Lo studio legale internazionale DLA Piper ha realizzato una survey, in collaborazione con l’Italian Privacy Think Tank – IPTT, per tracciare lo stato dell’arte a tre anni dall’entrata in vigore del GDPR: le aziende italiane sono ancora alle prese con la corretta interpretazione delle norme, nonostante l’accelerazione digitale e di tutto quel che ha a che fare con i dati, diventati oramai “person of the year” a tutti gli effetti.
Il sondaggio è il risultato del contributo di esperti privacy di 75 società provenienti da tutti i principali settori dell’economia italiana, dalla tecnologia, media e telecomunicazioni (24%) alla moda, cibi o bevande e vendita al dettaglio (23%), inclusi il mercato bancario e dei servizi finanziari (16%), assicurativo (9%), life sciences and wellness (11%).
In merito alle ispezioni del Garante privacy, le aziende italiane risultano le più sanzionate in assoluto per la violazione delle disposizioni del GDPR.
Le ispezioni durante questi primi mesi del 2021 sono raddoppiate rispetto a quelle del semestre precedente: diventa quindi essenziale per le società adottare delle procedure interne per la gestione delle ispezioni da parte dell’autorità.
Dalla survey risulta che il 43% degli intervistati si è mosso in questo senso, seguito da un altro 19% che ha adottato una procedura interna, senza tuttavia includere elementi di dettaglio all’interno della stessa. Un numero più ridotto di imprese che ha optato per un approccio differente: solo il 7% delle società non ha adottato una procedura per gestire le ispezioni e ritiene di non averne bisogno, mentre il 5% – avendo già subito ispezioni – pensa di poterle gestire senza la necessità di una procedura ad hoc.
Il termine di conservazione dei dati ancora un rebus per le aziende
Il termine di conservazione dei dati personali previsto dal GDPR è uno dei compiti più complessi per gli esperti privacy. I dati riflettono un contesto a volte sottovalutato dalle aziende, nonostante il Garante abbia già emesso le prime sanzioni nei casi di violazione.
Dallo studio emerge come rispetto alla finalità di marketing:
- il 23% fa decorrere 24 mesi dall’ultima interazione, come l’ultima apertura di una e-mail, l’ultimo acquisto o partecipazione a un evento che mostra un interesse dell’utente per il brand;
- il 19% conserva i dati per più di 24 mesi dalla raccolta o dall’ultima interazione;
- una percentuale decisamente elevata (21%) conserva i dati a tempo indeterminato finché l’interessato non esegue l’opt-out.
Rispetto alla finalità di profilazione:
- nel 19% dei casi le aziende non procedono alla cancellazione, continuando il trattamento in modalità aggregata che consente comunque di risalire ai singoli dati di profilazione, nel 53% dei casi procedono alla cancellazione, mentre solo l’8% non cancella mai nessuna categoria di dati personali.
A distanza di tre anni dall’entrata in vigore del GDPR, il 64% delle aziende continua a richiedere due consensi separati per le attività di marketing e profilazione e dal sondaggio sembra emergere un cambio di direzione nell’utilizzo dei cookies per attività di marketing: infatti, il 49% dichiara di non svolgere attività di marketing su siti di terze parti, con solo il 19% delle società che installano i propri cookie su siti di terzi.
Si rileva inoltre un crescente interesse per il legal design, al fine di trasmettere i concetti legali in maniera adeguata e diretta, e instaurare un legame più trasparente con i propri utenti: il 23% ha già incaricato uno studio legale e/o un designer di rivoluzionare i propri documenti legali (ad esempio, informative privacy, contratti, ecc.), il 50% pensa di farlo nel breve termine.
Sul modello organizzativo di compliance privacy, il 48% delle aziende dichiara di averne uno a tre livelli con l’ufficio legale, compliance o privacy, con il DPO che ha un ruolo di supervisione, e con soggetti delegati nei principali dipartimenti dell’azienda. Intervistate sul giusto posizionamento del Data Protection Officer, il 32% delle aziende ha dedicato un budget specifico al suo ruolo, mentre nel 41% dei casi esiste un budget per il DPO ma il relativo importo non è determinato.
A quasi un anno dalla sentenza Schrems II, alcune società sembrano ancora “spaesate” su come gestire il trasferimento dei dati fuori dello SEE. Infatti, soltanto il 37% delle società, tra quelle partecipanti alla survey promossa da DLA Piper, esegue una valutazione sistematica dei trasferimenti di dati personali, mentre il 19% si limita ad analizzare quelli più rilevanti per il proprio business. Ed è di rilievo che, sebbene il 44% del campione intervistato si limiti ad eseguire controlli sui responsabili del trattamento dei propri fornitori IT, oltre la metà non conduce alcun audit o controllo sui propri fornitori in generale.
I risultati del “Data Breach Report 2021” – pubblicato da DLA Piper – hanno mostrato come il numero di data breach notificati al Garante per la protezione dei Dati Personali dal 25 maggio 2018 sino al 27 gennaio 2021 sia di circa 3.460 (contro 77.747 in Germania). L’Italia più protetta? No, l’Italia sembra avere un approccio restio alle notifiche: ad oggi solo il 26% delle aziende si affida ad una analisi caso per caso o all’assistenza di un legale esterno. Al contrario, il 74% del campione intervistato ha introdotto nella propria struttura organizzativa una procedura interna, mentre solo il 14%, oltre alla procedura interna, si avvale di un tool di legal tech per garantire l’indipendenza e imparzialità nella valutazione. Il rischio è quindi che, in alcuni casi, le procedure (più o meno dettagliate) rimangano puramente “formali” e non comportino un’analisi concreta delle circostanze del caso e degli obblighi che ne possono derivare ai sensi del GDPR.
Commentando i risultati della survey sul GDPR, Giulio Coraggio, partner di DLA Piper e responsabile del settore Technology, ha affermato: “La pandemia da COVID-19 e la corsa alla digitalizzazione con cui le aziende stanno cercando di uscire dalla crisi ha valorizzato come non mai i dati. I dati rappresentano ormai un asset aziendale di enorme valore, ma il loro valore dipende anche dalla capacità dell’azienda di massimizzarne i benefici e minimizzare i rischi derivanti dal loro sfruttamento. Se si utilizzano i dati in modo scorretto si rischiano gravi conseguenze in caso di contestazione, sia in termini reputazionali che in termini economici. La compliance privacy non deve quindi essere più percepita come un costo, ma come una funzione strategica da cui dipende il futuro dell’azienda”.