Privacy, le aziende snobbano il trasferimento dei dati extra-Ue

di Giulio Coraggio, Giulia Zappaterra

13 Luglio 2021

Il Regolamento europeo sulla protezione dei dati personali 2016/679 (il cosiddetto Gdpr) ha da poco compiuto tre anni di vita. Per fare il punto della situazione e comprendere le aree di miglioramento, lo studio legale Dla Piper ha realizzato in collaborazione con l’Italian privacy think tank – Iptt una survey sulla compliance privacy che ha coinvolto 75 tra le principali aziende operanti in Italia.

I risultati della survey hanno mostrato che ci sono posizioni ancora divergenti su aspetti critici come il direct marketing. Con il Gdpr le aziende hanno scoperto il legittimo interesse che nel precedente regime era rimasto di fatto nella maggior parte dei casi inutilizzato perché richiedeva una previa autorizzazione del Garante per la protezione dei dati personali.

Non è una sorpresa quindi che il 18% delle aziende abbia deciso di fare affidamento sul legittimo interesse per una forma di profilazione quantomeno “light”. Ma questo dato sembra eccessivamente basso per rispecchiare la realtà dei fatti dove comunicazioni che non siano basate su quantomeno una segmentazione poco invasiva sono sempre più rare.

Il rischio è quindi che alcune aziende eseguano una forma di profilazione senza legarla a una base giuridica, in un terreno dove con riferimento al telemarketing il garante italiano ha già emesso il valore complessivo di sanzioni più elevato di tutti gli altri paesi dell’Ue.

La medesima incertezza riguarda l’inquadramento del Data protection officer (Dpo), che è stata una delle grandi novità del Gdpr la maggior parte delle aziende intervistate (48%) ha risposto indicando di avere l’ufficio legale, compliance o privacy che si occupa della compliance privacy dell’azienda, il Dpo che ha un ruolo di supervisione e dei soggetti delegati nei principali dipartimenti dell’azienda. Tuttavia, nel 47% dei casi il Dpo è il capo dell’ufficio legale, o riporta al capo dell’ufficio legale o ad altro dirigente aziendale, dando spazio a quesiti sulla sua effettiva indipendenza.

Un’altra questione delicata riguarda la gestione dei data breach. L’Italia è uno dei paesi dell’Ue in cui c’è stato il numero minore di notifiche di data breach. Ciò potrebbe essere dovuto al livello di dettaglio con cui il garante italiano analizza le notifiche che quindi porta le aziende a quasi “accettare” il rischio di una eventuale contestazione per mancata notifica, piuttosto che affrontare la quasi certa richiesta di informazioni e possibile indagine del garante successiva alla notifica. Ci si pone la domanda quindi se questo sia un rischio accettabile ora che il garante riprenderà le ispezioni invasive a cui eravamo abituati nell’epoca pre-Covid. Infatti, sulla base dei risultati del survey, solo un numero ridotto di società (26%) si affida a una analisi caso per caso o all’assistenza di un legale esterno al fine di determinare se un data breach necessiti di essere notificato al garante o comunicato agli interessati.

Il rischio è quindi che in alcuni casi le procedure (più o meno dettagliate) rimangano puramente “formali” e non comportino un’analisi concreta delle circostanze del caso e degli obblighi che ne possono derivare ai sensi della normativa sul trattamento dei dati personali.

Infine, l’argomento più “caldo” degli ultimi mesi riguarda il trasferimento dei dati al di fuori della Ue a seguito della sentenza della Corte di giustizia europea cosiddetta “Schrems II”. Quasi la metà delle aziende intervistate (il 44%) non ha ancora adottato una metodologia che assicuri il rispetto dei principi sanciti dalla Corte di giustizia europea, nonostante i ripetuti richiami da parte dei garanti europei, le prime sanzioni emesse e le indagini iniziate dallo European data protection board, il comitato dei garanti privacy europei.

Questo sarà decisamente uno degli argomenti su cui le aziende dovranno lavorare di più nelle prossime settimane per evitare contestazioni e sanzioni che potrebbero anche comportare il blocco operativo dell’azienda se fosse richiesto dal Garante di cessare immediatamente il trasferimento dei dati.

Ciò è rilevante anche con riferimento ai cookies, tra gli altri perché Max Schrems, l’attivista privacy austriaco la cui azione ha portato all’adozione della sopra richiamata sentenza, ha già inviato 500 contestazioni a società relative all’illecito trattamento dei dati personali avvenuto tramite i cookies e ha dichiarato di aver sviluppato un sistema automatizzato per generare fino a 10mila contestazioni.

Le attività necessarie alla messa in conformità alla normativa privacy sono un continuo work in progress, soprattutto nel periodo di digitalizzazione vorticosa che ci attendiamo dopo la fine dell’emergenza da Covid-19 e le aziende devono essere in grado di rendere la compliance privacy un asset aziendale piuttosto che un costo.