Data Protection Officer sotto pressione da marketing e management per limitare la conformità al GDPR

• Primo Piano
• Lunedì, 05 Febbraio 2024 11:21

Quando il GDPR è entrato in vigore nel 2018, la nuova legge sulla protezione dei dati era stata accolta come un cambiamento verso un'applicazione più rigorosa, garantendo che nell'UE il diritto fondamentale alla protezione dei dati non sarebbe esistito solo sulla carta. Ma in occasione della Giornata della protezione dei dati di quest'anno, noyb ha condotto un sondaggio tra oltre 1.000 professionisti della protezione dei dati che lavorano in aziende europee, e Il 70% degli intervistati ritiene che le autorità debbano prendere decisioni chiare e applicare il GDPR per garantire la conformità, mentre il 74% degli addetti ai lavori afferma che le autorità troverebbero "violazioni rilevanti" se varcassero la soglia di un'azienda media.

(Nella foto: Max Schrems, presidente onorario dell'associazione noyb)

L'Avv.Max Schrems, presidente onorario dell'associazione noyb ha affermato: "È estremamente allarmante quando il 74% dei professionisti della protezione dei dati interni alle aziende afferma che le autorità troverebbero violazioni significative in un'azienda media. Queste cifre sarebbero inimmaginabili se si trattasse di rispettare la legge fiscale o le norme antincendio. La non conformità sembra essere la norma solo quando si tratta dei dati personali degli utenti"

Dati oggettivi di insider sulla conformità al GDPR - Al fine di ottenere il maggior numero possibile di informazioni sull'applicazione pratica del GDPR, noyb ha incluso 65 domande che coprivano una serie di argomenti relativi alla conformità e all'applicazione del GDPR per ottenere dati affidabili e oggettivi sulle dinamiche interne che impediscono ai responsabili della protezione dei dati (Data Protection Officer) di attuare misure per rafforzare la conformità al GDPR, nonché sui fattori esterni che potrebbero spingere le aziende a una maggiore conformità in futuro. Tali dati appaiono fondamentali per concentrare il lavoro di applicazione e di conformità sulle strategie che funzionano effettivamente e che supportano il lavoro dei DPO interni.

In conflitto con i dipartimenti di marketing e la direzione - Le aziende spesso operano in uno spazio conflittuale tra la ricerca del profitto, i costi per rendere i loro sistemi conformi al GDPR e l'obbligo di rispettare la legge. l'indagine di noyb evidenzia che i DPO sono sotto pressione per limitare la conformità al GDPR nell'interesse dell'azienda: il 46% degli intervistati ha dichiarato che le vendite e il marketing esercitano pressioni attive per limitare la conformità, mentre il 32% di essi si sente messo sotto pressione dai membri del senior management. Non sorprende che anche convincere questi stakeholder ad apportare le modifiche necessarie per migliorare la conformità si stia rivelando piuttosto difficile. Uno scioccante 56% degli intervistati ha dichiarato che è stato difficile convincere il reparto marketing, mentre il 38,5% ha avuto problemi con l'alta dirigenza, e il 51% ha anche affermato che è difficile convincere i fornitori non appartenenti all'UE/SEE a fornire prodotti conformi ai clienti commerciali dell'UE.

Max Schrems ha ricordato che "i DPO dovrebbero essere indipendenti e garantire la conformità dall'interno dell'azienda. Ma in realtà, molti di loro riferiscono di aver subito pressioni da più parti per dare priorità agli interessi commerciali"

Interventi di applicazione basati su prove: multe e danni alla reputazione - La grave mancanza di chiare azioni di contrasto da parte delle autorità non aiuta i DPO a svolgere il proprio lavoro. Secondo i risultati dell'indagine, è più probabile che un'azienda migliori la propria conformità quando essa stessa - o anche altre aziende - deve affrontare multe significative. È interessante notare che il 61,5% degli intervistati ha affermato che anche le multe inflitte dalle autorità per la protezione dei dati ad altre organizzazioni influenzerebbero la conformità al GDPR della propria azienda.

Questo effetto "deterrenza" è ben noto e studiato, ma non viene realmente utilizzato dalle autorità. Lo strumento migliore sembra essere la pubblicazione delle decisioni. Il 52% degli addetti ai lavori ha dichiarato che la perdita di reputazione di un'altra azienda ha già un effetto positivo sulla conformità della propria azienda. Tuttavia, molte autorità attualmente non pubblicano le loro decisioni (ad esempio, la Germania) o le pubblicano solo in modo selettivo.

Le linee guida dell'EDPB non sono influenti - Sebbene le autorità investano sforzi, tempo e risorse considerevoli nel fornire linee guida alle aziende, esse sembrano essere ampiamente ignorate dalle imprese. Il 46% degli intervistati ha dichiarato che le linee guida dell'EDPB non sono influenti, mentre solo il 23% le ritiene in qualche modo influenti.

L'opinione degli addetti ai lavori è ancora più positiva dell'esperienza degli utenti - Sebbene l'opinione degli addetti ai lavori sia già allarmante, è ancora più ottimista di quanto consentirebbe l'esperienza media degli interessati. Ad esempio, quando noyb ha esercitato il diritto di accesso ai dati personali, oltre il 90% delle richieste non ha ricevuto una risposta completa nei tempi previsti.

La maggior parte delle richieste viene semplicemente ignorata - In confronto, il 59% degli intervistati ritiene che la maggior parte delle aziende si conformerebbe "per lo più" alle "regole fondamentali" del GDPR. L'esperienza pratica suggerisce che la visione degli esterni può essere persino peggiore di quella degli interni.

Fonte: noyb