Sono passati 3 anni dall’entrata in vigore del Regolamento generale europeo per la protezione dei dati (GDPR) e gli investimenti in privacy policy in Italia sono ancora scarsi.
Era il 24 Maggio 2016 quando il GDPR entrava nella legislazione europea con l’obiettivo di tutelare i dati personali nel mondo digitale.
Da allora il regolamento ha determinato:
- Maggiore chiarezza nella formulazione delle informative e delle richieste di consenso;
- Nuovi limiti sul trattamento e sul trasferimento delle informazioni;
- Regole e sanzioni rigide in caso di violazione dei dati.
La privacy policy in Italia
In occasione del terzo anno dall’entrata in vigore del GDPR, Dla Piper, studio legale internazionale, ha condotto un’indagine finalizzata ad analizzare lo stato dell’arte del GDPR in Italia. La survey, realizzata in collaborazione con l’Italian Privacy Think Tank (IPTT), ha analizzato 75 aziende attive nei principali settori dell’economia italiana. Alla base di questi studi, la volontà di capire come il mondo imprenditoriale italiano stia affrontando il tema del trattamento dei dati.
Partiamo proprio dai dati. Punto principale per la tutela della privacy policy è l’utilizzo responsabile e consapevole di questa risorsa. È necessario infatti, che le aziende siano in grado di massimizzare i benefici di una corretta raccolta di dati, minimizzando invece i rischi derivanti da un loro utilizzo inappropriato.
Per quanto riguarda i meccanismi di raccolta dati, l’indagine evidenzia come le aziende utilizzino per le loro attività di marketing, form di profilazione poco invasivi che limitano il tracciamento degli utenti. Spesso la modalità di richiesta del consenso è scorretta e soltanto poche aziende si servono dei cookie per tracciare gli utenti e fare attività di marketing su siti terzi. Per quanto riguarda invece la conservazione dei dati, le aziende hanno dimostrato di comportarsi in maniera eterogenea. Spesso infatti, non si conoscono i termini di legittima conservazione dei dati.
La figura del DPO
Il DPO (Data protection Officer) si occupa di supervisionare l’azienda affinché segua i principi e le regole del GDPR. Per svolgere al meglio questo incarico, dovrebbe essere un membro esterno all’azienda. Tuttavia, nella maggior parte dei casi, non è così. Il DPO infatti, è spesso il coordinatore interno dell’intera compliance privacy dell’azienda. Non tutte le aziende italiane però, sanno che, qualora questa figura sia un membro interno, deve necessariamente dimostrare di poter svolgere il suo ruolo di DPO in maniera trasparente e indipendente.
Alcune pecche si riscontrano inoltre, nella conservazione dei dati. Il regolamento infatti, impone alle aziende di trattenere i dati in territorio europeo. Tuttavia diverse aziende non hanno adottato alcuna metodologia per verificare che questo principio non sia violato.
Paesi come l’Italia dunque, hanno ancora molto lavoro da fare per rafforzare la loro privacy policy. In diversi casi, i tribunali hanno dimostrato lacune e carenze sulle specifiche conoscenze in materia, tanto da non essere in grado di prendere decisioni.
Tuttavia, nonostante queste difficoltà, il modello organizzativo di privacy policy è rispettato dalla maggior parte delle aziende e vi è un interesse crescente sull’argomento.
E la tua azienda che accorgimenti ha adottato in questi 3 anni di GDPR? Hai ancora qualche dubbio che vuoi chiarire con noi? Affidati ai nostri esperti.
