Il Regolamento Europeo Generale sulla Protezione dei Dati, che sostituisce la Direttiva 95/46/CE, come noto entrerà in vigore nel maggio 2018 e porterà cambiamenti rilevanti per tutti le parti coinvolte: le Autorità di controllo, gli interessati, i titolari e i responsabili del trattamento. Al fine di aiutare questi ultimi a comprendere i principali impatti operativi del Regolamento ed a stimolare il loro cambiamento interno, il “Centre for Information Policy Leadership” – un think tank globale su privacy e sicurezza che ha come obiettivo la promozione del relativo sviluppo, sotto il profilo legislativo e applicativo – ha lanciato un sondaggio (i cui partecipanti sono sia titolari sia responsabili del trattamento appartenenti ad organizzazioni multinazionali con fatturato annuo variabile da meno di 1 milione a più di 100 miliardi di dollari, operanti prevalentemente in Europa e negli stati Uniti) per valutarne i progressi fatti nelle attività preparatorie all’efficacia del Regolamento.
Di seguito, una schematica descrizione dei principali risultati emersi.
In generale, i risultati del sondaggio di cui sopra, concluso a settembre 2016, mostrano che la maggior parte delle imprese rispondenti ha avviato attività preparatorie in termini di valutazione dell’impatto del Regolamento sulla loro operatività e di conseguenza ha iniziato a delineare piani di implementazione e a valutare le risorse da stanziare a questo scopo.
I partecipanti rivelano differenti livelli di implementazione rispetto alle varie aree di adeguamento del Regolamento: meno di un terzo si ritiene completamente adeguato o prossimo al pieno adeguamento con riferimento ad una serie di elementi chiave, ma nel contempo si rivela meno sicuro in rapporto agli obblighi di nuova introduzione, quali i diritti degli interessati come ampliati dal Regolamento.
Con riferimento alle risorse aggiuntive necessarie per l’implementazione del Regolamento, i partecipanti stanno già considerando il relativo impatto in termini di costo del personale e di budget: meno di un quinto hanno già stanziato extra costi per personale, budget e consulenze esterne, metà dei partecipanti ne stanno discutendo mentre il 31% non renderà disponibili risorse aggiuntive per l’adeguamento al Regolamento.
Infine, la maggior parte dei partecipanti ha già nominato un DPO di gruppo o locale, mentre solo il 15% alla data della risposta non aveva coperto questo ruolo.
Dai 40 partecipanti che hanno risposto alla domanda, facoltativa, sulla necessità di linee guida e chiarimenti sul Regolamento, è risultata la seguente classifica di priorità degli argomenti da chiarire: (i) legittimo interesse (25 risposte); (ii) privacy fin dalla progettazione e pseudonimizzazione (23 risposte) (iii) valutazione d’impatto e del rischio (21 risposte). Queste priorità sono seguite da vicino dai seguenti temi: comunicazione della violazione dei dati, informativa e consenso, trasferimento internazionale di dati personali. È parsa alquanto confusa anche la percezione dell’applicazione del diritto alla portabilità dei dati personali, con riferimento al quale la maggioranza dei partecipanti ha dichiarato che non si applica alla loro organizzazione, o che non ne sono certi (56%).
Quanto alle principali preoccupazioni manifestate dai partecipanti, il sondaggio ha consentito di identificare le seguenti aree di maggiore impatto del Regolamento, che richiedono i maggiori sforzi di cambiamento dell’organizzazione aziendale:
- a) l’utilizzo di responsabili del trattamento e la relativa contrattualizzazione: circa un terzo dei rispondenti (32%) ha già iniziato questo processo, mentre circa il 40% non ha ancora cominciato a rivedere i processi standard di trattamento e a rinegoziare i relativi accordi: la ragione sembra ascrivibile al fatto che la maggior parte dei partecipanti già utilizza accordi che comprendono i nuovi obblighi. Dal punto di vista delle imprese responsabili del trattamento, le aree di maggiore impatto sono: (i) l’obbligo di documentare tutte le attività di trattamento (43%); (ii) il rispetto di tutti gli obblighi previsti dai contratti dei titolari (27%); (iii) i trasferimenti di dati in territori extra-UE (23%).
- b) La sicurezza dei dati e l’obbligo di comunicazione delle violazioni dei dati: la maggior parte dei partecipanti sono ben preparati ad affrontare gli obblighi di comunicazione delle violazioni dei dati. Più del 75% ha predisposto procedure di reporting interne, il 78% possiede un piano di risposta agli incidenti e il 64% un gruppo di intervento. Non si tratta di risultati sorprendenti, considerato che il 77% dei partecipanti è già soggetto ad obblighi di report delle violazioni dei dati, auto-imposti o previsti dalla legge.
Meno di un terzo ha implementato altre best practice o procedure (come la conduzione di esercitazioni di reazione agli incidenti o la sottoscrizione di apposite assicurazioni, e solo il 28% allo stato utilizza esperti di forensics), mentre la maggioranza dei partecipanti sta volontariamente implementando misure tecniche ed organizzative per minimizzare la probabilità e l’impatto di una violazione e la maggior parte dei rispondenti sta effettuando una valutazione d’impatto (PIA) nei casi di “alto rischio” di trattamento nei termini stabiliti nel Regolamento.
Una preoccupazione aggiuntiva riguarda le previsioni più rigorose del Regolamento in ordine al consenso: solo una minoranza dei rispondenti, utilizzando l’attuale modalità operativa, sarebbe in grado di soddisfare i requisiti richiesti dal Regolamento per la validità del consenso, mentre il trattamento basato sul legittimo interesse del titolare, o di un terzo, è soggetto a rigorose condizioni e a valutazioni di bilanciamento di interessi che richiedono al titolare di valutare l’impatto e il rischio di danno per l’interessato. Queste difficoltà sembrano costituire ostacolo alla possibilità di usare e riutilizzare i dati personali, con la conseguenza di condizionare la strategia ed i processi produttivi delle imprese.