L’Europa e il Gdpr, ovvero lo spauracchio della privacy per le aziende

scritto da il 17 Maggio 2018

C’è chi lo chiama “privacy day” o anche “privacy scare”, ma la verità è che questo nuovo regolamento sulla privacy rischia di diventare una minaccia per gran parte delle piccole aziende europee. A pochi giorni dalla sua entrata in vigore il GDPR è ormai un tema caldo anche in Italia, tanto da far passare quasi in secondo piano la notizia della candidabilità di Silvio Berlusconi e della fuga degli sponsor dal Grande Fratello 15. Il General Data Protection Regulation è il Regolamento UE n. 679/2016 sulla protezione dei dati personali che va ad abrogare la Direttiva 95/46/CE. Si tratta di un nuovo importante atto normativo della comunità europea per meglio regolare il modo in cui i dati dei cittadini dell’UE possono essere utilizzati dalle aziende, introducendo nuove regole rigide sul consenso delle persone a elaborare i loro dati. È stato approvato dal Parlamento Europeo nell’aprile 2016 e finalmente entrerà in vigore il 25 maggio 2018.

Il GDPR è applicabile in ciascuno Stato membro e produrrà un maggiore grado di armonizzazione sulla protezione dei dati tra le nazioni dell’UE. Il nuovo regolamento consente ai soggetti interessati di esigere un risarcimento giudiziario per danni e presentare reclami amministrativi alle autorità di vigilanza. Il meccanismo di uniformità del GDPR è quello di incoraggiare le autorità di vigilanza a cooperare e concordare le decisioni di infrazione, che conferiscono potere al comitato europeo per la protezione dei dati sulla risoluzione delle controversie, rendendo vincolanti le decisioni finali. Questo meccanismo potrà certamente semplificare gli oneri sui controllori e sui processi in tutti gli Stati membri offrendo soluzioni di applicazione più efficienti, ma ha di certo obbligato nell’ultimo anno le aziende di tutto il mondo che gestiscono dati e relazioni con clienti europei, ad aggiornare gli strumenti di protezione dei dati, con un picco di investimenti che si aggira intorno a qualche miliardo di dollari nei primi 6 mesi dell’anno.

Il nuovo regolamento prevede infatti che qualsiasi organizzazione che gestisce i dati in Europa è obbligata a rispettare la normativa, indipendentemente da dove sia ubicata nel mondo e anche se non ha mai avuto uffici o sedi fisiche nel vecchio continente.

36-37_deep_dive_final_big( Fonte: fsb.org.uk )

La parte che più in assoluto preoccupa le aziende (compreso le extra-europee) sono le sanzioni previste in violazione del GDPR, che prevedono un pagamento fino al 4% del fatturato globale annuale aziendale (vale a dire non solo i ricavi generati in Europa) e fino a 20 milioni di euro. Molte aziende extra UE si sono rese conto soltanto da qualche mese che il GDPR si applica anche ad esse pur non avendo una presenza fisica UE. Un sondaggio lanciato da PwC ha rilevato che oltre il 60% di tutte le aziende americane prevede di spendere più di 1 milione di euro per adeguarsi al regolamento.

I recenti scandali, come il Dieselgate, Panama Papers e Cambridge Analytica, hanno certamente mostrato la vulnerabilità dei dati gestiti dalle aziende e i danni sull’interesse pubblico in tutta l’UE. Ma c’è un problema principale che l’Europa sta sottovalutando. Un importante numero di piccole imprese soprattutto europee, rischia di dover chiudere la propria attività a causa degli enormi sforzi finanziari da sostenere per adeguarsi al regolamento GDPR. Rispettare i nuovi regolamenti è un peso economico non indifferente per le SMEs (Small and medium-sized enterprises), che rappresentano il 99% dell’intero business del continente europeo, tanto che gli esperti sostengono che le piccole aziende che non potranno sostenere i costi di adeguamento potrebbero essere destinate a scomparire nei prossimi anni.

Uber Entertainment un’azienda statunitense con sede a Kirkland, Washington attiva nel settore dei videogames ha comunicato che gran parte dei suoi giochi online saranno chiusi il prossimo 23 maggio a causa degli adeguamenti previsti dalla GDPR. Altre aziende americane e australiane come ad esempio l’azienda di videogames Gravity Interactive, ha comunicato che dall’entrata in vigore del GDPR si vedrà costretta a bloccare l’accesso ai giochi a tutti gli europei, con una evidente perdita finanziaria sui ricavi.

Un sondaggio lanciato da Idc, una tra le principali società al mondo in materia di ricerche di mercato ha stimato che il GDPR continuerà a spingere una porzione significativa della spesa aziendale in sicurezza informatica per i prossimi quattro anni. In termini di spesa, Idc stima che in Europa occidentale la sicurezza informatica crescerà del 20% tra il 2017 e il 2021, toccando il picco nel 2019 con una spesa di circa 3,7 miliardi di dollari.  Questo certamente potrebbe portare i prossimi quattro anni ad una impennata di Pmi costrette a chiudere i battenti.

Ma l’Italia come si si sta muovendo?

In Italia Idc stima una spesa in crescita del 15,3% nel periodo 2017-2021. Una crescita decisamente lenta rispetto agli altri Paesi. Ad inizio anno l’Osservatorio Information Security & Privacy del Politecnico di Milano ha lanciato un’indagine intervistando circa 160 imprese italiane con più di 250 addetti con l’intento di esplorare tre aspetti specifici: la conoscenza del tema GDPR (awareness), il budget dedicato e le azioni implementate. Il 51% delle aziende intervistate si è adeguato al GDPR, la restante percentuale è in procinto di adeguarsi o fa fatica a sostenere l’ adeguamento.

C’è anche chi sfrutta questo trend del momento per alimentare l’industria “fai-da-te” di esperti e consulenti in materia di GDPR. Non esistono qualifiche ufficiali di esperti in GDPR, a meno che l’azienda non assuma un responsabile della protezione dei dati – un ruolo definito e previsto dal regolamento europeo. Basterebbe provare a lanciare una ricerca su Linkedin  con le parole chiave “GDPR expert” per trovare circa 12.400 risultati su potenziali  nuovi super consulenti sparsi per il globo.

L’Unione Europea con il Regolamento (UE) 2016/679 ha previsto la figura del Data Protection Officer (DPO) ovvero il responsabile della sicurezza dei dati. Nel 2016, l’Associazione internazionale dei professionisti della privacy ha calcolato che nel Regno Unito, le aziende hanno richiesto oltre 28.000 DPO.

Il DPO viene designato sistematicamente dal titolare e dal responsabile del trattamento dei dati in tre circostanze:

  • Quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni);
  • Quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • Quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

I dati pubblicati da Zyxel dimostrano che l’80% delle PMI non sono pronte al GDPR nonostante il 92% di esse abbia subito una violazione dei dati e il 42% sia preoccupata di poter subire una violazione dei dati in un prossimo futuro. Di contro il report di Accenture Research dimostra ad esempio che circa la metà (47%) degli adulti del Regno Unito vorrebbe cancellare i propri dati presenti online. Il nuovo regolamento europeo è certamente uno strumento utile e indispensabile per tutelare i cittadini europei, ma forse le organizzazioni e le aziende necessitano di più tempo per potersi adeguare al GDPR essendo un regolamento complesso e con un linguaggio confuso. La rigidità del GDPR si estende a tutte le aziende indipendentemente dalle loro dimensioni, ed ogni azienda è direttamente responsabile della propria conformità. Gran parte delle piccole e medie imprese sono state lasciate indietro e la mancanza di conformità potrebbe paralizzare la loro intera attività.

La maggior parte delle aziende possiede dipendenti e clienti e pertanto ha accesso a dati personali. Questo presuppone che anche se un’azienda non è Google o Facebook ed ha delle dimensioni relativamente ridotte, l’infrastruttura di dati da gestire può essere piuttosto grande. Un esempio sono le imprese digitali, che lavorano in settori come marketing o commercio elettronico, che pur avendo un numero limitato di dipendenti, gestiscono una grande quantità di dati personali sui consumatori. Il rischio è che se da un lato l’UE intenda salvaguardare e tutelare la privacy degli europei, dall’altro possa costringere gli imprenditori a cercarsi un nuovo lavoro. E con i tempi che corrono… trovare un nuovo lavoro non è proprio una passeggiata.

Twitter @lospaziodimauri