Si celebra oggi la 16esima giornata europea della protezione dei dati personali. La privacy, infatti, è un tema sempre più centrale nel nostro quotidiano. Se i più giovani desiderano essere informati su questi temi – uno scenario che emerge da un’indagine del Garante dei dati personali con Skuola.net – le aziende faticano ancora a stare al passo con la normativa del Gdpr, entrata in vigore nel 2018 con l’obiettivo di instaurare un quadro di conformità per la protezione dei dati personali in Europa basato sul principio di accountability e sulla tutela dei diritti fondamentali.
Ma, dallo scorso 28 gennaio 2021 a oggi i garanti privacy europei hanno inflitto sanzioni per un totale di quasi 1,1 miliardi di euro, quale conseguenza di una vasta gamma di violazioni al Regolamento generale europeo sulla protezione dei dati (Gdpr). Il dato rappresenta un aumento del 594% rispetto alle sanzioni irrogate nell’anno precedente. Lo scenario emerge dal report annuale dello studio legale Dla Piper sulle sanzioni per le violazioni del Gdpr registrate nei 27 Stati membri dell’Unione europea, più il Regno Unito, la Norvegia, l’Islanda e il Liechtenstein. Partendo da questa situazione abbiamo analizzato il presente e il futuro del settore con l’avvocato Giulia Zappaterra del dipartimento di Intellectual Property and Technology di Dla Piper (nella foto).
Avvocato, qual è lo scenario italiano rispetto agli altri paesi?
L’Italia continua ad essere fra gli stati che hanno erogato più sanzioni, ma il trend di crescita si riscontra in generale a livello europeo. Nell’ultimo anno siamo stati superati dal Lussemburgo e dall’Irlanda per il volume di sanzioni erogate. Il garante italiano è tuttavia molto attivo, ma ad oggi non è ancora chiaro come viene conteggiato questo ammontare. Nelle altre giurisdizioni alcune autorità garanti hanno fornito dei criteri chiari sul calcolo delle sanzioni, il garante ad oggi non ha fornito questa informazione, lasciando le aziende in uno stato di incertezza. Si sa solo la normativa generale, 2% o 4% del fatturato annuo a seconda dei casi.
Perché le autorità arrivano sempre dopo? Le aziende non sono ancora pronte?
Ci sono certe aziende che hanno rallentato il processo di compliance nel tempo. Dall’altro lato la normativa è in continua evoluzione. C’è il Gdpr, ma la sua applicazione è accompagnata dalla normativa locale in materia di privacy che è specifica per ogni giurisdizione e poi ci sono le specifiche delle autorità di controllo che, col tempo, emettono nuove linee guida o nuove indicazioni. Essendo in continua evoluzione le aziende fanno fatica a stare dietro a questi cambiamenti.
Una delle sfide principali è rappresentata poi dalla sentenza della Corte di Giustizia Ue nota come “Schrems II”…
Questa sentenza ha avuto delle implicazioni fortissime sul trasferimento internazionale dei dati e continua ad avere un impatto in termini di compliance. Le società di grandi dimensioni che fanno trasferimento extra Ue stanno costruendo un sistema di verifica che richiede tempo e impegno, ma quelle di piccole dimensioni non hanno questa capacità interna. Nel mentre, la norma continua a cambiare, le posizioni dei garanti sono in continua trasformazione e stare al passo non è facilissimo per le aziende.
In campo privacy quale tendenze noti? E quali i gap da superare?
Fra le previsioni del 2022 il trasferimento dati sarà una delle questioni principali. Il data transfer extra Ue è all’ordine del giorno, quindi avere a che fare con un sistema che permette il tracciamento e permetta di garantire la conformità sarà cruciale. Ci aspettiamo che ci saranno chiarimenti e disposizioni ulteriori su questo tema. Un’altra tematica è sicuramente l’utilizzo dei cookies: in Italia ci sono state delle linee guida adottate dal garante proprio in materia cookie. L’applicazione di queste linee guida dovrà essere valutata sul campo. In questo contesto, poi, il livello di cyberattacchi è sicuramente aumentato.
Di conseguenza aumenteranno anche i data breach…
Nell’ultimo anno c’è stato un aumento europeo dell’8% delle notifiche di data breach. A livello italiano siamo più restii a notificare: l’Italia è uno dei paesi con un numero minore di notifiche di data breach se rapportato alle dimensioni della popolazione, cosa che non avviene nelle altre giurisdizioni.
Perché?
Una delle ragioni potrebbe essere la nota paura da parte delle aziende di essere poi controllate successivamente dal garante poiché verifica tutte le notifiche di data breach e fa un’analisi concreta sulle notifiche che arrivano. Dall’altro lato, è anche possibile che le incertezze sui procedimenti del garante soprattutto ai fini dell’erogazione della sanzione siano un po’ un deterrente per le aziende a procedere con la notifica. Questo si traduce come un danno agli individui e si crea un loop che è deleterio per la protezione del dato personale.
Inoltre, le aziende sono preparate nella gestione alla minaccia cyber?
Si tratta di una tematica privacy, lo è al 90% dei casi. Ogni volta che hai un cyberattacco hai anche una violazione del dato personale, c’è da dire poi che il cyberattacco potrebbe anche colpire quelli che sono i dati aziendali della più svariata natura. Quindi, se da un lato è importante che le società adottino tutta una serie di procedure che sono volte alla tutela del dato personale per gli individui, dall’altro è opportuno adottare tutta una serie di procedure volte alla tutele del cyber rischio. Queste normative sono vicini e sempre più spesso dovranno essere tenute in considerazione congiuntamente a livello procedurale.