GDPR, a che punto siamo e cosa fare per non avere soprese. Un vademecum a seguito della pubblicazione della classifica dei Paesi con più sanzioni (Italia in vetta…) nel 2020

Ha fatto molto discutere la classifica pubblicata da Finbold (https://finbold.com/gdpr-fines-2020/) relativa alle sanzioni applicate alle aziende europee a causa della violazione del GDPR. A una lettura veloce ci sarebbe da gridare allo scandalo visto che l’Italia risulta prima “in valore” con circa 45 milioni di euro di multe contro gli appena 7 milioni della Svezia, seconda classificata.

Peccato che, dei 45,6 milioni di euro di multe, 27,8 siano stati comminati a Tim, 16,7 a Wind e 800mila a Iliad. Il totale fa 45,3 milioni di euro. Così si scopre che, tolto il grosso del malloppo, stiamo parlando di 600mila euro di multe imputabili al resto delle aziende italiane, briciole. Infatti, contando il numero di multe, al primo posto sale la Spagna con 76, contro le 13 dell’Italia.

Interessante segnalare anche che sia Tim che Wind sono state condannate a causa dell’insistenza dei loro contact center nel contattare utenti che avevano espresso più volte il desiderio di essere inseriti in black list. In poche parole? Non avevano aggiornato i software di CRM.

GDPR: difficile avere un quadro preciso in Italia

Di fronte a queste informazioni scarne, è difficile sentenziare sulla condotta delle aziende italiane in materia di GDPR.

È certamente ipotizzabile che, all’introduzione delle norme europee in materia di protezione dei dati personali, non proprio tutti i responsabili It delle aziende si siano messi a scandagliare dati personali da archivi, database e applicativi. E, dal polso di chi è sul mercato, la sensazione è che sarebbe risultata impresa ardua.

La reale situazione in Italia a due anni e mezzo dall’entrata in vigore della General Data Protection Regulation è probabilmente tutto sommato in linea con quella degli altri Paesi europei se non per la peculiarità, evidenziata dal report, che a infrangere le regole siano soprattutto le compagnie telefoniche e la PA. O, almeno, ciò deriva dalla direzione che ha dimostrato di intraprendere il Garante per la Protezione dei Dati Personali.

A complicare le cose, poi, ci si è messo il Covid19. I dati che riguardano la sfera sanitaria sono sensibili per definizione e una ripartenza che preveda controlli ai varchi aziendali e monitoraggi determinerà un ulteriore ansia per i responsabili dei sistemi informativi delle aziende.

Aggiungiamo, inoltre, le critiche indirizzate agli organi di controllo, accusati di non essere obiettivi, chiudendo per esempio un occhio sul trattamento dei dati da parte delle Big Tech e quelle relative alle enormi difficoltà di applicazione delle norme.

E quindi, che facciamo con il GDPR? 4 modi di affrontare la questione

Alla luce di queste considerazioni, rimane l’obbligo di mettersi in regola, come fare?

1.Farsi aiutare

Non è pensabile affrontare la questione GDPR da soli, neanche se si è una piccola azienda con un piccolo business. Meglio farsi aiutare da un partner It competente dotato di un preciso modello operativo e di software specifici. 

2.Cogliere l’opportunità

L’obbligo di aderire al GDPR può essere una grande opportunità per le aziende clienti. Può essere l’occasione di fare ordine, di rendersi conto che determinate strutture on premise o servizi applicativi non sono più adeguati. E agire di conseguenza ragionando su una modalità as-a-service via cloud (generalmente GDPR compliant).

3.Mappare l’infrastruttura It

Dove sono i miei dati? Su quali strutture circolano? Quanto tempo vengono archiviati? Sono tutte domande che il partner che prende in carico il problema farà al responsabile dei sistemi operativi. E ciò non vale solo per le infrastrutture interne all’azienda ma anche per i servizi condivisi, per esempio con i fornitori.

4.Proteggersi

Imperativo proteggersi. Il GDPR prevede altissime responsabilità per chi non denuncia un data breach e per chi non fornisce valide garanzie di protezione. Mettere al sicuro l’infrastruttura It e i dati diventa certamente la prima azione da fare.

Tutto questo chi ha maturato buone referenze in questi due anni lo sa bene, sta all’azienda cliente scegliere di affidarsi a un partner all’altezza della situazione per, finalmente, dormire sonni tranquilli.