GDPR in Italia: a che punto siamo?

Andrea Lambiase, Data Protection Officer di Axitea, Global Security Provider, fa il punto sullo scenario relativo alla protezione e alla gestione dei dati personali in Italia, a due anni dall’entrata in vigore del GDPR, evidenziando ritardi e gap da colmare. 

Si è parlato a sufficienza di GDPR in Italia? Forse no, a giudicare dalla recente classifica di Finbold cha ha collocato l’Italia al primo posto per l’ammontare delle multe finora pagate dalle aziende nel corso del 2020. La somma è particolarmente elevata a causa delle ammende inflitte ad alcuni nei nostri principali operatori di telecomunicazioni, nello specifico TIM e Wind, oltre che, in maniera molto inferiore, Iliad.

Ci sono un paio di aspetti, però, che meritano di essere evidenziati. A parte le tre aziende citate, le violazioni sanzionate in Italia riguardano soprattutto piccole realtà, spesso, del mondo della Pubblica Amministrazione o dell’Istruzione (Comuni, università, aziende ospedaliere, scuole superiori, etc.).

Si tratta di organizzazioni per le quali un’ammenda, anche nell’ordine delle migliaia di euro, può essere significativa. Un’ulteriore conferma, quindi, di quanto noi diciamo da tempo: il GDPR è una normativa che non riguarda solo le aziende più grandi e strutturate, ma che tocca chiunque tratti a qualsiasi titolo dati di altri.

A maggior ragione, se si tratta di un’organizzazione di piccole dimensioni, un’eventuale multa può avere un impatto importante sulla capacità operative. Non meno importante è quanto emerge dalle motivazioni che stanno dietro le sanzioni comminate: la violazione più ricorrente è quella relativa all’insufficienza di basi giuridiche per il trattamento dei dati.

Questo significa che, a due anni dall’entrata in vigore della normativa, troppe aziende non hanno ancora chiaro quali dati possano conservare e per quali finalità. Su questo, forse, è mancata una riflessione sufficientemente profonda. Se per ragioni di business le aziende devono processare dati di terzi, il GDPR ha introdotto alcune limitazioni a tutela dei consumatori e, per rispettarle, devono avere chiaro quali dati raccolgono, come li utilizzano e per quanto tempo, in modo da poter limitare tempi e modi al minimo indispensabile, come è nello spirito della normativa.

Per questo, un supporto specialistico può essere importante, soprattutto, per le realtà più piccole che, spesso, non hanno un esperto di dati né un responsabile legale in house. In questo modo, sarà possibile per loro procedere all’analisi e alla revisione dei processi di raccolta, all’utilizzo e alla conservazione delle informazioni che permettano di rispettare le normative senza impatto sul business aziendale. 

Andrea Lambiase
Data Protection Officer di Axitea
(www.axitea.it)