GDPR: cosa fare e quali rischi per le imprese in caso di inadempimento

Le sanzioni per inosservanza degli obblighi della General Data Protection Regulation (GDPR) possono arrivare fino a 10 milioni di € o fino al 2% del fatturato dell’esercizio precedente. Le sanzioni raddoppiano per inosservanza dei principi di base del trattamento dati.

Roberto Maggi

Managing Partner PK Consulting  - roberto.maggi@pkconsulting.it
Se la Carta dei diritti fondamentali dell'Unione Europea stabilisce che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano e se il legislatore europeo ha deciso di regolamentare il trattamento e la circolazione di tali dati, è ragionevole pensare che il tema sia di assoluto rispetto.
La protezione dei dati personali riguarda la libertà individuale nonché la sicurezza delle persone, delle comunità e dei sistemi economici e, solo di riflesso, la privacy ovvero il diritto alla riservatezza nella propria sfera privata. 
Il diritto alla tutela dei dati personali, che va contemperato con altri diritti fondamentali (primo fra tutti la trasparenza), ha un significativo impatto sulle aziende in termini organizzativi, informatici e di conformità normativa.

Il punto di vista organizzativo

Il management aziendale, deve valutare diversi tipi di rischi legati all’acquisizione, al trattamento, all’utilizzo e alla perdita di dati con particolare riferimento a quelli sensibili. Questo porta immediatamente a pensare che tutte le aziende che operano nell’e-commerce, o che gestiscono dati sanitari o informazioni patrimoniali, o che trattano dati personali e magari li trasmettono a terzi (a maggior ragione se all’estero) saranno fortemente impattati da questo cambio di paradigma normativo. Ma attenzione, sostanzialmente tutte le aziende trattano dati personali, a partire da quelli dei propri dipendenti.
Un rischio sostanziale per le aziende che recepiscono il GDPR (General Data Protection Regulation) è di concentrarsi sulla fase di raggiungimento del livello di conformità, trascurando l’opportunità di intervenire sui processi aziendali, sulla competenza e la responsabilizzazione delle persone nonché sul rafforzamento dei sistemi. In altri termini è l’occasione per integrare (o implementare) un sistema atto a gestire tali rischi e mitigare le possibili conseguenze, per esempio attraverso:
  • la revisione dei rischi in coerenza con le evoluzioni normative e aziendali;
  • la definizione di una catena di responsabilità che tenga in considerazione ruoli aziendali, evoluzioni organizzative e trattamenti di terze parti;
  • l’implementazione di processi atti a garantire l’esecuzione dei diritti dell’interessato nonché la segnalazione di violazioni critiche all’Autorità Garante e agli interessati stessi;
  • la strutturazione dei processi atti ad aumentare la capacità dei sistemi informatici a resistere ad attacchi malevoli e migliorare la continuità operativa;
  • la progettazione di sistemi di raccolta e trattamento dei dati, conformi agli stringenti requisiti normativi;
  • la formazione e l’informazione continua del personale, bilanciata tra i responsabili (es. titolare, contitolare, responsabile del trattamento) e coloro che utilizzano i dati.

Il punto di vista legale

Il GDPR prevede l’assegnazione di responsabilità a soggetti diversi nonché un sistema sanzionatorio pecuniario e correttivo, cioè un idoneo strumento di ripristino del patrimonio giuridico dell’interessato/danneggiato “Chiunque subisca un danno materiale o immateriale causato da una violazione […] ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Ciò porta le aziende a tutelarsi con un sistema formalmente corretto.
Le sanzioni pecuniarie possono arrivare fino a 10 milioni di euro (o fino al 2% del fatturato annuo globale) dell’esercizio precedente per inosservanza degli obblighi del titolare del trattamento e del responsabile del trattamento e per inosservanza degli obblighi dell’organismo di controllo e fino a 20 milioni di euro (o fino al 4% del fatturato annuo globale), per inosservanza dei principi di base del trattamento, comprese: le condizioni relative al consenso; dei diritti degli interessati; dei trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale; di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri, per inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’Autorità di controllo.
Le sanzioni correttive che prevedono anche l’intervento diretto sui trattamenti, situazione che potrebbe comportare l’interruzione di un servizio verso i clienti, con evidente e immediato danno economico e reputazionale particolare rilevante.

Il punto di vista informatico

L’abolizione delle misure minime di sicurezza, ossia di un set predefinito di contromisure (prevalentemente tecnologiche), finalizzate a contrastare i rischi sui dati personali, può apparire una semplificazione rispetto alla normativa vigente. In realtà è una delle spine nel fianco dei titolari dei trattamenti. Tali misure rappresentano, infatti, una rete di sicurezza che viene meno e aumenta il rischio di sottostimare le minacce e di adottare misure di sicurezza inadeguate.
Le conseguenze di ciò sarebbero dirette e indirette. Ad esempio una mancata o insufficiente implementazione di un efficace sistema antivirus o di back-up sarà direttamente sanzionabile, come abbiamo già visto, dall’Autorità Garante. Ma le conseguenze dirette, seppur rilevanti, potrebbero essere ampiamente superate da quelle indirette, ovvero derivanti da danni reputazionali. Infatti, una rilevante novità contenuta nel GDPR è la cosiddetta data breach notification, ossia l’obbligo, per l’impresa, di autodenunciarsi al Garante (entro 72 ore) in caso di violazione dei dati degli interessati e, in alcuni casi, di segnalare la violazione agli interessati stessi. In altri termini oggi veniamo informati della perdita di dati a distanza di mesi e solo dopo che l’azienda ha posto in atto una serie di contromisure. Domani le aziende dovranno dichiararsi entro tre giorni, con evidenti conseguenze dannose e con il rischio di rendere pubblica la notizia di una rete di sicurezza inadeguata e vulnerabile dalle principali minacce informatiche in circolazione. Attenzione a considerare questo un problema secondario se pensiamo che, secondo i principali produttori di antivirus, i “ransomware” (virus in grado di criptare i dati rendendoli inutilizzabili e che richiedono il pagamento di un riscatto per potervi accedere di nuovo) hanno contagiato il 21% delle imprese nel 2017.
È quindi di tutta evidenza che la normativa sulla protezione dei dati personali richiede un approccio interdisciplinare e l’intervento di persone con preparazione tecnica e professionale di alto livello e differenziata. Un team capace di supportare l’azienda a raggiungere il livello di conformità richiesto entro il 25 maggio prossimo e che progetti e realizzi l’integrazione nel sistema di gestione aziendale dei requisiti organizzativi, legali e informatici richiesti senza appesantire l’operatività aziendale e mitigando i rischi.
Tale intervento non può prescindere dalla conoscenza dell’organizzazione dell’azienda; da una robusta analisi dei rischi; dallo studio di possibili contromisure per mitigare, trasferire, accettare o non esporsi al rischio; dall’assumere decisioni sulle contromisure e sulla loro attuazione; dal formare le persone; dal verificare la bontà degli interventi posti in essere; dall’attuare processi di miglioramento.
Allo sviluppo del business il manager deve aggiungere le competenze per ridurre i rischi della General Data Protection Regulation che entra in vigore il prossimo maggio; meglio prevenire che essere sanzionati.

Roberto Maggi ha partecipato al 143° incontro del Gruppo Progetto Innovazione ALDAI-Federmanager del 21 Marzo per approfondire le procedure di compliance GDPR e rispondere alle domande dei colleghi.  
CLICCA QUI per accedere alla presentazione riservata ai soci e lettori registrati.

Notizie della settimana

Archivio storico dei numeri di DIRIGENTI INDUSTRIA in pdf da scaricare, a partire da Gennaio 2013.

I più visti

Contratti a confronto

Proseguendo nell’esercizio iniziato con il confronto tra il CCNL Nazionale Dirigenti Industria ed il contratto Fiat, proponiamo ora il confronto del testo di riferimento con il CCNL Nazionale Dirigenti Commercio.
01 gennaio 2017

Nuovo contratto Confapi-Federmanager

In anticipo rispetto alla scadenza, lo scorso 16 novembre 2016 si è raggiunto l’accordo tra le parti per il rinnovo del CCNL dei dirigenti e quadri superiori delle piccole e medie aziende produttrici di beni e servizi. La decorrenza del CCNL va dal 01.01.2017 al 31.12.2019. L’obiettivo delle Parti è stato quello di apportare quegli interventi contrattuali necessari a favorire il rilancio della competitività delle PMI attraverso l’incremento delle professionalità manageriali.

 
01 marzo 2017

Contratto Dirigenti in scadenza nel 2018

Il contratto Confindustria-Federmanager in vigore dal 1° gennaio 2015 scadrà il 31 dicembre 2018. I lettori che hanno ricevuto e attivato l'accesso agli articoli riservati agli associati possono scaricare di seguito il contratto in vigore per aprire un consapevole confronto per il rinnovo del contratto.

A cura della redazione Dirigenti Industria 
01 novembre 2017

C.C.N.L. DIRIGENTI DI AZIENDE PRODUTTRICI DI BENI E SERVIZI

Accordo 30 dicembre 2014 tra Federmanager e Confindustria

In un contesto di economia globale e di internazionalizzazione, sempre più frequentemente ci viene richiesta una versione inglese del Contratto Collettivo.
01 novembre 2017

Termine presentazione domanda Naspi a seguito di licenziamento individuale

Hot mail con il nostro esperto INPS. Sono un dirigente di 56 anni licenziato a maggio 2016 per giustificato motivo oggettivo con dispensa dal preavviso lavorato e corresponsione della relativa indennità sostitutiva di 12 mesi.
26 settembre 2016