Le nuove sanzioni previste dal Regolamento privacy europeo cambieranno l’approccio alla compliance privacy, ma le società sono pronte per questo?
Cosa rileva l’indagine di Blancco?
Ho tenuto questa settimana un webinar sul nuovo regolamento privacy europeo che è in via di approvazione. Durante il webinar, Blancco, una dei principali fornitori di servizi di data destruction e computer reuse management, ha mostrato i risultati di un’indagine di mercato dalla quale risultava che
- il 59% degli intervistati dichiarassero di essere a conoscenza del nuovo regolamento privacy europeo,
- solo il 23% dichiarasse di essere pronto per i cambiamenti introdotti dal regolamento e
- il 25% non avesse idea di quanto tempo richiederà l’adozione delle misure richieste dal regolamento.
Ciò che emerge da questa indagine è un certo livello di confusione circa cosa sia necessario fare e quanto tempo richieda. Il regolamento privacy europeo entrerà in vigore fra due anni, ma richiederà, tra gli altri, una mappatura di tutti i dati raccolti e una riprogettazione di tutti i prodotti e servizi offerti al fine di renderli conformi ai principi di privacy e security by design. Questa attività potrebbe richiedere anni e alcuni nostri clienti già ritengono che la scadenza di due anni non gli consentirà di essere pronti per l’entrata in vigore del regolamento.
I dati sono come una bomba ad orologeria nelle società
Fino ad oggi l’approccio è stato nella maggior parte dei casi di raccogliere il numero maggiore di dati possibili e di conservarli all’infinito perché potrebbero essere utili in futuro…
Questo approccio non è più possibile con il regolamento privacy europeo. Le sanzioni fino al 4% del fatturato mondiale del precedente anno del soggetto che commette la violazione e gli obblighi di notifica agli individui i cui dati sono stati violati quale conseguenza della c.d. data breach rappresentano un rischio che metterebbe in ginocchio qualsiasi società.
Aveva fatto scalpore la sanzione di € 1 milione emessa dal Garante nei confronti di Google per la raccolta dei dati tramite il servizio StreetView nel 2014. Ebbene con il regolamento privacy europeo
Google rischierebbe una sanzione di € 2,9 miliardi!
I dati raccolti sono certamente una risorsa e in un precedente articolo li avevo definiti la “valuta del futuro” soprattutto alla luce dell’evoluzione delle tecnologie dell’Internetof Things, ma rappresentano anche un rischio per l’intera azienda, viste le possibili sanzioni. Una verifica interna di quali dati sono raccolti, di come vengono utilizzati, dell’attuale periodo di conservazione e della conformità della raccolta alla normativa privacy applicabile è uno dei primi passaggi per prepararsi al regolamento europeo privacy.
La privacy è il nuovo antitrust?
Ho dato un titolo un po’ provocatorio a questo articolo, ma rappresenta la realtà. Fino ad oggi molte società – comprese alcune multinazionali – hanno considerato il rischio di violazione della normativa privacy come “sostenibile” perché le sanzioni penali sono state principalmente applicate solo nel famoso caso Vividown che si è concluso in un nulla di fatto e perché le sanzioni pecuniarie erano alquanto ridotte.
Con le nuove sanzioni previste dal regolamento europeo che sono applicabili sia a società europee che a società non europee che offrono i loro prodotti/servizi in Italia e/o monitorano i dati di individui situati nell’Unione europea, ci troviamo di fronte ad
una rivoluzione culturale!
La violazione della normativa privacy non sarà più un rischio che le società possono “permettersi“.
Come la compliance antitrust è stata l’incubo di molte multinazionali negli ultimi anni, la compliance privacy sarà una preoccupazione non solo delle multinazionali, ma di tutte le società che trattano dati personali e quindi…. di qualsiasi società!
Facebook Comments