Sono passati cinque mesi dall’entrata in vigore del Gdpr, il regolamento per la gestione dei dati che prevede multe molto salate in caso di mancanze nelle procedure relative al trattamento dei dati sensibili, ma qual è lo stato attuale delle aziende italiane? Lo abbiamo chiesto a Giulio Vada, General Manager di G Data, che tratta quotidianamente questi temi. «La situazione – dice – è al momento piuttosto negativa. Dopo il grande chiasso intorno alla normativa, agitando in ogni momento lo spettro delle multe, adesso non se ne parla più, con il risultato che le tante aziende ancora non a norma credono di essere in una sorta di limbo in cui le sanzioni non vengono applicate. Ma questo non è vero, il decreto attuativo è stato pubblicato il 4 settembre in Gazzetta Ufficiale ed entrato in vigore il 19».
A complicare le cose, c’è la confusione sulla figura del Dpo, il responsabile della protezione dei dati. «È recente la sentenza in cui -conferma Vada – si è data ragione a un avvocato che aveva fatto ricorso contro la sua esclusione da una gara per la figura di Dpo perché nel bando era richiesta una certificazione da auditor. Ma i giudici hanno confermato che per la figura del Dpo non esiste alcun prerequisito vincolante e quindi chiunque deve poter partecipare. Anzi, dalla sentenza il giudice suggerisce che la preparazione legale sia preferibile a quella tecnica».

NEI PRIMI MESI, TOLLERANZA GRADITA ANCHE IN ITALIA.

Le autorità di supervisione francese, il CNIL, ha ufficializzato in un proprio comunicato che nel primo semestre di applicazione adotterà una ragionevole tolleranza, purché venga riscontrato un’effettiva diligenza dei titolare del trattamento nel processo di messa in regola.

L’impostazione del CNIL è condivisa da altre autorità garanti Europee e, sebbene informalmente, anche dal nostro garante. Va sottolineato, comunque, che la tolleranza presuppone diligenza e non certo lassismo.

Come ben sappiamo le prescrizioni del GDPR penetrano nel tessuto organizzativo aziendale infiltrandosi in profondità, richiedendo la partecipazione attiva del vertice e di tutte le funzioni aziendali, in uno sforzo continuativo per l’impianto di un sistema di governo, da gestire e migliorare nel tempo avendo in mente la spirale del ciclo di De-mining( o ciclo di PDCA, acronimo dall’inglese Plan – Do – Check-Act) cioè pianificare, fare,verificare e agire che è alle fondamenta del miglioramento dei processi Aziendali e della logica del GDPR.

Ciò permetterà di gestire con diligenza operazioni complesse, come le valutazioni del rischio per i diritti e le libertà dei soggetti cui si riferiscono i dati personali, la determinazione dei tempi di conservazione dei dati nei diversi contesti e finalità, la valutazione data Protection sin dalla fase di concepimento progettuale, la determinazione del presumibile alto rischio “privacy” nelle diverse attività aziendali, l’effettuazione di un affidabile valutazione di impatto o DPIA.

A maggio 2016, quando il regolamento fu approvato ed entrò in vigore, l’attenzione generale non fu pari alla portata della riforma: il mondo imprenditoriale europeo e quello italiano, in particolare, per lo più ha cominciato a interessarsi al tema verso fine 2017, lanciando piani di compliance per adeguare le proprie strutture alle nuove prescrizioni.

In via generale, i pochi mesi a disposizione non sono bastati ad assicurare il raggiungimento pieno dell’obiettivo.  Per tali motivi il Garante francese si è fatto promotore di questa iniziativa, cioè una partenza a scoppio ritardato per circa sei mesi. Unico obbligo da parte delle organizzazioni è accendere i motori per il 25 maggio prossimo.

 

sito garante italiano

Archivio