GDPR: cosa fare e quali rischi per le imprese in caso di inadempimento

Le sanzioni per inosservanza degli obblighi della General Data Protection Regulation (GDPR) possono arrivare fino a 10 milioni di € o fino al 2% del fatturato dell’esercizio precedente. Le sanzioni raddoppiano per inosservanza dei principi di base del trattamento dati.

Roberto Maggi

Managing Partner PK Consulting  - roberto.maggi@pkconsulting.it
Se la Carta dei diritti fondamentali dell'Unione Europea stabilisce che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano e se il legislatore europeo ha deciso di regolamentare il trattamento e la circolazione di tali dati, è ragionevole pensare che il tema sia di assoluto rispetto.
La protezione dei dati personali riguarda la libertà individuale nonché la sicurezza delle persone, delle comunità e dei sistemi economici e, solo di riflesso, la privacy ovvero il diritto alla riservatezza nella propria sfera privata. 
Il diritto alla tutela dei dati personali, che va contemperato con altri diritti fondamentali (primo fra tutti la trasparenza), ha un significativo impatto sulle aziende in termini organizzativi, informatici e di conformità normativa.

Il punto di vista organizzativo

Il management aziendale, deve valutare diversi tipi di rischi legati all’acquisizione, al trattamento, all’utilizzo e alla perdita di dati con particolare riferimento a quelli sensibili. Questo porta immediatamente a pensare che tutte le aziende che operano nell’e-commerce, o che gestiscono dati sanitari o informazioni patrimoniali, o che trattano dati personali e magari li trasmettono a terzi (a maggior ragione se all’estero) saranno fortemente impattati da questo cambio di paradigma normativo. Ma attenzione, sostanzialmente tutte le aziende trattano dati personali, a partire da quelli dei propri dipendenti.
Un rischio sostanziale per le aziende che recepiscono il GDPR (General Data Protection Regulation) è di concentrarsi sulla fase di raggiungimento del livello di conformità, trascurando l’opportunità di intervenire sui processi aziendali, sulla competenza e la responsabilizzazione delle persone nonché sul rafforzamento dei sistemi. In altri termini è l’occasione per integrare (o implementare) un sistema atto a gestire tali rischi e mitigare le possibili conseguenze, per esempio attraverso:
  • la revisione dei rischi in coerenza con le evoluzioni normative e aziendali;
  • la definizione di una catena di responsabilità che tenga in considerazione ruoli aziendali, evoluzioni organizzative e trattamenti di terze parti;
  • l’implementazione di processi atti a garantire l’esecuzione dei diritti dell’interessato nonché la segnalazione di violazioni critiche all’Autorità Garante e agli interessati stessi;
  • la strutturazione dei processi atti ad aumentare la capacità dei sistemi informatici a resistere ad attacchi malevoli e migliorare la continuità operativa;
  • la progettazione di sistemi di raccolta e trattamento dei dati, conformi agli stringenti requisiti normativi;
  • la formazione e l’informazione continua del personale, bilanciata tra i responsabili (es. titolare, contitolare, responsabile del trattamento) e coloro che utilizzano i dati.

Il punto di vista legale

Il GDPR prevede l’assegnazione di responsabilità a soggetti diversi nonché un sistema sanzionatorio pecuniario e correttivo, cioè un idoneo strumento di ripristino del patrimonio giuridico dell’interessato/danneggiato “Chiunque subisca un danno materiale o immateriale causato da una violazione […] ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Ciò porta le aziende a tutelarsi con un sistema formalmente corretto.
Le sanzioni pecuniarie possono arrivare fino a 10 milioni di euro (o fino al 2% del fatturato annuo globale) dell’esercizio precedente per inosservanza degli obblighi del titolare del trattamento e del responsabile del trattamento e per inosservanza degli obblighi dell’organismo di controllo e fino a 20 milioni di euro (o fino al 4% del fatturato annuo globale), per inosservanza dei principi di base del trattamento, comprese: le condizioni relative al consenso; dei diritti degli interessati; dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale; di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri, per inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’Autorità di controllo.
Le sanzioni correttive che prevedono anche l’intervento diretto sui trattamenti, situazione che potrebbe comportare l’interruzione di un servizio verso i clienti, con evidente e immediato danno economico e reputazionale particolare rilevante.

Il punto di vista informatico

L’abolizione delle misure minime di sicurezza, ossia di un set predefinito di contromisure (prevalentemente tecnologiche), finalizzate a contrastare i rischi sui dati personali, può apparire una semplificazione rispetto alla normativa vigente. In realtà è una delle spine nel fianco dei titolari dei trattamenti. Tali misure rappresentano, infatti, una rete di sicurezza che viene meno e aumenta il rischio di sottostimare le minacce e di adottare misure di sicurezza inadeguate.
Le conseguenze di ciò sarebbero dirette e indirette. Ad esempio una mancata o insufficiente implementazione di un efficace sistema antivirus o di back-up sarà direttamente sanzionabile, come abbiamo già visto, dall’Autorità Garante. Ma le conseguenze dirette, seppur rilevanti, potrebbero essere ampiamente superate da quelle indirette, ovvero derivanti da danni reputazionali. Infatti, una rilevante novità contenuta nel GDPR è la cosiddetta data breach notification, ossia l’obbligo, per l’impresa, di autodenunciarsi al Garante (entro 72 ore) in caso di violazione dei dati degli interessati e, in alcuni casi, di segnalare la violazione agli interessati stessi. In altri termini oggi veniamo informati della perdita di dati a distanza di mesi e solo dopo che l’azienda ha posto in atto una serie di contromisure. Domani le aziende dovranno dichiararsi entro tre giorni, con evidenti conseguenze dannose e con il rischio di rendere pubblica la notizia di una rete di sicurezza inadeguata e vulnerabile dalle principali minacce informatiche in circolazione. Attenzione a considerare questo un problema secondario se pensiamo che, secondo i principali produttori di antivirus, i “ransomware” (virus in grado di criptare i dati rendendoli inutilizzabili e che richiedono il pagamento di un riscatto per potervi accedere di nuovo) hanno contagiato il 21% delle imprese nel 2017.
È quindi di tutta evidenza che la normativa sulla protezione dei dati personali richiede un approccio interdisciplinare e l’intervento di persone con preparazione tecnica e professionale di alto livello e differenziata. Un team capace di supportare l’azienda a raggiungere il livello di conformità richiesto entro il 25 maggio prossimo e che progetti e realizzi l’integrazione nel sistema di gestione aziendale dei requisiti organizzativi, legali e informatici richiesti senza appesantire l’operatività aziendale e mitigando i rischi.
Tale intervento non può prescindere dalla conoscenza dell’organizzazione dell’azienda; da una robusta analisi dei rischi; dallo studio di possibili contromisure per mitigare, trasferire, accettare o non esporsi al rischio; dall’assumere decisioni sulle contromisure e sulla loro attuazione; dal formare le persone; dal verificare la bontà degli interventi posti in essere; dall’attuare processi di miglioramento.
Allo sviluppo del business il manager deve aggiungere le competenze per ridurre i rischi della General Data Protection Regulation che entra in vigore il prossimo maggio; meglio prevenire che essere sanzionati.

Roberto Maggi ha partecipato al 143° incontro del Gruppo Progetto Innovazione ALDAI-Federmanager del 21 Marzo per approfondire le procedure di compliance GDPR e rispondere alle domande dei colleghi.  
CLICCA QUI per accedere alla presentazione riservata ai soci e lettori registrati.

Notizie della settimana

Archivio storico dei numeri di DIRIGENTI INDUSTRIA in pdf da scaricare, a partire da Gennaio 2013.

I più visti

Contratto Dirigenti Industria 2019-2024

Il Contratto Nazionale di Lavoro dei dirigenti industria costituisce l’impegno fra le rappresentanze dei dirigenti e quelle datoriali sulla regolamentazione e gestione del rapporto di lavoro. Il documento Confindustria-Federmanager di 63 pagine, aggiornato con l'accordo del 30 luglio 2019, è riassunto di seguito per facilitarne la consultazione.
01 ottobre 2019

CCNL Dirigenti Industria. Confindustria e Federmanager firmano il rinnovo 2025-2027

Aumentano le retribuzioni e si rafforza il welfare. Nell'articolo il comunicato Federmanager sul rinnovo contrattuale e il testo dell'accordo accessibile agli iscritti Federmanager.
01 dicembre 2024

Rinnovo del Contratto Collettivo Nazionale del Lavoro dei Dirigenti Industria

L'accordo firmato da Confindustria e Federmanager il 13 novembre 2024 è accessibile solo agli associati registrati sulla rivista digitale.
13 novembre 2024

Gli obblighi assicurativi previsti dalle fonti istitutive: siamo sempre sicuri che le polizze in essere siano a norma?

Cresce la necessità di acquisire maggiore consapevolezza sui rischi per lavoratori e aziende, ne parleremo il 29 novembre in un incontro dedicato alla conoscenza degli obblighi contrattuali e alla valutazione dell’adeguatezza delle coperture assicurative previste dall’art. 12 e dall’art. 15 del CCNL dirigenti industria
01 novembre 2022

Riforma fiscale: quanto gli italiani pagano più dei francesi?

La legge delega per la riforma fiscale, approvata dal Consiglio dei Ministri il 16 marzo 2023, apre un confronto sull'equità e sulla semplificazione tributaria. Un'occasione per un confronto con le politiche tributarie di altri Paesi europei che iniziamo - in questa prima puntata - con la Francia, per rilevare che una famiglia italiana con due figli e un reddito di 100mila euro paga 26mila euro di tasse in più rispetto all'analoga famiglia francese.
01 maggio 2023