Tre anni di GDPR, DLA Piper: aziende italiane ancora in difficoltà nell’implementazione

Le aziende italiane sembrano avere ancora difficoltà a recepire correttamente le norme del General Data Protection Regulation (GDPR), anche a tre anni dalla sua entrata in vigore. Lo afferma una survey dello studio legale DLA Piper, che ha intervistato gli esperti privacy di 75 società italiane attive in tutti i principali settori dell’economia. Le aziende italiane sono notoriamente le più sanzionate in assoluto per violazione delle disposizioni del GDPR in relazione alle ispezioni del Garante privacy: questo anche grazie ad un aumento di queste ultime, quasi raddoppiate nel 2021 rispetto al secondo semestre 2020. Il 43% delle aziende interpellate da DLA Piper, di conseguenza, afferma di avere predisposto procedure interne ben strutturate per fornire prontamente riscontro al Garante in caso di richiesta; il 19% ha una qualche forma di procedura interna, anche se non dettagliata. Il restante 38% si divide tra chi pur senza procedure ha saputo gestire ispezioni (5%), chi crede che non siano necessarie (7%) e chi pensa di adottarne (25%). Dalla survey emerge uno scenario variegato anche in merito ai termini di conservazione dei dati personali utilizzati dalle aziende. Per i dati conservati per finalità di marketing, ad esempio, il 23% delle aziende fa decorrere 24 mesi dall’ultima interazione dell’utente, il 19% per più di 24 mesi. Ben il 21% delle aziende li conserva a tempo indeterminato, subordinandone l’eliminazione all’opt-out dell’utente. Il 64% delle aziende, infine, continua a chiedere due consensi separati per le attività di marketing e quelle di profilazione; ma il 49% dichiara in ogni caso di non svolgere attività di marketing su siti di terze parti tramite “cookies”. Un paragrafo della survey è dedicato anche al legal design: il 23% delle aziende dice di aver già incaricato un professionista per revisionare i propri documenti legali in funzione di una maggiore trasparenza e immediatezza verso l’utente; il 50% pensa di farlo nel breve termine. Infine, n tema di modelli organizzativi in materia di privacy, il 48% delle imprese intervistate dichiara di averne uno a tre livelli (ufficio legale/compliance/privacy, data protection officer e soggetti delegati nei vari dipartimenti aziendali). Il 28% si affida al binomio ufficio legale-dpo, mentre la restante parte (23%) si affida ad un organo unico: un dpo, un ufficio legale, o un ufficio legale coordinato dal dpo. I dpo, in particolare, hanno un budget dedicato e definito nel 32% dei casi; nel 41% dei casi l’importo del budget invece non è definito, ma esiste un generico obbligo della società a contribuire alle sue esigenze.