MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

MAGGIOLI EDITORE - La Gazzetta degli Enti Locali

Protezione dati personali: un GDPR a macchia di leopardo
A due anni dall'entrata in vigore si registra grande disparità nell'applicazione del Regolamento nell'Unione europea. In Italia due terzi delle multe: PA, scuole e operatori tlc in testa. Ma le piccole aziende faticano ancora a capirne il valore

di GIANCARLO CALZETTA (dal Sole 24 Ore) – In collaborazione con Mimesi s.r.l.

Il GDPR, ovvero il Regolamento generale per la protezione dei dati, è entrato in vigore in Italia a pieno titolo il 25 maggio 2018, affermando la leadership dell’Europa a livello mondiale in fatto di privacy e gestione del dato affrontando in maniera molto ampia il complessissimo tema del “petrolio” dell’era dell’informazione: i dati degli utenti. Questa innovazione giuridica, però, mancò di entusiasmare le aziende europee perché oltre a tutti i benefici per i cittadini, nel testo si trovavano le indicazioni per comminare multe che potevano arrivare al 4% del fatturato annuale dell’azienda inadempiente. Lo spauracchio non bastò a scongiurare uno scenario a macchia di leopardo: nel 2018, molte aziende avevano iniziato un percorso verso la regolarizzazione, altre pensavano, spesso a torto, d’averlo già completato e tantissime non erano neanche entrate nella fase iniziale di conformità.

Ci si sarebbe, quindi, aspettato un gran numero di infrazioni a cui sarebbero seguite multe salatissime, ma a distanza di oltre due anni dal varo, una ricerca di Finbold ha svelato che i timori erano quasi infondati e che, con poca sorpresa, i vari Paesi membri Ue hanno scelto ognuno un personalissimo metodo nel comminare le multe, delineando uno scenario estremamente eterogeneo. Da gennaio ad agosto 2020, in Europa sono state elevate multe in 17 Stati diversi per un totale di 60,2 milioni di euro, con un valore medio che oscilla clamorosamente a seconda della nazione. L’Italia è quella che ha comminato sanzioni per l’importo totale più elevato, con 45,6 milioni a fronte di 13 infrazioni. Molto staccata, si trova la Svezia che con sole quattro infrazioni ha registrato un totale di 7 milioni. Al terzo posto l’Olanda con tre infrazioni e due milioni di sanzioni, mentre la Spagna, quarto posto, vanta il record per il maggior numero di multe (73), ma un totale di soli 1,95 milioni. La Germania è quinta, con una sola multa da 1,24 milioni.

Com’è possibile una tale disparità nel valore e nel numero delle sanzioni? Andando a verificare nel dettaglio, si vede come in Italia la maggior parte delle segnalazioni riguardino la Pubblica Amministrazione, scuole e operatori di telefonia. Poche aziende private e praticamente nessuna di piccole dimensioni. In Spagna, invece, la maggior parte dei procedimenti riguarda proprio aziende medio-piccole, legate a violazioni riportabili a singoli individui. In Polonia, le poche multe comminate nel 2020 hanno come motivazione più frequente la scarsa cooperazione da parte delle entità sotto investigazione, mentre la Francia si caratterizza per un numero di multe ridotto, ma di importo mediamente elevato. In generale, quindi, emerge come ogni autorità statale deputata al controllo della privacy agisca in maniera piuttosto slegata, curando alcuni aspetti più di altri o con approcci differenti, pur partendo da una base legale comune. È un problema già evidenziato in un rapporto Ue di maggio, in cui veniva espressa grande soddisfazione per i traguardi raggiunti dal Gdpr, ma si poneva come obiettivo proprio quello di ottenere una maggiore omogeneità nell’operato delle singole autorità nazionali.

Questo cosa significa per le aziende italiane? Quello che hanno fatto finora basterà per evitare multe? «Sicuramente il Gdpr ha migliorato di molto la sicurezza – sostiene Fabio Sammartino, head of pre-sales di Kaspersky -, ma la situazione è abbastanza disomogenea sul mercato. Le aziende che erano abituate a trattare grandi quantità di dati personali hanno colto l’occasione per rifinire le procedure che per lo più erano già nella loro mentalità. Quelle più piccole, invece, faticano molto a capire dove stia il valore della protezione del dato e si limitano per lo più a fare lo stretto indispensabile». «Un aiuto da questo punto di vista – prosegue – arriva dalle aziende più grandi, soprattutto nel settore industriale e manifatturiero, nei confronti delle aziende fornitrici. Le necessità di sicurezza di queste realtà più avanti nella gestione del rischio, calano dall’alto la necessità di garantire la sicurezza dei dati che condividono con i fornitori e quindi questi ultimi devono adeguarsi».

Il GDPR, però, ha avuto anche un altro risvolto che non viene citato direttamente dal rapporto, ma che è importante: «Il regolamento europeo sul trattamento dei dati – dice Massimo Carlotti, pre-sales team leader di CyberArk – è stato visto dalla maggior parte delle aziende come una imposizione e troppe lo vedono ancora così. Tanti fanno solo il necessario per evitare di esporsi a multe salate, ma dei veri effetti positivi ci sono stati. Molti reparti It, infatti, hanno sfruttato questa imposizione di legge per riuscire a farsi assegnare del budget che hanno usato in maniera sapiente per innovare l’infrastruttura e portare valore all’azienda». Il concetto che il Gdpr sia riuscito a far entrare nella cultura aziendale il valore della sicurezza dei dati è ancora piuttosto debole, ma di sicuro ha migliorato la postura di sicurezza delle aziende e abbassato il rischio di multe, contribuendo all’innovazione delle loro infrastrutture e dei processi di business.