Gdpr: un bilancio dei primi due anni

Data pubblicazione: 09/10/2020

Il Gdpr, ovvero il Regolamento generale per la protezione dei dati, è entrato in vigore in Italia a pieno titolo il 25 maggio 2018, affermando la leadership dell’Europa a livello mondiale in fatto di privacy e gestione del dato, e affrontando in maniera molto ampia il complesso tema dei dati personali.
Nel testo si trovavano le indicazioni per comminare multe che potevano arrivare al 4% del fatturato annuale dell’azienda inadempiente. Lo spauracchio non bastò a scongiurare uno scenario a macchia di leopardo: nel 2018, molte aziende avevano iniziato un percorso verso la regolarizzazione, altre pensavano, spesso a torto, d’averlo già completato e tantissime non erano nemmeno entrate nella fase iniziale di conformità.

Ci si sarebbe, quindi, aspettato un gran numero di infrazioni a cui sarebbero seguite multe onerose, ma a distanza di oltre due anni dal varo, una ricerca di Finbold ha svelato che i timori erano quasi infondati e che, con poca sorpresa, i vari Paesi membri Ue hanno scelto ognuno un metodo proprio nel comminare le multe, delineando uno scenario estremamente eterogeneo. Da gennaio ad agosto 2020, in Europa sono state elevate multe in 17 Stati diversi per un totale di 60,2 milioni di euro, con un valore medio che oscilla significativamente a seconda della nazione. L’Italia è quella che ha comminato sanzioni per l’importo totale più elevato, con 45,6 milioni a fronte di 13 infrazioni. Molto staccata, si trova la Svezia che con sole quattro infrazioni ha registrato un totale di 7 milioni. Al terzo posto l’Olanda con tre infrazioni e due milioni di sanzioni, mentre la Spagna, quarto posto, vanta il record per il maggior numero di multe (73), ma un totale di soli 1,95 milioni. La Germania è quinta, con una sola multa da 1,24 milioni.

Com’è possibile una tale disparità nel valore e nel numero delle sanzioni? Andando a verificare nel dettaglio, si vede come in Italia la maggior parte delle segnalazioni riguardino la Pubblica Amministrazione, scuole e operatori di telefonia. Poche aziende private e praticamente nessuna di piccole dimensioni. In Spagna, invece, la maggior parte dei procedimenti riguarda proprio aziende medio-piccole, legate a violazioni riportabili a singoli individui. In Polonia, le poche multe comminate nel 2020 hanno come motivazione più frequente la scarsa cooperazione da parte delle entità sotto investigazione, mentre la Francia si caratterizza per un numero di multe ridotto, ma di importo mediamente elevato. In generale, quindi, emerge come ogni autorità statale deputata al controllo della privacy agisca in maniera piuttosto autonoma, curando alcuni aspetti più di altri o con approcci differenti, pur partendo da una base legale comune. È un problema già evidenziato in un rapporto Ue di maggio, in cui veniva espressa grande soddisfazione per i traguardi raggiunti dal Gdpr, ma si poneva come obiettivo proprio quello di ottenere una maggiore omogeneità nell’operato delle singole autorità nazionali.

Resta il fatto che il regolamento europeo sul trattamento dei dati è stato visto dalla maggior parte delle aziende come un’imposizione e molte lo vedono ancora così. Tanti fanno solo il necessario per evitare di esporsi a multe salate, ma dei veri effetti positivi ci sono stati. Molti reparti It, infatti, hanno sfruttato questa imposizione di legge per riuscire a farsi assegnare del budget che hanno usato in maniera sapiente per innovare l’infrastruttura e portare valore all’azienda.

(Fonte: Il Sole 24 Ore)