Il GDPR è in vigore dal 25 maggio 2018. Dopo due anni, il bilancio è piuttosto misto. La speranza di molti "refusers" che non ci sarebbero state sanzioni nonostante la minaccia non è stata confermata. Tuttavia, non tutti hanno implementato il regolamento generale sulla protezione dei dati.
Il GDPR ha causato un furore fin dall'inizio. Anche se i cittadini dell'UE erano contenti di una migliore protezione dei dati, le misure di accompagnamento da parte delle aziende, in cui di solito si doveva confermare con una firma o un'e-mail che i dati potevano essere memorizzati, hanno anche rapidamente portato a clienti infastiditi.
Dal lato delle aziende, il DSGVO è arrivato come una grande sorpresa, si aveva l'impressione. Il regolamento è già in vigore da aprile 2016 e deve essere definitivamente attuato dal 25 maggio 2018. Tuttavia, molte aziende non ci hanno nemmeno pensato fino all'ultimo giorno prima della scadenza. Spesso si è fatto solo il "più necessario" per rispettare almeno un po' il regolamento. Si sperava che nessuna autorità se ne sarebbe accorta e che le multe sarebbero state solo minacce. Anche dopo un anno, secondo l'associazione digitale Bitkom, solo il 25% delle aziende tedesche potrebbe mostrare la piena conformità al DSGVO.
Milioni in multe
Nel frattempo, è chiaro che le multe saranno effettivamente imposte. Secondo Veritas, almeno 234 aziende hanno finora violato il GDPR in modo così massiccio che le autorità di protezione dei dati in Europa hanno imposto loro multe per più di 467 milioni di euro. Solo in Germania, 187 multe sono state imposte l'anno scorso, con sanzioni che ammontano a più di 25 milioni di euro.
Secondo una ricerca pubblicata dallo studio legale DLA Piper, circa 160.000 violazioni dei dati sono state segnalate nei 28 Stati membri dell'UE, nonché in Norvegia, Islanda e Liechtenstein dall'introduzione del GDPR. Negli ultimi dodici mesi, il numero di violazioni di dati segnalate è aumentato di oltre il dodici per cento, secondo il rapporto.
Il regolamento richiede anche alle aziende di segnalare le violazioni di dati alle autorità. Da maggio 2018, ci sono stati più di 21.000 incidenti di questo tipo in questo paese. Il numero di casi non segnalati potrebbe essere molto più alto, poiché non tutti sono propensi a rispettare i requisiti di segnalazione e potrebbero preferire il silenzio sugli incidenti. I risultati di Veritas rivelano che alcune aziende sono oberate dal compito di gestire i loro dati in modo completo e, in particolare, di controllare più rigorosamente l'accesso ai dati personali. I processi interni sono quindi troppo frammentari e i responsabili trascurano importanti fonti di dati in cui potrebbero trovarsi i dati personali.
DSGVO rimane una sfida
Le imprese percepiscono sempre di più le regole di protezione dei dati come una sfida, secondo un sondaggio di Bitkom. Otto aziende su dieci (79%) vedono attualmente i requisiti di protezione dei dati come il più grande ostacolo nell'uso delle nuove tecnologie. Nell'anno precedente, solo tre quarti (74%) lo dicevano, nel 2018 nemmeno due terzi (63%).
Il conflitto tra il GDPR e lo US Cloud Act, a cui sono soggetti i servizi cloud dei provider statunitensi, rimane irrisolto. Molti esperti sono del parere che solo alcuni dati possono essere memorizzati con tali servizi a causa delle possibilità di accesso del governo degli Stati Uniti; altri fanno un passo avanti e ritengono che il GDPR e il Cloud Act degli Stati Uniti sono fondamentalmente reciprocamente esclusivi. Se le aziende usano servizi cloud statunitensi, si muovono permanentemente in una zona grigia. Questo è il motivo per cui Tobias Gerlinger, CEO di OwnCloud, chiede: "Abbiamo finalmente bisogno di dichiarazioni chiare da parte dei nostri alti funzionari della protezione dei dati su quali piattaforme possono essere utilizzate per quali dati e quali no - proprio come ha fatto il Commissario federale per la protezione dei dati e la libertà di informazione quando ha vietato l'uso di WhatsApp nelle autorità federali. Senza linee guida chiare, è difficile per le aziende rispettare coerentemente il GDPR."
Un'altra grande sfida, secondo Gerlinger, è la cancellazione tempestiva dei dati personali. Nella sua esperienza, questo accade ancora troppo raramente nella pratica. Da un lato, questo è dovuto al fatto che spesso manca un'adeguata categorizzazione dei dati. D'altra parte, c'è spesso una mancanza di supporto software adeguato per la cancellazione automatica.