Non solo il Garante italiano e quello inglese, la maggior parte delle Autorità europee per la protezione dei dati personali soffre di carenze di personale e di fondi in vista dei nuovi adempimenti in arrivo fra un anno con l’entrata in vigore del nuovo regolamento Ue. A mettere il dito nella piaga è il sito Politico.eu, secondo cui le novità del nuovo regolamento, in vigore da metà maggio del 2018, riguarderanno la necessità per le autorità europee di gestire un numero molto maggiore di ispezioni e controlli di dati aziendali, a fronte della possibilità di erogare sanzioni fino al 4% del fatturato delle aziende inadempienti (multe fino a 20 milioni di euro).
La nuova normativa europea implicherà per le autorità europee della privacy l’obbligo di stare in prima linea nella battaglia contro gli hacker. Non potranno quindi permettersi di avere problemi di risorse umane e finanziarie, pena la perdita di credibilità di fronte alle aziende, che a loro volta dovranno vedersela con una serie di nuovi adempimenti fra cui la nomina del DPO (Data Protection Officer).
In gioco c’è soprattutto la credibilità delle authority e la loro capacità di svolgere compiti ispettivi e di monitoraggio sempre più complessi. Il Presidente Antonello Soro a più riprese e già dal 2015 ha sottolineato più volte ed in diverse sedi istituzionali, il rischio concreto che il funzionamento dell’Autorità “non possa più essere garantito in ragione degli scarsi stanziamenti ad essa destinati, del tutto insufficienti rispetto alle crescenti e rilevantissime competenze assegnate. Con l’entrata in vigore del nuovo Regolamento, che prevede espressamente per gli Stati membri l’obbligo di assicurare alle Autorità di supervisione risorse umane, tecniche e finanziarie per l’effettivo adempimento dei loro compiti e l’esercizio dei poteri serve, in questo senso, un deciso e significativo cambio di passo nel nostro Paese”.
L’indagine
L’indagine condotta da Politico.eu ha preso in esame la situazione di tutte e 28 le Autorità di protezione dati, nonché il Garante europeo che funge da supervisor delle diverse authority nazionali.
Il presidente del Garante in Grecia, Konstantinos Menoudakos, ha detto che la carenza di personale e la mancanza di risorse finanziarie sufficienti sta frenando l’attività; sulla stessa linea d’onda la direttrice dell’Authority danese, Cristina Angela Gulisano, secondo cui tutti vogliono ottenere di più con la stessa quantità di denaro e per questo l’autorità che presiede sta sbrigando una mole maggiore di lavoro con le stesse risorse e i carichi di lavoro sono destinati a crescere ancora.
Alcune autorità europee non hanno risposto alle domande, come ad esempio quella portoghese, mentre quella austriaca si è rifiutata di dare le informazioni adducendo come motivo il fatto che si tratterebbe di uno sgarbo al Parlamento e ad altre testate giornalistiche.
Subito le linee guida
Fra le priorità dei garanti Ue al momento la necessità di mettere a punto linee guida il più comprensive possibile per consentire alle aziende di capire come muoversi. E se una parte delle linee guida su come trattare i dati e le richieste degli utenti che decidono di lasciare un servizio, chi è il responsabile cui rivolgersi e quindi con chi lamentarsi sono già state scritte, altre linee guida vanno ancora scritte. In particolare, su temi delicati come le modalità di profilazione da parte delle aziende e degli utenti; le regole sulla vendita dei dati.
Il tempo stringe, anche perché i dirigenti aziendali devono sapere al più presto come allocare i budget in relazione ai database e alle informazioni sensibili di cui dispongono. Insomma, grossi investimenti aziendali e scelte strategiche sono in gioco e dipendono a stretto giro dalle modifiche normative in cantiere.
Clima teso
Il clima è teso, le aziende lamentano scarsa possibilità di interagire con le autorità in questa fase propedeutica alla nuova era della privacy. E a loro volta le autorità sono sulla difensiva, scrive Politico.eu.
In difesa dei regolatori si è schierato Giovanni Buttarelli, presidente del Garante europeo, invitando le aziende a prendersi le loro responsabilità in termini di accountability e trasparenza, con policy interne ben definite, senza aspettare di fare il compitino sotto dettatura per ogni singolo dettaglio normativo da parte delle autorità.
Mercoledì e giovedì prossimo la lobby di grandi web company (Facebook, Google, Microsoft) e molte altre si confronteranno con i regolatori per uno scambio di idee sulle linee guida in fase di preparazione. Una due giorni importante, anche se l’anno scorso un’iniziativa analoga ha lasciato perplesse molte aziende.
Per quanto riguarda la dotazione di personale, le diverse autorità europee hanno numeri molto diversi fra loro. Si va dalla Finlandia, che ha una ventina di impiegati, come peraltro la Lituania e la Lettonia, fino ai 420 impiegati del Regno Unito (che nonostante ciò ne ha chiesti di più) ai 200 della Francia.
E mentre alcuni dei presidenti Ue del Garante Privacy sono nominati da Governo o Parlamento, altri sono selezionati dopo un classico iter di assunzione. Alcune Authority sono finanziate dal governo, altre dai proventi delle sanzioni che comminano.
Anche da punto di vista delle funzioni ci sono grosse differenze. Quattro autorità sentite da Politico.eu non hanno facoltà di multare le aziende. Alcune autorità si occupano di libertà di espressione e informazione, altre puramente di privacy.
Il regolatore bulgaro, ad esempio, prevede la necessità di un incremento del 25-30% di personale e fondi in vista dell’entrata in vigore del nuovo regolamento, ma per ora le risorse aggiuntive non sono arrivate.
Qual è il rischio maggiore?
Che le aziende decidano di basare le loro attività nel paese dove si trova il Garante più debole, ha detto il presidente dell’autorità belga Willem Debeukelaere, sollevando il caso dell’Irlanda dove l’autorità sembra alquanto morbida con le aziende. Sono già diverse le grandi multinazionali che, non a caso, hanno il loro quartier generale europeo in Irlanda, e il Garante di Dublino dovrebbe da solo occuparsi di gran parte dei casi che riguardano i grossi player internazionali, basti pensare a Google e Facebook.
Isabelle Falque-Pierrotin, che occupa la presidenza a rotazione del Garante Privacy Ue, ha scritto non più tardi dello scorso marzo ai diversi governi, chiedendo più soldi e in tempi stretti per i diversi enti. Ma eventuali nuovi fondi non arriveranno, presumibilmente, fino alla fine dell’anno visto che la maggior parte degli stati mette a punto il budget statale a fine anno.
Ma è necessario consentire alle autorità nazionali di realizzare da subito i loro nuovi compiti, formare lo staff interno alle nuove regole, aggiornare i sistemi IT, promuovere la consapevolezza del cambio radicale in arrivo e dare istruzioni in tempi ragionevoli anche perché nei casi più complessi si può arrivare fino a due anni prima del giudizio. Troppo.
E mentre le aziende chiedono tempi rapidi per chiudere un caso nel quale sono coinvolte, il numero di segnalazioni per violazione dei dati personali cresce a dismisura nei vari paesi. Ad esempio, l’anno scorso l’autorità polacca si è occupata di circa 2.600 casi, a fronte di uno staff di 150 persone. Il che, tradotto, significa che ogni dipendente ha passato in media tre settimane su ogni caso affrontato.