{"id":1875,"date":"2016-11-14T14:21:43","date_gmt":"2016-11-14T13:21:43","guid":{"rendered":"https:\/\/blog.europrivacy.org\/?p=1875"},"modified":"2016-11-14T14:21:43","modified_gmt":"2016-11-14T13:21:43","slug":"global-gdpr-readiness-cipl-report","status":"publish","type":"post","link":"https:\/\/blog.europrivacy.info\/it\/2016\/11\/14\/global-gdpr-readiness-cipl-report\/","title":{"rendered":"SURVEY CIPL SULL’ADEGUAMENTO AL GDPR: RILASCIATI I RISULTATI"},"content":{"rendered":"

Il Regolamento Europeo Generale sulla Protezione dei Dati<\/a>, che sostituisce la Direttiva 95\/46\/CE<\/a>, come noto entrer\u00e0 in vigore nel maggio 2018 e porter\u00e0 cambiamenti rilevanti per tutti le parti coinvolte: le Autorit\u00e0 di controllo, gli interessati, i titolari e i responsabili del trattamento. Al fine di aiutare questi ultimi a comprendere i principali impatti operativi del Regolamento ed a stimolare il loro cambiamento interno, il \u201cCentre for Information Policy Leadership<\/em>\u201d \u2013 un think tank<\/em> globale su privacy e sicurezza che ha come obiettivo la promozione del relativo sviluppo, sotto il profilo legislativo e applicativo \u2013 ha lanciato un sondaggio (i cui partecipanti sono sia titolari sia responsabili del trattamento appartenenti ad organizzazioni multinazionali con fatturato annuo variabile da meno di 1 milione a pi\u00f9 di 100 miliardi di dollari, operanti prevalentemente in Europa e negli stati Uniti) per valutarne i progressi fatti nelle attivit\u00e0 preparatorie all\u2019efficacia del Regolamento.<\/p>\n

Di seguito, una schematica descrizione dei principali risultati emersi.<\/p>\n

In generale, i risultati<\/a> del sondaggio di cui sopra, concluso a settembre 2016, mostrano che la maggior parte delle imprese rispondenti ha avviato attivit\u00e0 preparatorie in termini di valutazione dell\u2019impatto del Regolamento sulla loro operativit\u00e0 e di conseguenza ha iniziato a delineare piani di implementazione e a valutare le risorse da stanziare a questo scopo.<\/p>\n

I partecipanti rivelano differenti livelli di implementazione rispetto alle varie aree di adeguamento del Regolamento: meno di un terzo si ritiene completamente adeguato o prossimo al pieno adeguamento con riferimento ad una serie di elementi chiave, ma nel contempo si rivela meno sicuro in rapporto agli obblighi di nuova introduzione, quali i diritti degli interessati come ampliati dal Regolamento.<\/p>\n

Con riferimento alle risorse aggiuntive necessarie per l\u2019implementazione del Regolamento, i partecipanti stanno gi\u00e0 considerando il relativo impatto in termini di costo del personale e di budget: meno di un quinto hanno gi\u00e0 stanziato extra costi per personale, budget e consulenze esterne, met\u00e0 dei partecipanti ne stanno discutendo mentre il 31% non render\u00e0 disponibili risorse aggiuntive per l\u2019adeguamento al Regolamento.<\/p>\n

Infine, la maggior parte dei partecipanti ha gi\u00e0 nominato un DPO di gruppo o locale, mentre solo il 15% alla data della risposta non aveva coperto questo ruolo.<\/p>\n

Dai 40 partecipanti che hanno risposto alla domanda, facoltativa, sulla necessit\u00e0 di linee guida e chiarimenti sul Regolamento, \u00e8 risultata la seguente classifica di priorit\u00e0 degli argomenti da chiarire: (i) legittimo interesse (25 risposte); (ii) privacy fin dalla progettazione e pseudonimizzazione (23 risposte) (iii) valutazione d\u2019impatto e del rischio (21 risposte). Queste priorit\u00e0 sono seguite da vicino dai seguenti temi: comunicazione della violazione dei dati, informativa e consenso, trasferimento internazionale di dati personali. \u00c8 parsa alquanto confusa anche la percezione dell\u2019applicazione del diritto alla portabilit\u00e0 dei dati personali, con riferimento al quale la maggioranza dei partecipanti ha dichiarato che non si applica alla loro organizzazione, o che non ne sono certi (56%).<\/p>\n

Quanto alle principali preoccupazioni manifestate dai partecipanti, il sondaggio ha consentito di identificare le seguenti aree di maggiore impatto del Regolamento, che richiedono i maggiori sforzi di cambiamento dell\u2019organizzazione aziendale:<\/p>\n

    \n
  1. a) l\u2019utilizzo di responsabili del trattamento e la relativa contrattualizzazione: circa un terzo dei rispondenti (32%) ha gi\u00e0 iniziato questo processo, mentre circa il 40% non ha ancora cominciato a rivedere i processi standard di trattamento e a rinegoziare i relativi accordi: la ragione sembra ascrivibile al fatto che la maggior parte dei partecipanti gi\u00e0 utilizza accordi che comprendono i nuovi obblighi. Dal punto di vista delle imprese responsabili del trattamento, le aree di maggiore impatto sono: (i) l\u2019obbligo di documentare tutte le attivit\u00e0 di trattamento (43%); (ii) il rispetto di tutti gli obblighi previsti dai contratti dei titolari (27%); (iii) i trasferimenti di dati in territori extra-UE (23%).<\/li>\n
  2. b) La sicurezza dei dati e l\u2019obbligo di comunicazione delle violazioni dei dati: la maggior parte dei partecipanti sono ben preparati ad affrontare gli obblighi di comunicazione delle violazioni dei dati. Pi\u00f9 del 75% ha predisposto procedure di reporting interne, il 78% possiede un piano di risposta agli incidenti e il 64% un gruppo di intervento. Non si tratta di risultati sorprendenti, considerato che il 77% dei partecipanti \u00e8 gi\u00e0 soggetto ad obblighi di report delle violazioni dei dati, auto-imposti o previsti dalla legge.<\/li>\n<\/ol>\n

    Meno di un terzo ha implementato altre best practice o procedure (come la conduzione di esercitazioni di reazione agli incidenti o la sottoscrizione di apposite assicurazioni, e solo il 28% allo stato utilizza esperti di forensics), mentre la maggioranza dei partecipanti sta volontariamente implementando misure tecniche ed organizzative per minimizzare la probabilit\u00e0 e l\u2019impatto di una violazione e la maggior parte dei rispondenti sta effettuando una valutazione d’impatto (PIA) nei casi di \u201calto rischio\u201d di trattamento nei termini stabiliti nel Regolamento.<\/p>\n

    Una preoccupazione aggiuntiva riguarda le previsioni pi\u00f9 rigorose del Regolamento in ordine al consenso: solo una minoranza dei rispondenti, utilizzando l\u2019attuale modalit\u00e0 operativa, sarebbe in grado di soddisfare i requisiti richiesti dal Regolamento per la validit\u00e0 del consenso, mentre il trattamento basato sul legittimo interesse del titolare, o di un terzo, \u00e8 soggetto a rigorose condizioni e a valutazioni di bilanciamento di interessi che richiedono al titolare di valutare l\u2019impatto e il rischio di danno per l\u2019interessato. Queste difficolt\u00e0 sembrano costituire ostacolo alla possibilit\u00e0 di usare e riutilizzare i dati personali, con la conseguenza di condizionare la strategia ed i processi produttivi delle imprese.<\/p>","protected":false},"excerpt":{"rendered":"

    Il Regolamento Europeo Generale sulla Protezione dei Dati, che sostituisce la Direttiva 95\/46\/CE, come noto entrer\u00e0 in vigore nel maggio 2018 e porter\u00e0 cambiamenti rilevanti per tutti le parti coinvolte: le Autorit\u00e0 di controllo, gli interessati, i titolari e i responsabili del trattamento. Al fine di aiutare questi ultimi a comprendere i principali impatti operativi\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":167,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[17],"tags":[44,43],"class_list":["post-1875","post","type-post","status-publish","format-standard","hentry","category-open-forum","tag-what-to-achieve","tag-what-to-do"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1875","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/167"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=1875"}],"version-history":[{"count":3,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1875\/revisions"}],"predecessor-version":[{"id":1878,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/1875\/revisions\/1878"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=1875"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=1875"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=1875"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}