Trascorsi due anni dalla sua entrata in vigore, il General Data Protection Regulation è diventato pienamente applicabile il 25 maggio 2018 e in questo articolo intendiamo analizzare il livello di adeguamento al GDPR delle imprese.. Il percorso legislativo che ha portato all’emanazione del Regolamento è iniziato il 4 novembre 2010 con la proposta di riforma della normativa in materia di protezione dei dati personali da parte della Commissione europea, volta ad armonizzare e uniformare la normativa stessa a livello comunitario creando un quadro legislativo comune.
L’Osservatorio Information Security & Privacy ha indagato lo stato di adeguamento delle imprese ai requisiti imposti dal GDPR, decorso il fatidico termine del 25 maggio 2018 (I dati fanno riferimento ad una rilevazione condotta tra settembre e dicembre 2018 dall’Osservatorio che ha coinvolto 166 imprese di grandi dimensioni, appartenenti a tutti i settori merceologici). Di seguito si proverà a fornire una panoramica dello scenario italiano e delle principali azioni compiute dalle organizzazioni.
Adeguamento GDPR: lo stato delle imprese italiane
Il GDPR, è opportuno premetterlo, persegue l’obiettivo di rispondere alle sempre più numerose sfide poste dalle nuove tecnologie al fine di accrescere la fiducia dei cittadini nella libera circolazione dei dati e quindi, in ultima istanza, nell’economia e nella società digitale. In questo contesto, il Regolamento europeo rappresenta per le imprese un’occasione importante per smuovere investimenti, per disegnare nuovi ruoli organizzativi e per mettere in campo strumenti e metodologie in grado di garantire la sicurezza dei dati personali.
Non essendoci stato alcun rinvio relativamente alla data di effettiva applicazione, il 2018 ha visto la quasi totalità delle aziende adoperarsi per mettere in campo progetti di adeguamento alla normativa o per ottimizzare i processi e le soluzioni già in essere. L’indagine ha rilevato che nel 59% delle organizzazioni è in corso un progetto strutturato di adeguamento al GDPR, mentre nel 23% dei casi tali progetti sono stati completati: quasi un quarto delle aziende si è pertanto dichiarata conforme ai requisiti imposti dalla normativa europea in materia di protezione dei dati. L’8% delle organizzazioni si trova ancora nella fase di analisi dei requisiti richiesti e dei piani di attuazione possibili, mentre nel 10% delle aziende il tema non è ancora posto all’attenzione del vertice ma è comunque noto alle funzioni specialistiche quali IT, Security, Legal e Compliance.
GDPR: le azioni compiute
Entrando nello specifico nelle fasi che compongono il processo di adeguamento al GDPR, l’indagine condotta dall’Osservatorio ha esplorato anche le principali azioni compiute dalle organizzazioni. A tal proposito è opportuno ricordare che un progetto di adeguamento al GDPR deve comporsi necessariamente almeno delle seguenti fasi:
- creazione del registro dei trattamenti: il registro dei trattamenti, disciplinato dall’art. 30 del Regolamento, è un documento volto a tenere traccia di tutte le operazioni di trattamento effettuate;
- stesura/modifica della modulistica: un esempio è dato dall’informativa, che deve essere completa ed aggiornata secondo le prescrizioni del GDPR;
- individuazione dei ruoli e delle responsabilità: è tassativamente necessario, sulla base della nuova normativa, individuare e contrattualizzare tutti i responsabili del trattamento;
- definizione delle politiche di sicurezza e valutazione dei rischi: tenuto conto della natura, dell’ambito di applicazione e delle finalità del trattamento, nonché dei diversi rischi per i diritti e le libertà delle persone fisiche, ogni titolare deve mettere in atto misure tecniche e organizzative adeguate al fine di garantire la conformità del trattamento stesso al Regolamento;
- processo di data breach notification: con il termine “data breach” si intende il complesso di azioni che deve svolgere il titolare del trattamento in caso di distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trattati. Pertanto, ai sensi dell’art. 33 del Regolamento, se si verificano violazioni di dati personali il titolare ne deve dare comunicazione all’Autorità di Controllo (entro 72 ore dall’avvenuta conoscenza della violazione) e, nei casi più gravi, anche agli interessati;
- valutazione d’impatto sulla protezione dei dati personali: quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate, il GDPR obbliga i titolari a svolgere una valutazione di impatto (Data Protection Impact Assessment – DPIA) prima di dare inizio al trattamento stesso;
- implementazione dei processi per l’esercizio dei diritti dell’interessato: il GDPR ha ampliato il novero dei diritti concessi agli interessati, in particolare introducendo in modo puntuale il diritto alla portabilità dei dati e il diritto all’oblio;
- Data Protection Officer (DPO): il GDPR prevede la nuova figura del Data Protection Officer, la cui nomina è obbligatoria in una serie di ipotesi previste dall’art. 37 del Regolamento.
Con riferimento alle suddette fasi, dalla rilevazione è emerso che le principali azioni che sono già state compiute dalle organizzazioni riguardano la creazione del registro dei trattamenti (85%), l’individuazione dei ruoli e delle responsabilità (81%), la modifica della modulistica (76%), la procedura di data breach notification (68%), la definizione delle politiche di sicurezza e di valutazione dei rischi (66%), la valutazione d’impatto sulla protezione dei dati personali (56%) e l’implementazione dei processi per l’esercizio dei diritti dell’interessato (54%).
Il dato più interessante tuttavia si riscontra con riferimento alla figura del DPO all’interno delle aziende. Il Data Protection Officer è presente formalmente nel 65% delle organizzazioni, mentre nel 6% dei casi si tratta di una presenza di tipo informale. Rispetto alla rilevazione dell’Osservatorio condotta l’anno precedente si è registrato un incremento del 46% di aziende che hanno introdotto la figura in esame nel proprio organico: nel 2017 infatti le percentuali si attestavano rispettivamente al 15% e al 10%.
Il decreto 101/2018 di adeguamento della normativa italiana al GDPR
È doveroso precisare che l’intera tematica della protezione dei dati personali non è disciplinata solamente a livello europeo: il GDPR rimanda infatti, per una serie di ambiti e declinazioni, alle normative dei singoli Stati membri. In particolare, nel nostro Paese è entrato in vigore il 19 settembre dello scorso anno il decreto legislativo 101/2018 di adeguamento della normativa italiana al Regolamento.
Il decreto ha visto la luce tre mesi dopo la data di effettiva applicabilità del Regolamento.
Il provvedimento in esame ha lo scopo ultimo di integrare e modificare, nei limiti e all’interno del quadro precisamente stabilito a livello europeo, il c.d. “Codice Privacy” (d.lgs. 196/2003) che per tutti questi anni ha rappresentato la normativa di riferimento in Italia per quanto riguarda il tema della protezione dei dati. È importante tuttavia specificare che il Codice Privacy non è stato interamente abrogato: i testi primari di riferimento in Italia per quanto riguarda la materia della data protection risultano pertanto essere le disposizioni contenute nel GDPR e il nuovo testo del d.lgs. 196/2003, così come novellato dal decreto 101/2018.
Il decreto stesso peraltro prevede e rinvia a regole deontologiche, codici di condotta, misure di garanzia, autorizzazioni generali e ad altri provvedimenti del Garante per la protezione dei dati personali. Il quadro normativo della disciplina della data protection in Italia non è pertanto ancora completo ed esaustivo. Nel contesto in esame il GDPR rappresenta comunque il parametro di legittimità della normativa nazionale e, in ultima istanza, la disciplina primaria della materia.