A quattro anni dall’entrata in vigore del GDPR la piena compliance delle aziende resta difficile. In Europa toccati gli 1,6 miliardi di euro in multe e l’Italia è al secondo posto.
Essere compliant al nuovo GDPR non è semplice per le aziende. Prevalentemente le Big Tech che negli ultimi 12 mesi sono state interessate in ambito europeo dalle sanzioni sulla violazione del GDPR (General Data Protection Regulation). Il regolamento sulla privacy e la protezione dei dati personali, ormai sono in atto da quattro anni. Il database di GDPR Enforcement tracker, contiene tutte le cifre nude e crude. Da queste si evince che prima di tutto l’ammontare delle multe in Europa tocca i 1,6 miliardi di euro in quattro anni. In secondo luogo ci dice analiticamente chi è stato interessato dal provvedimento.
Da qui emergono le responsabilità delle cinque più importanti aziende americane del settore tech. Da Google ad Amazon, da sole rappresentano 1,2 miliardi di euro. Per le compagnie americane la vita è particolarmente complicata. Gli Stati Uniti non hanno una modalità di conservazione dei dati che è compliant secondo il GDPR. Questo perché gli Usa non sono in regola secondo gli standard imposti dal GDPR europeo. E così trova spiegazione anche il recente bando imposto a Google Analytics perchè trasferisce oltreoceano i dati degli utenti.
GPDR essere compliant non è semplice: le difficoltà che incontrano le aziende
I numeri sulle infrazioni dicono anche molto altro. L’Italia è il secondo Paese per numero di multe (133 in tutto) dopo la Spagna (420) e quarta per ammontare delle sanzioni. Il totale ammonta a più di 137.240 milioni di euro (dopo Lussemburgo, Francia e Irlanda). Il fenomeno è ancora molto diffuso in aziende pubbliche e private. I settori in cui le sanzioni si applicano sono disparati. I tipi di sanzione vanno dalla non-compliance generale, fino a insufficienze più o meno gravi.
Un elenco di violazioni che comprende il modo in cui vengono processati i dati, la sicurezza informatica, la comunicazione dei dati ai regolatori, insufficiente coinvolgimento dei Data Protection Officers nei processi. Il numero di casi registrati è in aumento ed è rivelatore delle difficoltà che le aziende incontrano negli adempimenti necessari per rispettare le nuove regole.
Il Gdpr è entrato in vigore il 25 maggio 2018 e da allora sanzioni e segnalazioni sono andate ad aumentare costantemente per diversi motivi. Tra questi, molte imprese che hanno distribuito i propri dati in un’ampia varietà di storage location stanno avendo difficoltà. Le multe sono una testimonianza di questa difficoltà di gestire correttamente l’insieme di dati proprietari e i silos di dati.
Le mosse dell’Unione Europea
Tutto ciò nonostante i team IT spendano molto tempo e risorse per affrontare i problemi di governance, archiviazione e conformità alle normative. Problemi, che aumentano con l’incremento della quantità di dati e del numero di regolamenti in materia. Gli esperti dicono che emergono inevitabilmente delle criticità nel verificare i dati se sono troppi e complessi, se le informazioni personali sensibili sono conservate in ambienti a rischio e se sono state gestite malamente nei piani di backup.
Eppure l’Unione europea appare intenzionata a rafforzare la legislazione in materia di protezione dei dati personali e più in generale di data economy, dando maggiori poteri di controllo e di sanzione alle agenzie regolatorie che fanno capo ai governi dei 27 paesi membri, con norme più stringenti che aumenteranno le complessità per le aziende. A preoccupare sono gli spazi di autonomia in capo ai singoli stati nel disciplinare in maniera più specifica gli aspetti non compresi nella competenza Ue in base al principio di attribuzione.
Una circostanza che potrebbe far sorgere contrasti tra le diverse autorità di controllo nazionali. In Italia per risolvere eventuali difficoltà è stato introdotto lo sportello unico che semplifica la gestione dei trattamenti e punta a garantire un approccio uniforme stabilendo priorità operative che comprendono l’istituzione del registro della attività di trattamento e la notifica dei data breach.