GDPR, sanzioni in agguato. Nell’agenda 2018 compliance e formazione.


Il GDPR (General Data Protection Regulation – Regolamento Europeo 2016/679) rientra ormai nei temi in evidenza nell’agenda di aziende e professionisti per il 2018. Abbiamo già dedicato un’analisi al GDPR e a due buoni motivi per iniziare a lavorarci.

L’imminente ingresso nel nuovo anno ci avvicina ora a grandi passi alla scadenza del 25 maggio 2018, quando il Nuovo Regolamento Europeo in materia di protezione dei dati personali avrà piena applicazione in tutti gli stati europei. Da quel momento, tutte le realtà aziendali e professionali saranno tenute all’adeguamento normativo, pena sanzioni economiche rilevanti, che nel dettaglio – come esplicitato nell’articolo 83 del Regolamento – possono arrivare:

  • fino a10 milioni di euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell’esercizio precedente per inosservanza degli obblighi del titolare del trattamento e del responsabile del trattamento e per inosservanza degli obblighi dell’organismo di controllo
  • fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente, per non osservanza dei i principi di base del trattamento, comprese le condizioni relative al consenso, dei diritti degli interessati, dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; per inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo.

 

GDPR, i poteri correttivi delle autorità di controllo si aggiungono alle sanzioni

Oltre alle sanzioni economiche, la legislazione prevede inoltre che le autorità preposte al controllo possano esercitare poteri correttivi, come indicato nell’art. 58 (“Poteri delle Autorità di Controllo”), in merito al quale il gruppo dei Garanti Europei ha recentemente elaborato le “linee guida riguardanti l’applicazione delle misure previste dall’art. 58 .

Le cosiddette “sanzioni correttive” prevedono anche l’intervento diretto sui trattamenti, situazione che potrebbe comportare l’interruzione di un servizio verso i clienti dello studio professionale, con evidenti ed immediati disagi, di reputazione, in primis, ma anche a livello economico, che andrebbero quindi ad aggravare i costi delle sanzioni già comminate.

Dato il carattere globale del Regolamento Generale sulla protezione dei dati, che prevede l’applicazione in maniera uniforme su tutto il territorio europeo, non va tra l’altro sottovalutata la possibilità che i reclami vengano effettuati non soltanto dall’Autorità del Paese in cui lo studio professionale ha sede, ma anche dall’Autorità del Paese in cui ha eventualmente cittadinanza l’interessato, con un incremento dell’esposizione ai rischi.

Come abbiamo già evidenziato, il mancato adeguamento al GDPR rischia di mettere inoltre in gioco il valore delle relazioni aziendali e professionali con partner, fornitori e clienti finali, nonché della reputazione della stessa organizzazione, che possono subire gravi ripercussioni a seguito di una semplice leggerezza nella protezione dei dati. E’ fin troppo evidente come anche in questi  casi siano attendibili sull’azienda o lo studio professionale conseguenze economiche di una certa entità.

 

Regolamento Europeo Privacy: quanta consapevolezza in Italia?

Tutto questo a fronte di percentuali decisamente basse di grandi aziende – solo il 39% – che ha definito un piano di investimento pluriennale, come afferma lo studio dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano

Considerata la pervasività del digitale, la complessità normativo/giuridica del GDPR, soprattutto in relazione alla capacità e alle risorse per l’innovazione del nostro Paese, ciò che ad oggi preoccupa maggiormente chi opera con serietà per garantire la completa compliance normativa, è l’azione concreta di aziende e studi professionali, che appaiono solo in parte consapevoli dell’impegno richiesto dalla normativa del General Data Protection Regulation – Regolamento Europeo 2016/679 – così come della necessità di formazione del personale e analisi del rischio, che deve essere effettuata con scadenza annuale.

Lo studio della Fondazione Global Cyber Security Center ed Europrivacy, pubblicato all’interno del Rapporto Clusit 2016 dà una chiara – e preoccupante – idea dello scenario in tema di formazione nelle imprese italiane per il personale che partecipa ai trattamenti dei dati personali e alle connesse attività di controllo, nonché della tipologia di formazione veicolata internamente. Il 56% dei rispondenti ha dichiarato che nel 2016 erano in essere campagne di sensibilizzazione, il 41% attività di formazione in modalità e-learning per il personale obbligato e il 29,4% formazione in aula per il personale coinvolto negli audit. Il 19,4% dei rispondenti ha dichiarato invece che la formazione presso la propria azienda veniva condotta – almeno fino allo scorso anno, secondo quanto riporta lo studio – tramite “autoformazione”, oppure nessuna formazione. All’interno di questo campione, anche risposte relative a formazione svolta in anni precedenti e non rinnovata.

 

GDPR: alla ricerca del DPO

A rafforzare l’allarme, la posizione di Federprivacy in merito alla carenza attuale di competenze professionali in tema di  Protezione dei Dati, nonché di incertezza nel settore della formazione professionale, in particolare per la nuova figura chiave nel contesto della normativa europea, il Data Protection Officer (DPO). Secondo l’Associazione, saranno fino a 45mila gli esperti della materia necessari globalmente sul mercato per adeguarsi al GDPR.

L’art. 37 del Regolamento UE 2016/679, afferma che questi esperti dovranno essere individuati “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”. Pur non prevedendo la normativa l’obbligo di certificazioni in merito alle competenze del DPO, e non essendo possibile definire uno standard condivisibile dalle molteplici realtà interessate dal Regolamento Europeo 2016/679 per la protezione dei dati, riteniamo tuttavia auspicabile arrivare nel breve termine alla definizione di percorsi di formazione adeguati in ambito privato – aziende e studi professionali, con percorsi ad hoc in base alla dimensione e alle esigenze specifiche – così come per le pubbliche amministrazioni.

 

Il GDPR e la formazione dei consulenti secondo Alavie

La filosofia di Alavie in ambito formativo va da sempre in questa direzione: credendo fortemente nello sviluppo delle competenze maturate “sul campo” e in un approccio quanto più possibile “su misura” e personalizzato verso ogni singolo cliente, la società propone a tutte le risorse neoassunte un percorso imprescindibile di studio e di pratica che si concretizza nella Alavie Academy. Si tratta di un programma strutturato per acquisire competenze trasversali diffuse all’interno dell’organizzazione. Anche i talenti più brillanti, infatti, difficilmente riuscirebbero a sviluppare skill specifici sui banchi di scuola, università o centri di formazione terzi: basti pensare alle aree privacy e antiriciclaggio, in cui faticano ad emergere al momento proposte strutturate di alta formazione nel panorama accademico e professionale.

Mettetevi in contatto con noi se volete saperne di più sulla formazione in ambito GDPR.

Per conoscere più da vicino Alavie Academy o per partecipare alle selezioni periodiche di consulenti Alavie è possibile candidarsi qui.