Una recente classifica di Finbold colloca l’Italia al primo posto per l’ammontare delle multe pagate per infrazioni alle norme sul GDPR dalle aziende, nel corso del 2020. Segno che, nonostante la pandemia Covid abbia deviata l’attenzione dei media da argomenti più tecnici, del GDPR si è parlato molto negli anni scorsi, ma il tema non è stato ancora metabolizzato dalla maggioranza degli utilizzatori. La somma risulta, inoltre, è particolarmente elevata a causa delle ammende inflitte ad alcuni dei principali operatori di telecomunicazioni nazionali, nello specifico TIM e Wind, oltre che, sebbene in maniera molto inferiore, Iliad.
“Ci sono un paio di aspetti però che meritano di essere evidenziati”, sottolinea nella nota Andrea Lambiase, DPO di Axitea, Global Security Provider. “A parte le tre aziende citate, le violazioni sanzionate in Italia riguardano soprattutto piccole realtà, spesso del mondo della pubblica amministrazione o dell’istruzione: comuni, università, aziende ospedaliere, scuole superiori, etc. Si tratta di organizzazioni per cui un’ammenda, anche nell’ordine delle migliaia di Euro, può essere significativa. Un’ulteriore conferma di quanto noi diciamo da tempo: il GDPR è una normativa che non riguarda solo le aziende più grandi e strutturate, ma che tocca chiunque tratti a qualsiasi titolo dati di altri. A maggior ragione, se si tratta di un’organizzazione di piccole dimensioni, un’eventuale multa può avere un impatto importante sulla capacità operative”.
Non meno importante è quanto emerge dalle motivazioni che stanno dietro le sanzioni comminate: la violazione più ricorrente è quella relativa all’insufficienza di basi giuridiche per il trattamento dei dati. Questo significa che, a due anni dall’entrata in vigore della normativa, troppe aziende non hanno ancora chiaro quali dati possano conservare e per quali finalità. Su questo forse è mancata una riflessione sufficientemente profonda.
“Se per ragioni di business le aziende devono processare dati di terzi”, conlude Lambiase, “il GDPR ha introdotto alcune limitazioni a tutela dei consumatori e per rispettarle, devono avere chiaro quali dati raccolgono, come li utilizzano e per quanto tempo, in modo da poter limitare tempi e modi al minimo indispensabile, come è nello spirito della normativa”.