Con una comunicazione del 5 luglio scorso, il Garante per la protezione dei dati personali ha reso noto che a settembre partirà il progetto di formazione di Smedata, dedicato al Regolamento UE 2016/679 (GDPR).
Il progetto, nato dalla partnership tra il Garante italiano e l’Autorità di controllo bulgara, nasce per “assicurare il più alto livello di privacy e di protezione dei dati attraverso strumenti innovativi per le PMI e i cittadini”.
Indice degli argomenti
L’iniziativa
Tale iniziativa realizza ciò che era stato auspicato dal legislatore europeo il quale, nel Considerando 13 del GDPR, invitava le istituzioni, gli organi dell’Unione e gli Stati membri e le loro autorità di controllo a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicazione della normativa europea.
Attraverso tale progetto il Consorzio – composto da sette partner appartenenti all’Italia e alla Bulgaria – offre un concreto aiuto alle PMI al fine di garantire l’effettiva applicazione del GDPR attraverso la consapevolezza (awareness), moltiplicando la formazione e lo sviluppo sostenibile delle capacità per le PMI e le professioni legali.
La realtà delle PMI e il progetto Smedata
Con la Raccomandazione della Commissione europea del 6 maggio 2003 si arriva ad una vera e propria definizione di microimprese, piccole e medie imprese, che costituiscono il motore dell’economia europea, attraverso una serie di parametri legati alla dimensione effettiva e al fatturato annuo o al totale di bilancio annuo.
Alla fine del 2018, secondo il Rapporto Cerved, le PMI in Italia erano 145.531. Fonte: Rapporto Cerved PMI 2018.
Il 15 maggio scorso il Consorzio del progetto Smedata ha pubblicato due rapporti che riassumono i risultati delle indagini condotte sulla conformità al GDPR da parte delle PMI.
La prima relazione (Project Deliverable 2.2) di Smedata fornisce una valutazione approfondita delle esigenze di formazione e sensibilizzazione dei gruppi target, delle PMI e dei professionisti legali, mentre la seconda relazione (Project Deliverable 3.1) elabora il feedback ricevuto in relazione allo sviluppo pianificato di uno strumento di autovalutazione e consapevolezza.
Le due relazioni del progetto Smedata evidenziano una serie di problemi, preoccupanti in ragione del tempo trascorso dall’entrata in vigore del Regolamento europeo. Di seguito ne analizzeremo alcuni.
Risorse finanziarie per l’attuazione del GDPR
Una delle preoccupazioni maggiori per le imprese oggetto di analisi è stata, e continua ad essere, la spesa da affrontare per l’adeguamento alla normativa europea. Tale circostanza ha portato molte imprese alla scelta del fai-da-te, attraverso la compilazione di privacy policy standardizzate per qualsiasi tipo di business e/o tipologia di trattamento dei dati.
Molte aziende sono ancora lontane dalla compliance vera e propria al GDPR, essendosi spesso limitate all’aggiornamento delle informative e alla redazione, più o meno corretta, del famigerato registro dei trattamenti (art. 30).
Ciò in netto contrasto con quanto richiesto dal principio dell’accountability (art. 24), secondo il quale il Titolare del trattamento deve adottare misure tecniche ed organizzative adeguate al trattamento dei dati personali effettuato nella propria organizzazione ed essere anche in grado di dimostrare la concreta adozione dei principi enunciati dal Regolamento.
Spesso, anche nelle imprese più strutturate, non sono state svolte attività di data mapping, di individuazione dei ruoli e delle responsabilità dei soggetti che trattano i dati per conto del titolare, né ci si è preoccupati di redigere efficaci contratti con i fornitori di servizi (art. 28).
Si tratta di una serie di attività che il titolare avrebbe dovuto eseguire con l’aiuto di una persona esperta in materia, attività che tuttavia richiedono un costo non sempre sostenibile per l’impresa.
Le misure di sicurezza e la valutazione dei rischi
La totale assenza, da parte del legislatore europeo e poi anche di quello italiano, di indicazioni chiare e precise sulle procedure da attuare per essere compliant, ha gettato nello sconforto le PMI.
Ad agosto 2018, con l’attesissimo D.lgs. 101/2018, si sperava che tali indicazioni fossero dettagliate come nel vecchio Allegato B del Codice Privacy. Ma così non è stato e, alla fine dello scorso anno, si è assistito ad una sorta di delirio collettivo.
Sono stati creati decine di gruppi su Facebook e LinkedIn in cui venivano condivisi modelli di ogni genere, senza conoscerne la provenienza, son spuntati dal nulla corsi di aggiornamento e guide alla “compliance GDPR” al costo di una pizza.
L’art. 32 del GDPR, d’altro canto, resta volutamente “vago” nel delineare la condotta del titolare del trattamento in relazione alle misure tecniche e organizzative adeguate alla tipologia di trattamento effettuato.
Ogni impresa, infatti, ha particolari e specifiche esigenze per la cui soddisfazione necessita di una soluzione tailor-made, in ragione “dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.
Uno dei problemi di frequente riscontrato è la mancata percezione del “luogo” di memorizzazione dei dati: molti titolari non si son posti il problema di individuare il Paese in cui opera il gestore dei servizi in cloud lasciando tali dati in balia del fato e/o alla diligenza del fornitore del servizio.
Da un recente sondaggio effettuato dalla Proton Technologies, moltissime PMI non sanno cosa sia la crittografia, nonostante questa sia una delle misure di sicurezza elencate dall’art. 32 del GDPR. Due terzi degli intervistati hanno affermato che la propria organizzazione utilizza un provider di posta elettronica con crittografia end-to-end per proteggere le proprie comunicazioni.
Tuttavia, quando è stato chiesto quale servizio di posta elettronica crittografato end-to-end utilizzassero, solo circa il 9% ne ha identificato uno. Le risposte più popolari sono state Gmail e Outlook.
Smedata, formazione e monitoraggio continuo
Ben da prima dell’applicazione del GDPR, l’elemento critico per l’impresa è sempre stato il cd. fattore umano. Il 70% degli incidenti informatici è causato da comportamenti negligenti o superficiali degli operatori durante le attività di trattamento.
Da qui, oggi più che mai, la necessità di frequenti incontri formativi all’interno dell’azienda al fine di far comprendere l’importanza di ogni attività svolta sui dati personali e far rilevare le gravi conseguenze connesse ad un eventuale data breach.
Tutte le attività richieste al titolare dal Regolamento europeo non possono intendersi concluse al momento dell’output: i documenti prodotti a seguito del data mapping, dell’adozione delle misure di sicurezza, della redazione di informative, contratti e nomine per i vari soggetti privacy devono essere rivisti e aggiornati ogni qualvolta ce ne sia bisogno (per esempio a seguito di un nuovo trattamento operato in azienda oppure per la sostituzione di una funzione aziendale ecc.).
Alla luce di tutte le criticità sopra analizzate, si auspica che il progetto Smedata offra un tangibile sostegno alle PMI che sono a tutt’oggi le organizzazioni più in difficoltà in termini di compliance.
