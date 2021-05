Tre anni di Gdpr, fra privacy, marketing e“cecità” sui data breach Molte le sanzioni per mancata compliance, poche le denunce di data breach: una ricerca dello studio legale Dla Piper evidenzia i comportamenti delle aziende italiane in materia di protezione dei dati personali. Pubblicato il 26 maggio 2021 da Valentina Bernocco

Il Gdpr, il regolamento europeo sulla protezione dei dati personali, ha cambiato il modo in cui le aziende raccolgono, usano, rivendono i dati degli utenti? Ha migliorato o peggiorato la privacy? E la sicurezza informatica (alla luce dell’obbligo di disclosure degli avvenuti incidenti) è aumentata o diminuita? Le luci e ombre dell’attuale scenario si sovrappongono nella nuova ricerca realizzata dallo studio legale internazionale Dla Piper coinvolgendo 75 esperti privacy di società italiane dei settori media e telecomunicazioni, moda, alimentari, vendita al dettaglio, bancario e servizi finanziari, assicurativo, life sciences e benessere.

Sono passati tre anni dall’entrata in vigore del Gdpr, o meglio dalla data (25 maggio 2018) in cui il regolamento è diventato pienamente applicabile i Paesi Ue, con tanto di sanzioni per la mancata compliance. Come fa notare Dla Piper, ragionare sulla protezione dei dati oggi è quanto mai importante: la pandemia di covid-19 e la conseguente corsa alla digitalizzazione hanno caricato i dati di valore, ancor più di prima. Le nostre vite lavorative e personali, le abitudini di consumo e di acquisto, le comunicazioni transitano sempre di più dall’online e dalle applicazioni, dunque produciamo ancora più dati e quei dati servono ancora di più alle aziende per capire come comportarsi sul mercato. Ciononostante, la maggior parte delle imprese ancora fatica a interpretare correttamente le norme sulla privacy previste dal Gdpr.

Pioggia di sanzioni per violazione del Gdpr

Le aziende italiane risultano, fra le europee, le più sanzionate in assoluto per violazione delle disposizioni del Gdpr: con 73 provvedimenti sanzionatori emanati, siamo secondi solo alla Spagna (che ne ha collezionati ben 222). Poiché le ispezioni del Garante della privacy nei primi mesi del 2021 sono raddoppiate rispetto a quelle del semestre precedente, è importantissimo che le aziende adottino procedure interne per la gestione di questi controlli.

Stando alla survey, il 43% degli intervistati si è mosso bene in questo senso, mentre il 19% ha una procedura interna non sufficientemente dettagliata. C’è poi un 12% di aziende che non ha adottato alcuna procedura per la gestione delle ispezioni, né crede di averne bisogno (nel 5% dei casi, perché ha già affrontato un’ispezione in passato e pensa non servano procedure ad hoc).

Il rebus del termine di conservazione dei dati

Capire per quanto tempo i dati personali possono essere conservati è uno dei compiti più complessi per gli esperti privacy e questo aspetto, sottolinea Dla Piper, viene spesso sottovalutato nonostante possa generare sanzioni. Per i dati raccolti a finalità di marketing, il 23% delle aziende fissa il termine di conservazione a 24 mesi dalla più recente interazione dell’utente (l’ultima apertura di una email, l’ultimo acquisto o partecipazione a un evento da cui si evinca un interesse per il brand); il 19% tiene i dati per più di 24 mesi dalla raccolta o dall’ultima interazione e il 21% li conserva a tempo indeterminato, finché l’interessato non esprime l’opt-out.

Per i dati raccolti a scopo di profilazione, invece, nel 53% dei casi le aziende procedono alla cancellazione, mentre nel 19% dei casi evitano di farlo ma proseguono nel trattamento in modalità aggregata (che permette comunque di risalire ai singoli dati di profilazione). Solo l’8% delle aziende non cancella mai nessuna categoria di dati personali.

Cookie sì, cookie no?

A distanza di tre anni dall’entrata in vigore del Gdpr, il 64% delle aziende continua a richiedere due consensi separati, uno per le attività di marketing e uno per la profilazione. Dal sondaggio emerge, inoltre, un cambiamento di direzione nell’uso dei cookie per scopi di marketing: solo il 19% delle aziende installa i propri cookie su siti di terzi e li usa per fare attività pubblicitarie. Un ulteriore 9% lo fa, ma realizza le proprie attività pubblicitarie usando cookie di aggregatori. La percentuale maggiore, 49%, al contrario dichiara di non svolgere attività pubblicitarie su siti di terze parti, mentre il 12% le porta avanti usando cookie di aggregatori e l’11% fa pubblicità su siti terzi senza però utilizzare cookie o altri sistemi di tracciamento.

L'uso dei cookie da parte delle aziende italiane (Fonte: Dla Piper, "Italian Privacy Compliance Survey")

Più attenzione a privacy e aspetti legali

Altra tendenza emersa da questo studio è il crescente interesse delle aziende per il legal design, finalizzato alla capacità di instaurare un legame più trasparente con gli utenti. Il 23% ha già incaricato uno studio legale e/o un designer di riprogettare i propri documenti legali, come per esempio informative privacy o contratti; il 50% pensa di farlo nel breve termine.

Sul modello organizzativo di compliance privacy, il 48% delle aziende dichiara di averne uno a tre livelli con l’ufficio legale, compliance o privacy: il Data Protection Officer (Dpo) ha un ruolo di supervisione e in ciascuno dei principali dipartimenti aziendali viene scelto un soggetto delegato. A proposito della figura del Dpo, il 32% delle aziende vi ha dedicato un budget specifico, mentre nel 41% dei casi esiste un budget di importo però non determinato.

“I dati rappresentano ormai un asset aziendale di enorme valore”, ha commentato Giulio Coraggio, partner di Dla Piper e responsabile del settore Technology, “ma il loro valore dipende anche dalla capacità dell'azienda di massimizzarne i benefici e minimizzare i rischi derivanti dal loro sfruttamento. Se si utilizzano i dati in modo scorretto si rischiano gravi conseguenze in caso di contestazione, sia in termini reputazionali sia in termini economici. La compliance privacy non deve quindi essere più percepita come un costo, ma come una funzione strategica da cui dipende il futuro dell'azienda”.

I dati possono espatriare?

Con la sentenza Schrems II del 2020, la Corte di giustizia dell'Unione europea ha valutato come insufficienti le garanzie di protezione dei dati offerte dal Privacy Shield Usa-Ue. Dunque, per trasferire dati personali al di fuori dello Spazio economico europeo (See) le aziende sono obbligate a verificare che il Paese di destinazione garantisca un privacy uguale o superiore a quella europea. Questo, però, accade di rado.

Tra le aziende considerate dalla survey di Dla Piper, solo il 37% esegue una valutazione sistematica dei trasferimenti di dati personali, mentre il 19% si limita ad analizzare quelli più rilevanti per il proprio business. Peraltro i controlli non sono poi così completi: il 44% delle aziende si limita a eseguire verifiche sui responsabili del trattamento dei propri fornitori IT, e oltre la metà non conduce alcun audit o controllo sui propri fornitori in generale.

Omertà e cecità sui data breach

Da un altro studio di Dla Piper, titolato “Data Breach Report 2021”, risulta che in poco meno di tre anni (dalla data di entrata in vigore del Gdpr, il 25 maggio 2018, al 27 gennaio 2021) in Italia sono stati notificati al Garante per la protezione dei Dati Personali circa 3.460 episodi di data breach. Un numero incredibilmente più basso di quello tedesco, pari a 77.747 episodi notificati. Siamo meno soggetti agli attacchi o più bravi a difenderci? Nessuna delle due cose.

Piuttosto, e purtroppo, le aziende italiane tendono a denunciare molto meno gli avvenuti data breach e in molti casi neanche riescono a capire esattamente che cosa sia successo. Dalla survey emerge che solo il 26% delle aziende italiane si affida a un’analisi caso per caso o all’assistenza di un legale esterno. Soltanto il 14%, inoltre, si avvale di strumenti di legal tech da affiancare alle procedure interne, così da garantire una valutazione indipendente e imparziale. In tutti gli altri casi, il rischio è che le procedure di valutazione siano approssimative o addirittura condotte come pura formalità, senza analizzare le modalità dell’incidente, le sue conseguenze in termini di data loss e le azioni di notifica necessarie.

Più ottimistico, decisamente, è il commento Osborne Clarke sull’attuale scenario (internazionale e non solo italiano) a tre anni dall’entrata in vigore del Gdpr. Da allora, la società di consulenza legale ha gestito a livello globale più di duecento incidenti informatici con associato data breach, e su questo totale circa il 70% è stato notificato alle autorità di regolamentazione dei dati.

“La maggiore trasparenza ha portato a un aumento sostanziale sia del coinvolgimento nel rapporto con l'autorità sia delle controversie post violazione”, scrive l’ufficio stampa di Osborne Clarke. “Ma la tendenza più interessante da osservare è, probabilmente, il cambiamento culturale portato dal Gdpr: non più percepito come mero elemento di compliance aziendale ma sempre più anche come elemento di differenziazione commerciale e reputazionale”.