GDPR: cosa accade se un regolamento invecchia
Il GDPR è davvero invecchiato?
Nei mesi scorsi la Commissione europea si è pronunciata nei meriti del Regolamento generale per la protezione dei dati personali dicendo che resterà tale fino al 2024. Non è prevista alcuna modifica o aggiornamento: davvero il GDPR non avrebbe avuto bisogno di alcuni miglioramenti? Cerchiamo di capire insieme se il GDPR è invecchiato rispetto alle reali necessità delle organizzazioni.
Evoluzione dovrebbe essere la parola d’ordine
Il GDPR non è un’entità astratta, scollegata dalla realtà, e quindi nemmeno dalle attività lavorative che devono essere compliant. Ciò implica che la parte teorica dovrebbe essere il più rispondente possibile all’applicazione. In caso contrario è inevitabile che vengano a crearsi situazioni di ambiguità pericolose.
Quali possono essere i problemi da affrontare
In un contesto interconnesso e in veloce mutazione, ogni elemento dovrebbe rispondere alla parola “evoluzione”: i tempi hanno subìto un’accelerazione tale da non potersi permettere i rallentamenti della burocrazia. Ciò vale anche per il GDPR.
A maggio 2020 è avvenuta la prima verifica da quando il Regolamento è stato promulgato nel 2018. Sono quindi intercorsi due anni nei quali si sono susseguiti diversi cambiamenti, che hanno imposto alle PMI diversi obblighi di natura organizzativa. Spesso questi passaggi li mettono in difficoltà poiché non è sempre univoca la modalità a cui attenersi. Come mai? Perché il Regolamento è nato come un insieme di norme, la cui diretta applicazione nella realtà si è potuta osservare solo nei 24 mesi di attuazione.
Al momento, quindi, il GDPR risulta avere alcune pecche che lo rendono anacronistico rispetto alle esigenze delle aziende. Tutto questo comporta alcune conseguenze.
EDPB: che cosa è e di cosa si occupa
L’EDPB, o Comitato europeo per la protezione dei dati, è la massima autorità di controllo responsabile dell’applicazione del GDPR in tutta l’Unione Europea. Esso si compone dei rappresentanti delle autorità di protezione dei dati di ogni paese membro dell’UE. Le linee guida che emana sono alla base dell’attuazione del GDPR a livello nazionale.
Il Comitato europeo per la protezione dei dati aveva impostato le linee guida fondamentali tra il 2016 e il 2018 che, ogni giorno, sono oggetto di consultazione frequente da parte di tutte le organizzazioni. E’ evidente che se il GDPR è invecchiato: le risposte presenti nel documento iniziale non saranno mai all’altezza delle aspettative.
Perché il GDPR è invecchiato
La relazione dell’EDPB è stata presentata nel maggio del 2020, ma riguarda l’anno 2019, il primo di reale applicazione del GDPR. Si tratta di un documento parziale, in cui viene presentata la funzione del Comitato europeo per la protezione dei dati, la sua struttura e le attività di programmazione. Inoltre, vi sono le azioni inerenti al 2019 e le sanzioni emesse dalle singole Autorità.
Appare quasi del tutto assente una concreta valutazione sull’applicazione pratica delle linee guida, che tenga conto delle difficoltà incontrate dalle organizzazioni che devono misurarsi con il GDPR.
Ecco perché sarebbe stato fondamentale fare tesoro delle osservazioni di questi due anni di applicazione del GDPR, così da riuscire ad apportare le modifiche necessarie per rendere le linee guida rispondenti alle reali necessità. Sebbene fossero procedure approfondite, esse nascono in una fase di non applicazione effettiva del GDPR e quindi restano indicazioni astratte. Con l’entrata in vigore, è stato possibile constatare le reali problematiche che dovevano essere affrontate. La decisione di non aggiornare il GDPR, quindi, non tiene conto dei due anni di applicazione concreta del Regolamento. Purtroppo.
Aksilia e il GDPR
Constatato che il GDPR è invecchiato e avrebbe avuto bisogno di qualche aggiornamento, resta l’obbligo per tutte le attività lavorative, aziende, imprese, di essere compliant.
Nello specifico essere GDPR compliant significa essere conformi al Regolamento europeo per la protezione dei dati e rispettarne i princìpi. Per riuscirci bisogna adottare le procedure organizzative e di sicurezza affinché il rischio sui dati trattati sia basso. In questa “catena”, è necessario verificare che siano compliant anche tutti i responsabili, dai titolari ai DPO e ai responsabili esterni.
Aksilia Lucca si occupa proprio di questo: rende la tua realtà conforme al GDPR e lo fa con un approccio evolutivo, capace di prendersi cura dei tuoi dati sensibili, ma anche della cybersecurity della tua struttura.
A fianco di questo servizio, è possibile ottenere un supporto a 360 gradi, in cui puoi avere accesso alla figura del CISO, alla ISO 27001, alla ISO 31000:2018, alla protezione dai furti di informazioni e tanto altro.
Se hai trovato questo articolo interessante, leggi il nostro blog, seguici sui nostri canali social e resta aggiornato iscrivendoti alla nostra newsletter. Siamo a tua disposizione per ogni dubbio: contattaci.
Aksilia è il partner per la gestione del GDPR a Lucca.