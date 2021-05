Ci sono ancora pochi investimenti in privacy policy chiare e bassi numeri nelle notifiche dei data breach: 3.460 contro le 77mila della Germania

Privacy cookie (Getty Images)

Sono passati tre anni dall’entrata in vigore del Gdpr (Regolamento generale europeo per la protezione dei dati), diventato uno standard mondiale a cui anche i paesi fuori dall’Unione europea fanno riferimento. L’obiettivo del regolamento è di tutelare i dati personali nel mondo digitale. Il Gdpr ha garantito più chiarezza nella formulazione delle informative e delle richieste di consenso, ha stabilito nuovi limiti sul trattamento e sul trasferimento delle informazioni e ha sancito regole rigide in caso di violazione dei dati, prevedendo multe fino al 4% del fatturato globale dell’azienda.

Alla vigilia di questo anniversario, lo studio legale internazionale Dla Piper ha condotto un’indagine con gli esperti di privacy dell’Italian privacy think thank, provenienti da 75 aziende attive in tutti i principali settori dell’economia italiana, per capire come il mondo imprenditoriale stia affrontando il tema del trattamento e della protezione dei dati.

Il tracciamento degli utenti

In generale, per le attività di marketing, le aziende intervistate tendono a usare forme di profilazione poco invasiva, limitando il tracciamento degli utenti. Tuttavia, solo il 18% richiede l’utilizzo dei dati per “legittimo interesse”, una forma di profilazione a basso impatto che consente di usare i dati personali solo per la pubblicità diretta e per tutelare l’azienda da frodi o altri rischi. Il 64% continua a richiede due consensi separati per la pubblicità e la profilazione dell’utente, senza specificare il legittimo interesse, mentre l’8% chiede un consenso unico per le due attività, cosa mai validata dal Garante per la privacy. Per quanto riguarda la pubblicità su siti di terze parti, solo il 19% delle aziende traccia gli utenti tramite cookie installati su altri siti, l’11% fa promozione su altre piattaforme ma senza usare tecnologie di tracciamento e il 49% non svolge alcuna attività di marketing su siti terzi.

Conservazione dei dati

Il Gdpr non impone un termine temporale specifico per la rimozione dei dati, limitandosi a stabilire che questi possono essere conservati “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono stati trattati”. Mentre il Garante italiano ha stabilito un limite di 24 mesi sia per il marketing sia per la profilazione, in un provvedimento relativo alle “carte fedeltà”. Tuttavia, le aziende si comportano in maniera eterogenea, interpretando diversamente le indicazioni del Gdpr. Per il marketing, solo il 19% rimuove i dati seguendo le indicazioni del Gdpr, il 23% considera 24 mesi dall’ultima interazione dell’utente con il marchio, mentre il 21% conserva i dati a tempo indeterminato, fino a quando l’interessato non richiede la cancellazione, violando il principio di minimizzazione. Stesso discorso per la profilazione, in questo caso il 19% delle aziende non cancella i dati aggregati e l’8% non cancella nessun dato.

Chiarezza delle informative

Per comunicare in maniera trasparente con gli utenti, molte aziende hanno dimostrato un interessamento verso il cosiddetto legal design, cioè la costruzione dei documenti legali in maniera chiara e comprensibile, sia a livello contenutistico che visivo. Tuttavia il 24% delle società non lo ritiene un ambito in cui investire e solo il 23% è già all’opera in questa direzione.

Il ruolo del data protection officer

Il dpo è una figura che si occupa di sorvegliare l’azienda per assicurarsi che segua i principi e le regole del Gdpr. Perché la sua funzione sia efficace, deve essere garantita la sua indipendenza e non dovrebbe far parte dell’ufficio interno all’azienda che si occupa della privacy (compliance privacy). Tuttavia, nel 24% dei casi il dpo ha un ruolo di coordinamento della compliance privacy dell’azienda, la quale deve dimostrare, secondo il principio dell’accountability, come l’indipendenza del Dpo sia rispettata nonostante questo ruolo.

Trasferimento dei dati fuori dall’Ue

A seguito della sentenza Schrems II, che impone alle aziende di trattenere i dati nel territorio europeo, il 44% delle società non ha ancora adottato una metodologia per controllare che non vengano violati i principi stabiliti dalla Corte di giustizia europea e oltre il 50% delle aziende non esegue controlli sui responsabili del trattamento dei dati. Quindi sembra che le aziende italiane stanno sottovalutando la questione e potrebbero incorrere in sanzioni, nel caso il Garante provveda a controlli.

I data breach

Nei tre anni dall’entrata in vigore del Gdpr in Italia sono stati notificati solo 3.460 casi di data breach (cioè la diffusione intenzionale o meno di dati personali), contro i circa 77 mila della Germania. Questo può dimostrare che le aziende italiane siano restie a notificare al Garante in questi casi. Inoltre, la gran parte delle aziende (74%) si avvale di strutture interne, per valutare se un data breach necessiti di essere notificato o meno, e non di consulenti esterni (26%). Questo va a ridurre l’imparzialità e l’efficacia delle verifiche.

Le sanzioni del Garante

L’Italia ha imposto più sanzioni di qualunque altro paese dell’Unione europea per la violazioni del Gdpr. Nei primi mesi del 2021 le sanzioni sono addirittura raddoppiate rispetto a quelle del semestre precedente. È quindi diventato essenziale, per le società, adottare delle procedure interne per la gestione delle ispezioni da parte dell’autorità. Così ha fatto il 43% delle aziende intervistate, mentre il 7% non ne ha adottate e sente di non averne il bisogno, mentre il 5%, avendo già subito ispezioni, ritiene di poterle gestire senza procedure specifiche.

Un primo bilancio

Per l’associazione sui diritti digitali Noyb, a tre anni dal lancio i Paesi hanno ancora molto lavoro da fare per rafforzare la legislazione sulla privacy e i casi richiedono anni per essere risolti. Inoltre, secondo i legali dell’ong, spesso i tribunali non sono stati in grado di prendere decisioni a tutela dei diritti degli utenti per mancanza di specifiche conoscenze sulla materia. Infine, l’approccio unico al Gdpr non tiene conto delle differenze tra grandi colossi industriali e piccole e micro-imprese, on obblighi uguali che spesano spesso troppo sulle spalle delle seconde.