I costi della GDPR per le aziende italiane

La convinzione di essere immuni a controlli può portare le aziende a rischiare sanzioni che altrimenti potrebbero essere ridotte a zero. Vediamo di affrontare alcune delle rimostranze più comuni all’adeguamento al GDPR.

“Una inutile e costosa perdita di tempo”. Questo è ciò che spesso si sente dire dalle aziende a proposito della privacy e dell’adeguamento alla normativa europea sul trattamento dati (GDPR). Si rischiano così rischiano pesanti sanzioni, ritenendo che non vi siano controlli e che l’adeguamento sia troppo costoso. In realtà non è proprio così e, in queste righe, cercheremo di motivare questa affermazione.

Il ritorno sull’investimento è zero? Non proprio

Partiamo da alcuni dati emersi dall’anniversario dell’introduzione del GDPR (25 maggio 2019 ndr). Dunque di come l’insieme dei clienti delle aziende si comporta rispetto al tema privacy e trattamento dei dati in Europa:

GDRP in numeri
  • il 67 % degli europei ha sentito parlare di almeno uno dei propri diritti 1
  • 144.376  le richieste o i reclami presentati alle varie Autorità di controllo2;
  • 89.271 (un dato inquietante) le notifiche di data breach2;
  • 446 le investigazioni su attività transfrontaliere avviate in riferimento ad aziende che forniscono servizi in almeno due paesi2;

“I cittadini europei sono diventati più consapevoli dei loro diritti digitali e questa notizia è incoraggiante. Tuttavia solo tre europei su dieci hanno sentito parlare di tutti i loro nuovi diritti in materia di dati. Per le imprese la fiducia dei clienti è un bene prezioso, che comincia da impostazioni per la privacy facili da comprendere e affidabili. La consapevolezza è un requisito indispensabile per esercitare i propri diritti. Un’applicazione più chiara e più semplice delle norme sulla protezione dei dati è un vantaggio tanto per i consumatori quanto per le imprese.”

Andrus Ansip, Vicepresidente per il Mercato unico digitale

Questi dati indicano un forte interesse della popolazione su come vengono acquisiti, gestiti e utilizzati i loro dati personali. Un’ulteriore conferma è che leggi sulla privacy (ossia sul trattamento dei dati riferiti o riferibili a persone fisiche), sono state approvate o sono in approvazione in tutto il Mondo (vedi Uganda, Thailandia, USA). 

Cosa significa per una azienda? Così come un prodotto/servizio è realizzato per soddisfare un bisogno espresso o latente, ciò può valere anche per una seria gestione della privacy. I clienti chiedono trasparenza e possibilità di controllo delle informazioni che lo riguardano, e come azienda sta diventando fondamentale offrirlo. Una maggiore trasparenza ha, infatti, due risvolti positivi:

  • permette di essere riconosciuto dal target come più adatto alle sue aspettative rispetto ai competitor (immediata identificazione);
  • ispira fiducia nel sistema economico e, a giovarne, sono tutte le aziende che concorrono a incrementarla, e non coloro che non si adeguano.

Dunque, un beneficio che ottengo è una maggiore forza commerciale ma anche efficienza. Secondo il Data Privacy Benchmark 2019 di Cisco, infatti, chi investe in protezione dei dati ha minori ritardi nelle venditeminori violazioni e relative perdite economiche, maggiore agilità (per il 75% degli intervistati)3

I costi della mancata applicazione delle normative

Il mancato rispetto delle norme sulla privacy comporta infatti il rischio di ingenti sanzioni, che possono arrivare anche fino al maggior valore tra 20 milioni di euro ed il 4% del proprio fatturato.

Al quale si aggiunge un costo che, soprattutto per le piccole imprese, può diventare insostenibile: la perdita di reputazione. Spesso, infatti, nelle considerazioni che si fanno sull’utilità dell’applicazione delle nuove regole inserite nel GDPR si considera solo il costo finanziario; se però sono vittima di una violazione dei miei sistemi, o si scopre (come si sta sempre più affermando nel caso di Facebook) che li condivido per ottenerne un guadagno senza che le persone a cui essi si riferiscano siano pienamente consapevoli di queste mie azioni, perdo clienti a vantaggio dei miei concorrenti.

L’applicazione delle norme è molto costosa

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio…

Art. 32-1 del GDPR, “Sicurezza del trattamento”

Per quanto ambigua e poco precisa questa norma possa apparire, racchiude un concetto fondamentale. Sono necessarie delle misure adeguate al rischio, quindi se una struttura non può permettersi di gestire alcuni tipi di dati, perché non ha le competenze tecniche, economiche e organizzative non lo può e non lo deve gestire. Una piccola impresa con una capacità economica limitata, che non è in grado di garantire il livello di sicurezza adeguato, ad esempio, al trattamento di dati genetici, non può svolgere tale attività. 

Per cui il Regolamento non richiede di fare il passo più lungo della gamba, ma di strutturare delle azioni (anche a costo finanziario minimo) che permettano all’azienda di effettuare i trattamenti dei dati, garantendo i diritti delle persone a cui i dati si riferiscono e applicare delle misure che minimizzino il rischio di diffusione che esso comporta.

Inoltre, il principio che il GDPR introduce è quello dell’accountability, ovvero della responsabilizzazione del titolare nel fare il massimo per garantire i diritti degli interessati. Poniamo dei casi concreti per capire:

  • condivisione di username e password tra dipendenti della stessa realtà;
  • utilizzo della stessa password per più sistemi, siti, applicazioni;
  • scelta di password mnemoniche (date di nascita, nomi di persone, parole comuni);
  • utilizzo di applicazioni, sistemi privi di codici di accesso;
  • utilizzo di post-it con nome utente e password del computer, stampante, rete.

In caso di controllo, in tutte le situazioni elencate, sarà difficile per qualunque titolare d’azienda dire che ha fatto tutto il possibile per minimizzare il rischio del trattamento. 

Eliminare queste cattive pratiche non ha costo finanziario significativo, soprattutto se confrontato con il rischio che si corre e la sanzione prevista in caso di scoperta della stessa. Sarà infatti sufficiente partire da una responsabilizzazione di tutte le persone sul valore dei dati aziendali (attività di formazione) e utilizzare dei programmi oramai molto diffusi e, in molti casi, gratuiti, chiamati gestori delle password (password manager). Essi permettono di salvare tutte le credenziali che si devono ricordare dovendo memorizzare solo quella di accesso al programma.

Adeguamento siti web ed ecommerce

Per quanto riguarda invece il mondo digitale, la raccolta, la gestione e l’archiviazione del consenso è un argomento estremamente delicato.

In primo luogo le privacy policy della maggior parte dei siti web non sono ancora a norma. Le principali carenze riscontrabili sono:

  • Chi è il proprietario del sito/app?
  • Quali dati vengono trattati, e come?
  • Qual’è la base giuridica del trattamento (ad es. consenso, contratto, legittimo interesse ecc.)? Pur essendo più specificamente correlato al GDPR e alla normativa UE, è probabile che anche sotto altre legislazioni dovrai dire perché stai trattando i dati personali degli utenti.
  • Con quali finalità tratti i dati (ad es. analytics, marketing via email ecc.)?
  • Quali terze parti hanno accesso alle informazioni? C’è qualche terza parte che raccoglie dati tramite widget o integrazioni, come pulsanti social o Facebook Connect?
  • Se applicabile, informazioni dettagliate sul trasferimento di dati all’estero (oltre frontiera/oceano) e sulle misure prese affinché questo avvenga in modo sicuro e conforme (tali informazioni sono esplicitamente richieste dalle leggi europee e australiane: sia il GDPR dell’UE che l’APP dell’Australia chiedono inoltre che vengano soddisfatti anche altri requisiti).
  • Che diritti hanno gli utenti? Possono chiedere di vedere i loro dati in tuo possesso, rettificarli, cancellarli o bloccarli? Ricorda che secondo il Regolamento Europeo la maggior parte di queste possibilità rientra nei loro diritti.
  • Descrizione del processo per la notifica di utenti e visitatori di modifiche o aggiornamenti alla privacy policy.
  • Data effettiva.

Se hai riscontrato che la privacy policy del tuo sito manca di uno di questi elementi probabilmente è ora di correre ai ripari.

Un punto fondamentale inoltre è la corretta gestione dei dati e del consenso. Quando l’utente compila un modulo di contatto inserendo i propri dati (nome, email e numero di telefono) questi rientrano tutti a pieno titolo tra i dati personali e pertanto devono essere archiviati e gestiti nel modo corretto. Se ad esempio il modulo invia una semplice mail con i dati di contatto ad un indirizzo dell’azienda, questa rientra nel trattamento dei dati personali e deve aderire alle normative.

Nessuno è immune ai controlli

Non mancano le verifiche fatte dall’Autorità Garante per la protezione dei dati personali o dai suoi delegati (Guardia di Finanza) e della possibilità di zone bianche (recente la class-action di Altroconsumo contro Facebook4). Riprendo a tal proposito le parole del colonnello Menegazzo, responsabile dell’unità privacy delle Fiamme gialle. In un intervento svolto l’anno scorso a ridosso dell’entrata nella piena applicazione dichiarò che:

  • i controlli non risparmieranno nessuno, non ci sarà la lista delle cose da fare per essere a norma
  • dei controlli si potranno occupare tutti i reparti della Guardia di Finanza; i suoi uomini, infatti, stavano procedendo ad un’attività di formazione dei colleghi delle varie sedi. Ciò significa che, per esempio, durante un controllo sull’emissione degli scontrini e delle fatture, il finanziere potrà verificare anche la conformità al Regolamento.

Va inoltre detto che la nuova normativa dà la possibilità a chiunque di fare segnalazioni sul mancato rispetto delle regole, non solo agli interessati. In caso di accertamento della fondatezza delle ragioni esposte, il rischio non è solo la sanzione amministrativa che il Garante potrà combinare (o l’obbligo di modificare/interrompere il trattamento effettuato), ma quello di ritrovarsi un procedimento penale per trattamento illecito con richiesta di danni in cui l’aver ricevuto la multa costituirà prova a favore e non certo contro.

Ti aiutiamo con gli obblighi di legge

Soluzioni a 360° per adeguare i tuoi siti web e le tue app alle normative

Fonti

  • https://edpb.europa.eu/news/news/2019/1-year-gdpr-taking-stock_en
  • https://www.privacy.it/2019/05/23/eurobarometro-gdpr-italiani-meno-consapevoli/
  • https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/dpbs-2019.pdf
  • https://ec.europa.eu/commission/sites/beta-political/files/infographic-gdpr_in_numbers_1.pdf
  • https://www.altroconsumo.it/organizzazione/media-e-press/comunicati/2018/facebook-non-rispetta-il-nuovo-regolamento-gdpr-i-dati-dei-consumatori-non-sono-tutelati