GDPR e normative data protection, lo stato di adeguamento delle organizzazioni: il quadro

Il GDPR e l’adeguamento alle normative data protection rappresentano un tema di discussione centrale in tutta Europa. La digitalizzazione e l’accrescimento della fiducia dei cittadini dell’Unione europea nell’economia e nella società digitale è uno degli obiettivi primari perseguiti dalle istituzioni comunitarie nell’ambito della strategia del Digital Single Market.

Tale disegno è incentrato sulla creazione di un mercato digitale unico a livello europeo, garantendo la libera circolazione, oltre che di merci, persone, servizi e capitali anche dei dati.

GDPR e normative data protection: direttive e regolamenti

Il percorso intrapreso già da diversi anni dall’Unione europea ha visto nell’emanazione del GDPR una tappa fondamentale. Nel corso del 2019 è stato possibile osservare peraltro come sia cresciuta l’attenzione verso la gestione e la tutela dei dati personali, sia da parte delle imprese che da parte dalle Autorità Garanti europee che hanno comminato le prime importanti sanzioni.

Ma il percorso non si è esaurito di certo con l’introduzione del GDPR: numerose sono infatti le normative emanate dall’UE che perseguono anche l’obiettivo di garantire il diritto fondamentale dei cittadini a far sì che i propri dati vengano protetti adeguatamente.

Tra le più importanti troviamo le seguenti:

• Regolamento eIDAS: il Regolamento europeo (n. 2014/910, c.d. “Regolamento eIDAS”) mira a definire le condizioni per l’utilizzo di mezzi di identificazione elettronica, disciplinando la firma elettronica, i trasferimenti di denaro e altri tipi di transazioni nel mercato unico europeo;
• Direttiva PSD2: la Direttiva 2015/2366 mira consolidare il mercato dei pagamenti integrati nell’Unione, ridurre le barriere d’ingresso per fornitori di nuovi servizi di pagamento e a favorire il lancio di servizi di pagamento digitali innovativi, sicuri e semplici da usare;
• Direttiva Polizia: la Direttiva 2016/680 (c.d. “Direttiva Polizia”) mira a garantire lo scambio dei dati personali tra le autorità all’interno dell’Unione europea;
• Direttiva NIS: la Direttiva “Network e Information Security” (n. 2016/1148, c.d “Direttiva NIS”) persegue l’obiettivo primario di stabilire misure atte a conseguire un livello comune elevato di sicurezza della rete e dei sistemi informativi, rafforzando la cooperazione a livello locale e in ambito Ue;
• Regolamento sui Dati Non Personali: il Regolamento 2018/1807 (c.d. “Free Flow Data) mira a rimuovere gli impedimenti alla circolazione dei dati non personali;
• Cybersecurity Act: il Regolamento 2019/881 (c.d. “Cybersecurity Act”) si pone l’obiettivo di introdurre un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali.

Infine, è atteso il nuovo Regolamento e-Privacy che introdurrà importanti cambiamenti per il settore del digitale e delle comunicazioni elettroniche e la cui ultima bozza risale a febbraio 2020.

Il GDPR ancora al centro dell’attenzione

A tenere banco è tuttavia ancora principalmente il GDPR: nonostante siano trascorsi quasi due anni dalla sua piena applicazione, il Regolamento europeo continua a dispiegare i suoi effetti all’interno delle organizzazioni.

La complessità e l’importanza della materia richiedono infatti continui sforzi da parte delle imprese, necessari per adeguarsi ai principi imposti dalla normativa in materia di protezione dei dati personali e per rispondere alle richieste delle Autorità.

L’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano ha effettuato nel corso degli ultimi mesi del 2019 una rilevazione che ha coinvolto 180 imprese di grandi dimensioni, appartenenti a tutti i settori merceologici con l’obiettivo di comprendere lo stato di adeguamento delle organizzazioni ai requisiti imposti dalla normativa.

L’indagine ha rilevato che nel 55% delle imprese i progetti di adeguamento al GDPR sono stati completati e sono in corso attività di mantenimento della compliance: più della metà delle aziende si è pertanto dichiarata conforme ai requisiti imposti dalla normativa europea in materia di protezione dei dati, mentre nel 2018 tale percentuale si attestava al 24%.

Coerentemente sono diminuite le imprese che dichiarano essere tuttora in corso progetti strutturati di adeguamento alla normativa, passando dal 58% del campione del 2018 al 30% del 2019, mentre un altro 5% si trova ancora nella fase di analisi dei requisiti richiesti e dei piani di attuazione possibili.

Il dato però che stupisce maggiormente – in negativo – è quello per cui il 10% delle grandi imprese intervistate afferma che le implicazioni del GDPR non sono ancora un tema all’attenzione del Board, ma noto solo alle funzioni specialistiche che, a vario titolo, trattano dati personali (IT, Security, Legal, Compliance ecc.).

La Ricerca ha indagato anche la presenza all’interno delle aziende del Data Protection Officer (DPO), figura volta ad assicurare il rispetto dei requisiti previsti dal Regolamento europeo in materia di protezione dei dati (GDPR).

Se nel 2018 si era registrato un sensibile aumento di organizzazioni che avevano introdotto in organico un DPO (65%), complice anche l’obbligatorietà della sua designazione in taluni casi previsti dal Regolamento, il 2019 è stato testimone di una lieve decrescita: la figura del DPO, infatti, è presente formalmente nel 57% delle organizzazioni intervistate, mentre nel 4% dei casi si tratta di una presenza di tipo informale.

Va però sottolineato come, rispetto alla rilevazione condotta nel 2018, si è registrato un incremento del 9% di imprese che hanno dichiarato che la responsabilità è delegata a una figura esterna all’azienda: tale percentuale è passata infatti dal 18% nel 2018 al 27% nel 2019.

La tendenza a cui si assiste, da parte delle organizzazioni, è pertanto quella di delegare all’esterno l’acquisizione delle competenze multidisciplinari necessarie per assistere i titolari e i responsabili del trattamento: ciò anche al fine di assicurare il principio di imparzialità, evitando possibili conflitti di interessi tra tali figure e il DPO.

A completare il quadro, il 10% del campione dichiara di non prevedere l’introduzione della figura in esame e il 2% di volerla introdurre nel prossimo futuro.

L’indagine del 2019 ha esplorato inoltre la percentuale di organizzazioni che è stata oggetto di ispezioni da parte dell’Autorità Garante a partire dalla data di piena applicabilità della normativa europea, ossia il 25 maggio 2018.

Solamente il 2% delle aziende intervistate ha dichiarato di essere stata sottoposta a formali controlli, mentre la quasi totalità del campione (89%) afferma di non essere stata soggetta ad attività ispettive. Vi è poi un 9% di imprese che preferisce non rispondere.

La bassa percentuale di organizzazioni sottoposta a controlli è il risultato, oltre che del forte aumento della mole di lavoro che ha investito l’Autorità Garante nell’ultimo anno causando, di conseguenza, un rallentamento delle attività, anche dell’atteggiamento di indulgenza previsto dalla normativa italiana di adeguamento al GDPR.

È evidente, tuttavia, come il meccanismo ispettivo e sanzionatorio sembra ormai essersi messo in moto, con conseguenze spiacevoli soprattutto per quel 45% di imprese che ancora non ha terminato i progetti di adeguamento alla normativa.

Conclusioni

La Ricerca dell’Osservatorio ha indagato anche la percezione degli Executive rispetto a quelli che potrebbero essere i principali effetti giuridici derivanti dal Cybersecurity Act, il Regolamento europeo che, come visto sopra, tra gli obiettivi primari si pone quello di creare un quadro europeo sulla certificazione della sicurezza informatica di prodotti ICT e servizi digitali.

La percezione degli Executive coinvolti nella rilevazione è tutto, sommato, positiva: il 67% afferma infatti che le imprese potranno scegliere, in fase di acquisto di prodotti e servizi tecnologici, quelli che forniscono maggiori garanzie in termini di sicurezza, mentre il 9% ritiene che le aziende avranno vantaggi competitivi e di risparmio dei costi, in quanto non sarà più necessario seguire processi di certificazione nazionali.

Non mancano, tuttavia, pareri negativi: secondo il 14% del campione il principale effetto derivante dal Cybersecurity Act sarà la previsione, da parte degli Stati membri, di meccanismi di rilascio delle certificazioni differenti a scapito dello sforzo del legislatore di creare un quadro europeo della cybersecurity, mentre il restante 10% degli intervistati afferma che le imprese tenderanno a prediligere il fattore economico legato alla vendita del prodotto rispetto alla garanzia di maggiore sicurezza.