Dall’inizio dell’anno si susseguono interventi della stampa, anche specializzata, che evidenziano un importante ritardo delle aziende italiane nell’adeguamento alle nuove norme in materia di privacy introdotte dal Regolamento UE 679/2016 (General Data Protection Regulation – GDPR) che entrerà in vigore, in tutti gli Stati Membri, il 25 maggio 2018.
Già nel mese di gennaio veniva segnalato che, a distanza di oltre un anno dall’approvazione del GDPR “le aziende italiane non conoscono il nuovo Regolamento” (così il sito Innovationpost.it che, a sua volta, richiamava dati pervenuti anche da altri osservatori) e che “la consapevolezza delle imprese sull’argomento è limitata: al momento, solo un’azienda italiana su cinque ne conosce nel dettaglio le implicazioni e solo il 9% ha avviato un progetto per adeguarsi alla normativa”.
La situazione non sembra essere significativamente migliorata neppure nei mesi successivi se si considera che, ancora a metà giugno, Federprivacy segnalava che “a 12 mesi dalla scadenza (si) evidenzia che tre quarti delle imprese italiane non hanno ancora un piano completo per garantire la conformità al GDPR, con il rischio di sanzioni fino a 20 milioni di euro o al 4% del fatturato. Inoltre, il 72% delle aziende non ha nominato un DPO”.
Il tema del DPO (Data Protection Officer) rappresenta, tra l’altro, uno dei nodi cruciali ancora irrisolti dalla maggioranza delle aziende, perché, stando ai dati che emergerebbero da varie fonti (vi invito, per esempio, a leggere l’articolo apparso sul sito di Repubblica.it), anche le aziende che si sono già dotate di questa figura, lo hanno fatto senza tenere in adeguata considerazione i requisiti di alta formazione professionale e/o i possibili conflitti di interesse (che il Regolamento vieta) con altri ruoli o funzioni interne aziendali.
La situazione italiana, in verità, non mi stupisce molto, dato che, fino ad ora, la normativa privacy è stata, in molti casi, considerata come un mero fardello burocratico, le cui prescrizioni sono state recepite in modo puramente formalistico per evitare le relative sanzioni.
E’ importante, però, comprendere che il GDPR segna, per le aziende, un vero e proprio cambiamento di visuale della materia privacy rispetto al passato perché impegna tutti i suoi destinatari (nei prossimi interventi mi soffermerò specificamente anche a chiarire chi siano gli effettivi destinatari delle norme del GDPR) ad un serio ed esaustivo esame aziendale interno dei processi e dei flussi informativi.
Tale lavoro richiede tempi non brevi e competenze specifiche in materia di data protection tramite l’apporto di professionisti indipendenti, specializzati in materia, costantemente aggiornati sia sulla specifica normativa di dettaglio del GDPR sia sulle modificazioni e/o innovazioni che sono soliti subire, nel tempo, i processi aziendali.
Considerata, quindi, l’importanza della materia e l’urgenza di adeguarsi in modo efficace e ed effettivo alle prescrizioni del GDPR, dedicherò i miei prossimi interventi ad illustrare quali debbano essere i concreti interventi che le imprese italiane devono adottare fin da subito per presentarsi all’appuntamento del 25 maggio 2018 con le carte in regola e senza timori di aver omesso, per negligenza o per mancanza di tempo, importanti adempimenti prescritti dal Regolamento Europeo che – con i suoi 173 “considerando” ed i suoi 99 articoli – rappresenta un testo complesso, da esaminare avendo presente le specifiche realtà dei processi produttivi delle singole realtà aziendali , caso per caso.
Naturalmente, qualora abbiate dubbi e/o esigenze in merito a specifici profili del GDPR che volete sottopormi, vi invito ad esprimere i vostri commenti o a compilare il form di contatto qui di seguito e sarò lieto di rispondervi al più presto.