Quando il GDPR è entrato in vigore nel 2018, la nuova e scintillante legge sulla protezione dei dati è stata accolta come un cambiamento verso un'applicazione più rigorosa, garantendo che nell'UE il diritto fondamentale alla protezione dei dati non esista solo sulla carta. Per celebrare la Giornata della protezione dei dati di quest'anno, il 28 gennaio, noyb ha condotto un sondaggio tra oltre 1.000 professionisti della protezione dei dati che lavorano in aziende europee. Il 70% degli intervistati ritiene che le autorità debbano prendere decisioni chiare e applicare il GDPR per garantire la conformità, mentre il 74% afferma che le autorità troverebbero "violazioni rilevanti" se varcassero la soglia di un'azienda media. Nel tentativo di passare a una "applicazione basata sulle prove", questa ricerca mostra anche che le autorità dovrebbero cambiare radicalmente il loro approccio all'applicazione per indurre le aziende a conformarsi.
L'applicazione seria non ha mantenuto le promesse. Quando è entrato in vigore nel maggio 2018, il Regolamento generale sulla protezione dei dati (GDPR) ha promesso un passaggio dall'attuale approccio "soft-touch" alla protezione dei dati a un'applicazione seria. Per raggiungere questo obiettivo, la politica dell'UE ha fornito alle autorità seri poteri investigativi e la possibilità di emettere multe elevate. Secondo un nuovo noyb condotto su oltre 1.000 professionisti della protezione dei dati, la maggior parte dei partecipanti ritiene che l'introduzione del GDPR abbia "migliorato significativamente" il modo in cui le aziende gestiscono i dati personali, ma il 74% afferma che se le autorità dovessero effettivamente condurre un'indagine in loco presso un'azienda media che gestisce i dati degli utenti, troverebbero "violazioni rilevanti".
Max Schrems, presidente onorario di noyb: "È estremamente allarmante quando il 74% dei professionisti della protezione dei dati interni alle aziende afferma che le autorità troverebbero violazioni significative in un'azienda media. Queste cifre sarebbero inimmaginabili se si trattasse di rispettare la legge fiscale o le norme antincendio. La non conformità sembra essere la norma solo quando si tratta dei dati personali degli utenti"
Dati oggettivi di insider sulla conformità al GDPR. Al fine di ottenere il maggior numero possibile di informazioni sull'applicazione pratica del GDPR, noybha incluso 65 domande che coprivano una serie di argomenti relativi alla conformità e all'applicazione del GDPR. Questo ci ha permesso di ottenere dati affidabili e oggettivi sulle dinamiche interne che impediscono ai responsabili della protezione dei dati (DPO) di attuare misure per rafforzare la conformità al GDPR, nonché sui fattori esterni che potrebbero spingere le aziende a una maggiore conformità in futuro. Tali dati appaiono fondamentali per concentrare il lavoro di applicazione e di conformità sulle strategie che funzionano effettivamente e che supportano il lavoro dei DPO interni.
In conflitto con i dipartimenti di marketing e la direzione. Le aziende spesso operano in uno spazio conflittuale tra la ricerca del profitto, i costi per rendere i loro sistemi conformi al GDPR e l'obbligo di rispettare la legge. l'indagine di noybmostra chiaramente che i DPO sono sotto pressione per limitare la conformità al GDPR nell'interesse dell'azienda: il 46% degli intervistati ha dichiarato che le vendite e il marketing esercitano pressioni attive per limitare la conformità, mentre il 32% si sente messo sotto pressione dai membri del senior management. Non sorprende che anche convincere questi stakeholder ad apportare le modifiche necessarie per migliorare la conformità si stia rivelando piuttosto difficile. Il 56% degli intervistati ha dichiarato che è stato difficile convincere il reparto marketing, mentre il 38,5% ha avuto problemi con l'alta dirigenza. il 51% ha anche affermato che è difficile convincere i fornitori non appartenenti all'UE/SEE a fornire prodotti conformi ai clienti commerciali dell'UE.
Max Schrems: "I DPO dovrebbero essere indipendenti e garantire la conformità dall'interno dell'azienda. In realtà, molti di loro riferiscono di aver subito pressioni da più parti per dare priorità agli interessi commerciali"
Enterventi di applicazione basati su prove: multe e danni alla reputazione. La grave mancanza di una chiara azione di contrasto da parte delle autorità non aiuta i DPO a svolgere il loro lavoro. Secondo i risultati dell'indagine, è più probabile che un'azienda migliori la propria conformità quando essa stessa - o anche altre aziende - deve affrontare multe significative. 67.il 4% degli intervistati ha dichiarato che le decisioni dell'autorità di protezione dei dati nei confronti della propria azienda che prevedono una multa influenzeranno i responsabili decisionali a optare per una maggiore conformità. È interessante notare che il 61,5% degli intervistati ha affermato che anche le multe inflitte dalla DPA ad altre organizzazioni influenzerebbero la conformità al GDPR della propria azienda. Questo effetto ("deterrenza") è ben noto e studiato, ma non viene realmente utilizzato dalle autorità. Lo strumento migliore sembra essere la pubblicazione delle decisioni. il 52% ha dichiarato che la perdita di reputazione di un'altra azienda ha già un effetto positivo sulla conformità della propria azienda. Tuttavia, molte autorità attualmente non pubblicano le loro decisioni (ad esempio, la Germania) o le pubblicano solo in modo selettivo.
Max Schrems: "Il consiglio dei professionisti della protezione dei dati all'interno delle aziende sembra essere: 'imporre multe elevate e renderle pubbliche'. L'approccio comune di affidarsi a negoziati "informali" tra autorità e aziende e a procedure segrete sembra essere il meno efficace secondo gli addetti ai lavori"
Le linee guida dell'EDPB o le chiusure dei casi non sono influenti. Sebbene le autorità investano sforzi, tempo e risorse considerevoli nel fornire linee guida alle aziende, esse sembrano essere ampiamente ignorate dalle imprese. il 46% degli intervistati ha dichiarato che le linee guida dell'EDPB non sono influenti, mentre solo il 23% le ritiene in qualche modo influenti. Analogamente, gli addetti ai lavori giudicano poco influenti i reclami diretti con le aziende. Ciò è in contrasto con i reclami alle autorità di protezione dei dati e con la chiusura informale dei casi (attualmente la forma più comune di decisione). Nonostante tutte le indicazioni che indicano l'urgente necessità di un'applicazione rigorosa, in pratica tali azioni da parte delle DPA sono l'eccezione. Ciò è facilmente illustrato dall'uso di noybdi noyb: La maggior parte dei nostri oltre 800 casi sono pendenti da più di due anni. Ma anche se si scelgono solo i casi che noyb ha vinto, sono poche le decisioni che prevedono una multa. In più di 800 casi, non abbiamo visto una sola autorità effettuare un'ispezione in loco di un'azienda.
Max Schrems: "Negli ultimi anni, le autorità europee hanno prodotto numerose linee guida e si sono impegnate in lunghe discussioni 'informali' con le aziende, per poi 'chiudere' i casi senza ulteriori azioni. A giudicare dal feedback dei responsabili della compliance, purtroppo questo non è l'uso migliore del denaro dei contribuenti"
L'opinione degli addetti ai lavori è ancora più positiva dell'esperienza degli utenti. Sebbene l'opinione degli addetti ai lavori sia già allarmante, è ancora più ottimista di quanto l'esperienza media degli interessati consentirebbe. Ad esempio, quando noyb ha esercitato il diritto di accesso ai dati personali, oltre il 90% delle richieste non ha ricevuto una risposta completa nei tempi previsti. La maggior parte delle richieste viene semplicemente ignorata. In confronto, il 59% degli intervistati ritiene che la maggior parte delle aziende si conformerebbe "per lo più" alle "regole fondamentali" del GDPR. L'esperienza pratica suggerisce che la visione degli esterni può essere persino peggiore di quella degli interni.
L'unica via d'uscita: "applicazione basata su prove". Se si deve credere agli intervistati, l'unica soluzione realistica a questo problema è chiara: un'applicazione più severa e decisioni più chiare da parte delle autorità di protezione dei dati e dei tribunali che costringano le aziende a rendere conforme il trattamento dei dati. Un elenco completo e dettagliato delle azioni suggerite è riportato nello studio. I risultati mostrano anche l'urgente necessità di raccogliere ulteriori prove oggettive per garantire che le autorità (possano) impegnarsi in un'efficace attività di applicazione delle norme a fronte di risorse limitate. Ripetere approcci che non funzionano non porterà a cambiamenti pratici nei telefoni e nei computer degli europei. I dati raccolti nella nostra indagine costituiscono un ottimo punto di partenza per ulteriori ricerche. noyb si impegnerà anch'essa in ulteriori ricerche.
