GDPR è l’acronimo di General Data Protection Regulation, ovvero la nuova normativa europea per la tutela dei dati personali adottata a livello comunitario e destinata ad entrare in vigore a partire dal 25 maggio prossimo. A pochi mesi di distanza da tale data, le aziende europee si dicono preoccupate per l’arrivo della Gdpr, come emerge in uno studio realizzato da Senzing.
Per contestualizzare le preoccupazioni delle aziende è corretto ricordare preliminarmente che la normativa – oltre 88 pagine, per un totale di oltre 55.000 parole – sostituirà la precedente direttiva per la protezione dei dati /95/446/EC – ampliando i diritti dei titolari dei dati e, parallelamente, facendo aumentare gli obblighi a carico degli enti che si occupano del trattamento di tali dati.
Le principali novità comprendono, in sintesi:
- Aumento dei diritti per i titolari dei dati con la possibilità di esercitare il diritto all’oblio, mediante la richiesta di cancellazione dei propri dati dai database di enti e aziende, e il diritto di accesso, ovvero di sapere chi sta raccogliendo i propri dati personali, dove sta avendo luogo la raccolta, e per quali fini. Inoltre l’azienda sarà tenuta a fornire al titolare dei dati, su richiesta e gratuitamente, una copia in formato elettronico dei dati personali richiesti.
- Tempi di risposta alle richieste: a tutte le richieste bisognerà rispondere entro 30 giorni dal momento in cui le medesime verranno inoltrate.
- Notifiche di violazione obbligatorie: le aziende che custodiscono i dati personali, dovranno comunicare senza ritardi ed entro 72 ore, sia al cliente, sia al responsabile del trattamento, il verificarsi di violazioni che mettono a rischio i diritti e le libertà dei singoli.
- Privacy by Design: la protezione dei dati deve riguardare la progettazione di tutti i sistemi piuttosto che essere un componente aggiuntivo.
- Sanzioni in caso di inadempienza: sono inasprite le sanzioni a carico delle aziende che non si adeguano alla normativa. Nei casi più gravi la GPDR prevede una multa sino a 4 per cento del fatturato globale annuo o 20 milioni di euro (in base a quale dei due parametri è maggiore).
Aziende preoccupate e impreparate
Lo studio di Senzing mette in evidenza che oltre il 60 per cento delle aziende dei cinque principali mercati europei (Francia, Regno Unito, Italia, Germania e Spagna) non sono pronte al GDPR e quasi la metà (44 per cento) delle aziende ha affermato di essere preoccupata in relazione alla capacità di soddisfare i nuovi obblighi contenuti nella normativa. Il 14 per cento si è detta “molto preoccupata” per le stesse ragioni.
Una preoccupazione che cresce in misura direttamente proporzionale alla grandezza dell’organizzazione aziendale: le imprese di piccole dimensioni tendono a sottostimare il rischio di non rispettare i nuovi obblighi, o non li conoscono affatto. Il 60 per cento delle grandi compagnie teme la normativa, mentre la percentuale scende rispettivamente al 55 per cento delle piccole e medie imprese, e al 34 per cento nel caso delle micro imprese.
Le ragioni dei timori sono facilmente intuibili: soddisfare la normativa si tradurrà in un aggravio di lavoro, tempo e conseguentemente costi. Il rapporto di Senzing calcola che, in media, in base al GDPR un’azienda riceverà circa 89 richieste al mese, per soddisfare le quali sarà necessario effettuare ricerche, mediamente, in 23 database differenti, ciascuna delle quali richiederà 5 minuti: il tempo mensilmente dedicato alla ricerca dei dati supererà i 10.300 minuti, ovvero 172 ore, 8 ore al giorno. Il che equivale a destinare un impiegato esclusivamente alle attività necessarie ad adempiere agli obblighi del GDPR.
Il problema è ancor più grave nel caso delle imprese di grandi dimensioni: quelle con oltre 250 impiegati potrebbero fronteggiare una media di 246 richieste mensili, da soddisfare con ricerche in 43 differenti database, ciascuna delle quali richiede 7 minuti. In tal caso il tempo mensile sale a 75.000 minuti (1259 ore), ovvero 60 ore di ricerche al giorno – 7,5 impiegati impegnati a svolgere tale attività.
Sulla base delle valutazioni effettuate da Senzing, solo il 40 per cento delle aziende europee prese in esame può definirsi GPDR Ready, il 36 per cento è messa in difficoltà dagli obblighi del GPDR, mentre il 24 per cento rischia di non essere in grado di soddisfarli. Lascia quanto meno ben sperare il fatto che almeno il 39 per cento delle imprese coinvolte hanno affermato di aver dato il via ad un processo di revisione delle strutture aziendali volto ad adeguarle ai nuovi obblighi della normativa.
Tutto quanto sopra si rifletterà ovviamente sull’utente finale che potrebbe quindi non avere la possibilità di esercitare i nuovi diritti garantiti dalla normativa – non in via fisiologica, quanto meno, ovvero senza interventi coercitivi a carico delle aziende. Ulteriori del rapporto possono essere trovati collegandosi QUI.
Fonte: HDBlog.it