Allarme privacy: 3 aziende su 4 non sono a norma; 1 amministratore su 3 chiede al Dpo (responsabile della protezione dei dati) come si fa ad eludere il Gdpr (regolamento UE sulla privacy n. 2016/679) e a farlo qualche volta sono addirittura gli uffici privacy interni.

Le linee guida dei Garanti risultano troppo generiche e senza appeal in circa il 75% dei casi; il Gdpr è applicato in maniera contraddittoria (54,3%) e non è che ci sia una grossa sollecitazione da parte di clienti e fornitori ad adeguarsi alla privacy (viene dichiarata solo nel 57,9% dei casi); infine, a convincere le aziende a mettersi in regola sono più le sanzioni subite o temute (circa il 60%) che la coscienza e la responsabilità di impresa (cosiddetta accountability).

La fotografia in presa diretta di come vive sul campo il Gdpr è stata scattata dall'associazione Noyb, che ha diffuso il 28 gennaio 2024 lo studio “Gdpr: una cultura di non-conformità”.

I risultati vanno controcorrente, ma si desumono dalle risposte fornite da oltre 1000 professionisti della privacy schierati in prima linea, in gran parte Dpo al servizio di imprese con più di 500 dipendenti, e quindi testimoni oculari di ciò che effettivamente capita nelle aziende.

‍

Se l'indagine mostra, da un lato, che negli ultimi 5 anni è genericamente cresciuta la consapevolezza delle questioni relative alla privacy, dall'altro lato emerge che la maggior parte delle aziende non è ancora conforme al Gdpr.

In proposito, il 74,4% dei professionisti privacy intervistati è d'accordo con l'affermazione che “se un'autorità per la protezione dei dati (Dpa) varcasse la porta di un'azienda domani, troverebbe sicuramente violazioni rilevanti del Gdpr”. In sostanza, 3 enti su 4 o perlomeno i Dpo e manager privacy, che conoscono bene le organizzazioni in cui lavorano, dichiarano la consapevolezza di essere parzialmente o totalmente non conformi alla disciplina della privacy.

Mentre solo il 3,9% dichiara di non temere una visita delle autorità di controllo.

Mal comune. Se si passa a domandare ai professionisti della privacy una stima della situazione complessiva i numeri rimangono desolanti.

Più della metà degli intervistati (50,1%) afferma che la maggior parte delle aziende ha ancora problemi a rispettare i principi fondamentali del Gdpr (artt. 5-11, tra cui quelli sul consenso).

Le risposte dimostrano, poi, che circa 2/3 dei professionisti privacy ritengono che la maggior parte delle imprese sia ancora in grosse difficoltà a rispettare gli obblighi di documentazione e organizzativi (artt. 24-43 Gdpr) e le norme sul trasferimento dei dati (artt. 44-50 Gdpr).

‍Solo il 5% degli intervistati ha dichiarato che le aziende rispettano questi obblighi il 100% delle volte.

Se si considera il Gdpr nel suo complesso, solo il 7,7% degli intervistati ha affermato che, in base alla propria esperienza, “la maggior parte” dei titolari del trattamento rispetta al 100% qualsiasi adempimento previsto dal Gdpr.

Secondo Noyb le cifre sono allarmanti, se confrontate con altri settori dell'ordinamento (fiscale, diritto d'autore o diritto del lavoro) e denotano una certa rassegnazione alla non conformità.

D'altra parte, dalla ricerca viene fuori che non c'è richiesta espressa di prodotti conformi al Gdpr e che solo nel 57,9% la pressione di clienti e fornitori è fattore che spinge alla spontanea conformità al Gdpr.

‍

Secondo l'indagine Noyb il Gdpr, dunque, non è riuscito a mantenere le sue promesse.

Non stupisce, allora, che il 31,2% dei privacy manager consideri sfumato l'effetto deterrente del Gdpr in quanto tale.

In effetti sono passati più di 7 anni dall'entrata in vigore del Gdpr e quasi 6 dall'inizio della sua applicazione (25 maggio 2018), ma la normativa sulla protezione dei dati risulta ancora molto complicata e difficile da decodificare.

Oltre la metà dei professionisti privacy (54,3%) dichiara che vi sono molte interpretazioni contraddittorie del Gdpr e coltiva l'aspettativa di decisioni chiare e univoche da parte dei Garanti e dei tribunali (70,9%).

La ricerca passa ad analizzare che cosa possa determinare un'inversione di tendenza e rimettere in carreggiata gli operatori.

Così, alla domanda sui fattori che possono stimolare le aziende a mettersi in regola, i professionisti privacy mettono in prima posizione le sanzioni, specialmente quelle di elevato importo.

Per il 63,5% dei professionisti privacy, infatti, il semplice timore di sanzioni pecuniarie è un fattore determinante per la conformità.

Questo non solo per le sanzioni prese dal singolo operatore, ma anche quelle irrogate ad altri soggetti.

Si registra, pertanto, un effetto a cascata: il 51,6% afferma che se un'altra azienda viene sanzionata per violazione della protezione dei dati, ciò induce le altre ad adeguarsi al Gdpr.

Il 61,5% degli intervistati, poi, concorda sul fatto che l'effetto di prevenzione generale derivi soprattutto da sanzioni esemplari nell'importo ingiunto.

Peraltro, anche il rischio reputazionale gioca il suo ruolo nell'incentivare condotte virtuose, che viene stimato fattore incentivante la messa in regola nel 65,9% dei casi.

‍

Il valore persuasivo si abbassa, invece, se siconsiderano le cosiddette “soft law” e cioè linee guida dei Garanti nazionali (25,6%) e del Comitato europeo dellaprotezione dei dati (23%).

La ragione dell'insuccesso delle Linee guida, nazionali e Ue, viene indicata nella loro estrema generalità.

A metà classifica nella graduatoria del grado di efficacia rispetto all'assunzione della decisione di regolarizzarsi, ma in posizione nettamente migliore rispetto alle linee guida, è indicata la formazione dei dipendenti e dello staff aziendale (41,5%).

Non hanno vita facile neanche i Dpo (responsabili della protezione di dati), che hanno il compito di agevolare l'adeguamento al Gdpr e, nel contempo, di sorvegliarlo.

I Dpo non sempre riescono, infatti, a convincere gli amministratori e il management aziendale ad allineare l'impresa al Gdpr.

‍Ad opporre maggiori resistenze alla regolarizzazione sono i manager degli uffici vendite e marketing, con cui il 56% dei professionisti privacy ha segnalato di incontrare difficoltà; anzi, questi uffici fanno pressione sui Dpo per ridurre l'impatto della conformità al Gdpr.

‍

In effetti, il 38,5% dei privacy manager riferisce che i manager aziendali apicali sono traquelli più restii ad accettare i cambiamenti, mentre il 32,3% segnala addirittura pressioni da parte degli stessi per limitare la conformità al Gdpr.

Anche gli uffici legali interni non fanno mancare pressioni per ridimensionare gli adempimenti previsti dal Gdpr in nome dell'interesse economico dell'impresa: la ricerca registra pressioni (8,6%) e più lievi interferenze (25,2%).

Rasenta, peraltro, l'incredibile, il fatto che venga dichiarato che a fare pressioni siano, nel 7,1% dei casi, addirittura gli uffici privacy interni alle aziende, i quali si rendono autori anche di qualche episodio di interferenza (12,7%).

‍

La conclusione della ricerca è che l'obiettivo del Gdpr di raggiungere un’omogenea e uniforme applicazione della disciplina sulla protezione dei dati nei paesi dell'Unione europea non è ancora stato raggiunto. Nelle loro risposte, inoltre, i professionisti della privacy affermano reiteratamente chele uniche leve che determinano i comportamenti aziendali sono le sanzioni e le perdite reputazionali derivanti dalla diffusione di notizie negative.

Da questo punto di vista, per evitare che il Gdpr diventi una “tigre di carta”, i professionisti chiedono più incisive azioni di applicazione, considerato che l'effetto novità del Gdpr sta progressivamente scemando.

Altro risultato dellaricerca è la richiesta di interpretazioni operative chiare, precise e concrete.

Al professionista in prima linea non serve più la parafrasi dell'articolato del Gdpr e neppure un rinvio all'accountability, che nella maggior parte dei casi è una mancata risposta ai problemi che emergono nella prassi.

‍

‍

Fonte:

https://www.italiaoggi.it/news/allarme-privacy-nelle-imprese-3-su-4-non-sono-in-regola-2625325?utm_term=Autofeed&utm_medium=io&utm_source=Facebook&fbclid=IwAR0G0ZNP7KpEpQEbd2LVGjooOGblWGnQmPx2jyxNmWoae8xXaRZywUEHwCk#Echobox=1707113832

A cura di:

‍

‍

‍

‍

‍

‍