GDPR: compliance, rischi e conseguenze in caso di violazione
Meno di due mesi. Questo è il tempo che resta prima dell’entrata in vigore del GDPR (General Data Protection Regulation). La vostra azienda è pronta? Il rischio che non lo sia è molto alto. Tre società su cinque, infatti, dichiarano di non essere pronte ad attuare le modifiche previste dal nuovo regolamento sulla protezione dei dati. Secondo un recente studio di Forrester, un gran numero di aziende sta però lavorando per adeguarsi, mentre il 22% prevede di diventare conforme al GDPR entro il 2018. Tuttavia, potrebbe essere troppo tardi; la data limite del 25 maggio è nota ormai da due anni.
Indipendentemente da dove si trovi la vostra attività, il regolamento deve essere rispettato. Chiaramente molte aziende non sono consapevoli del fatto che questa normativa abbia validità a livello mondiale e non solo in Europa. Il 43% dei professionisti IT negli Stati Uniti, per esempio, non crede che il GDPR avrà un impatto sulla propria attività.
Il Regolamento mira a proteggere la privacy dei dati personali dei cittadini dell’Unione Europea e a controllare la modalità con cui le aziende e le istituzioni li elaborano, li utilizzano e li archiviano. Pertanto, si applica a società di tutte le dimensioni e di tutti i Paesi che trattano tali informazioni. Il GDPR implica notevoli cambiamenti per garantire agli utenti un accesso più facile ai loro dati e conferisce alle aziende una maggiore responsabilità nel proteggerli.
Tra le principali modifiche vi è l’obbligo di ottenere un consenso esplicito e attivo da parte della singola persona per elaborare, archiviare o utilizzare i propri dati (informare l’utente non è sufficiente, si deve avere la sua approvazione) e di notificare le violazioni delle informazioni personali entro 72 ore dopo che un’azienda è venuta a conoscenza dell’incidente.
Inoltre, il GDPR include nuove tutele, come il diritto all’oblio, che consente agli utenti di richiedere che i loro dati personali vengano eliminati in particolari circostanze, e il diritto alla portabilità, ossia la facoltà di richiedere che le aziende che memorizzano informazioni sensibili forniscano una copia delle stesse o le trasferiscano ad un’altra società.
Nonostante le norme che il GDPR impone alle aziende per rafforzare il controllo dei dati personali, alcune società che dipendono in larga parte da questi, come quelle del settore comunicazione o della vendita al dettaglio, sono le meno preparate ad accettare il Regolamento. Solo il 27%, infatti, dichiara di esserne completamente conforme e molte, secondo Forrester, ammettono di aver iniziato ad applicare cambiamenti a causa della pressione da parte dei propri clienti.
La violazione del GDPR ha poi diverse conseguenze. Le più discusse e quelle che più preoccupano le aziende sono quelle economiche. Le autorità avranno, infatti, la possibilità di imporre multe fino a 20 milioni di euro o il 4% del fatturato annuale totale di un’azienda. Ovviamente, queste ammende saranno inflitte sulla base di vari fattori come la natura, la gravità e la durata dell’inadempienza (ad esempio, quante persone sono state coinvolte e quali danni ha causato), se è dovuta a negligenza, se c’è una storicità del comportamento etc.
Le multe più severe saranno date alle aziende che non rispettano i principi di base del trattamento dei dati personali e che violano i diritti degli utenti o trasferiscono dati sensibili a Paesi terzi o Organizzazioni internazionali, che non possono garantire una protezione adeguata. Oltre alle ammende amministrative, le società potranno subire anche ulteriori ripercussioni finanziarie, come richieste di risarcimento avanzate da persone i cui dati personali sono stati violati.
Il mancato rispetto del GDPR potrebbe inoltre assoggettare le aziende al disprezzo pubblico. Il maggior grado di trasparenza richiesto dal nuovo Regolamento e l’obbligo di notificare alle autorità le violazioni dei dati, infatti, potrebbero attirare maggiore attenzione verso l’azienda, senza dimenticare l’opinione negativa che i clienti avranno, sapendo che i loro dati non sono stati protetti. La mancanza di fiducia e la pubblicità negativa dovrebbero preoccupare, ancora di più delle multe.
Non essere in grado di dimostrare che la propria azienda è conforme al Regolamento può far infine perdere clienti e ostacolare gli accordi con altre società. Gli utenti, infatti, non sono disposti a mettere a rischio i propri dati personali se esiste un concorrente in linea con gli standard sulla privacy richiesti dal GDPR. Questo fattore influenza anche gli accordi commerciali, visto che nessuna azienda vorrebbe essere un partner e condividere le informazioni dei propri clienti con un’altra società che potrebbe mettere in pericolo le suddette informazioni condivise.
In sintesi, il mancato rispetto di GDPR può causare il fallimento di un’azienda. Il costo, non solo economico, di venire meno a questa normativa è troppo alto per essere ignorato.