha iniziato ad utilizzare i nuovi strumenti non solo verso i titolari privati ma anche nei confronti dei soggetti pubblici o che agiscono per pubblico interesse. Non tutti i paesi UE hanno nella loro normativa questo potere. Siamo in attesa che a livello europeo si realizzi compiutamente un meccanismo che ci consentirà di chiedere ai colleghi delle altre Autorità di controllo di utilizzare gli stessi parametri che utilizziamo, credo correttamente, noi italiani».

Quali sono le difficoltà ad adeguarsi: volontà di aggirarne i principi, scarsi investimenti o bassa preparazione?

A livello europeo, il commercio e le attività di tlc e media sono quelle più di frequente soggette a sanzioni, mentre sotto il profilo della violazione la mancanza delle basi giuridiche per il trattamento è la tipologia più riscontrata. «Gli accertamenti svolti dall’Autorità in questi settori hanno evidenziato importanti criticità “di sistema” che riguardano la violazione non solo dell'obbligo del consenso, ma anche dei fondamentali principi di responsabilizzazione e di implementazione delle tutele privacy, stabiliti dal regolamento UE, fin dalla fase di progettazione dei trattamenti. Non spetta a me valutare le motivazioni che rendono difficile adeguarsi alla normativa, sicuramente posso dire che l’imponenza delle sanzioni previste dal GDPR ha fatto cambiare atteggiamento alle aziende di settore ed ha reso i titolari del trattamento proattivi al fine della realizzazione di una piena compliance».

Le pmi italiane, dopo 3 anni, si sono dotate delle risorse sia di personale qualificato sia di strumenti tecnologici per adeguarsi?

«A tre anni dall’entrata in vigore del GDPR, ed in un periodo di emergenza pandemica ancora di più, tutti noi abbiamo toccato con mano l’importanza della tutela dei dati personali come baluardo di libertà bilanciata con i diritti costituzionalmente garantiti. Molto è stato fatto al fine della realizzazione della conformità al GDPR, resta ancora molto da fare relativamente alla sensibilizzazione del titolare del trattamento, soprattutto in riferimento alla scelta di RPD (Responsabili Protezione Dati, ndr) che abbiano una reale e alta professionalità in ambito privacy.
In Italia, ad oggi, il 69% delle aziende ha inserito nel proprio organico un Responsabile per la Protezione di Dati, principalmente per effetto dell’entrata in vigore del GDPR; per il resto la tendenza è ancora quella di avvalersi di figure esterne. La trasformazione digitale degli ultimi anni ha reso certamente più efficienti imprese e pubbliche amministrazioni, moltiplicando però i rischi per la sicurezza. L’adozione di misure di sicurezza pertinenti ed adeguate da parte del titolare consentirà di limitare tali rischi
».

L’accelerazione della digitalizzazione nei servizi, avvenuta nei quasi due anni di emergenza pandemia, quali effetti sta avendo in termini di trattamento dei dati e quindi di compliance da parte delle aziende?

«La digitalizzazione, accelerata dall’emergenza pandemica, ha reso tutti più consapevoli delle opportunità e dei rischi che ne conseguono. Il Garante ha un punto di osservazione unico, privilegiato. Basti pensare alle notifiche che riceve sulle violazioni dei dati personali che le debbono essere comunicati. Da questi dati emerge come le informazioni e i dati personali debbano essere protetti da attacchi di vario genere sempre più sofisticati. Il lavoro da remoto non può essere una ulteriore vulnerabilità, come purtroppo è emerso in vari casi, ma deve essere organizzato in modo da non compromettere i sistemi che ospitano anche informazioni sensibili e che se cadessero in mani sbagliate potrebbero creare danni a persone ed aziende».

Il ritorno alla normalità e la convivenza con il Covid tra green pass e misure di prevenzione: per aziende e strutture pubbliche un consistente aggravio di oneri in nome della sicurezza e anche della privacy. Temete un incremento delle violazioni?

«Questi due anni hanno costretto in un primo tempo ad organizzare velocemente nuove forme di lavoro e di comunicazione. Poi questi modelli sono stati implementati e ora dovrebbero essere migliorati nell’ottica della sicurezza e della fiducia che deve essere trasmessa agli interessati. I concetti presenti nel GDPR di Privacy by design e Privacy by default devono essere sempre tenuti presenti. Da parte nostra il Garante assicurerà anche in questa fase la propria disponibilità ad intervenire con tutti gli strumenti che può utilizzare a sostegno delle aziende al fine di realizzare la piena conformità dei trattamenti alla disciplina per la protezione dei dati personali».

Radiocor ©