Secondo una regola empirica, circa 364.000 aziende in Germania dovrebbero segnalare alle autorità un responsabile della protezione dei dati nella loro azienda. Secondo una valutazione di ER Secure, solo un'azienda su tre lo fa.
Il regolamento generale sulla protezione dei dati dell'UE è spesso oggetto di battute fuori luogo: se i biglietti da visita possono effettivamente essere scambiati senza dichiarazioni sulla protezione dei dati. Se il nome può essere scritto sul campanello della porta, fino a che punto un gruppo Whatsapp è legale nel lavoro a progetto o se i nomi e le preferenze dei clienti abituali possono effettivamente essere ricordati nella macelleria.
Inchiesta delle autorità
Un sondaggio commissionato dallo specialista della protezione dei dati ER Secure ha rivelato che solo circa il 30% delle aziende ha rispettato l'obbligo di notificare un responsabile della protezione dei dati dall'entrata in vigore del GDPR a maggio. A questo scopo, sono state intervistate 16 autorità statali competenti. Ma come si arriva alla cifra del 30 per cento? Dopo tutto, gli autori dello studio non possono sapere quante aziende in Germania sono obbligate a segnalare per arrivare a una quota del 30 per cento di questo valore di base.
La regola del pollice
A questo scopo, è stata usata una regola del pollice che stabilisce che le aziende devono nominare un responsabile della protezione dei dati se almeno dieci dipendenti, indipendentemente dal loro rapporto di lavoro, trattano regolarmente dati personali. Secondo Statista, si tratta di circa 364.000 aziende in Germania. 108.000 hanno registrato un responsabile della protezione dei dati, cioè solo un terzo circa.
La regola ha però i suoi limiti: Indipendentemente dal loro numero di dipendenti, secondo l'articolo 37 del GDPR, tutte le aziende hanno anche bisogno di un responsabile della protezione dei dati quando i dati personali sono trattati automaticamente - come gli indirizzi e-mail dei clienti. Le aziende del settore sanitario, dove si accumulano informazioni particolarmente sensibili, hanno anche bisogno di un responsabile della protezione dei dati in ogni caso per vigilare sul trattamento di questi dati particolarmente sensibili. Questo tende ad aumentare il valore di base e quindi una parte ancora più piccola di aziende soggette all'obbligo di segnalazione ha adempiuto al suo obbligo di segnalazione.
Conflitti di interesse?
Secondo ER Secure, è anche rilevante se i conflitti di interesse sorgono per un dipendente interno. In questo contesto, in molte aziende ha senso nominare un responsabile esterno della protezione dei dati. I responsabili della protezione dei dati - sia interni che esterni - devono essere segnalati all'autorità di vigilanza. I loro dettagli di contatto devono anche essere pubblicati sul sito web della società - per esempio, come parte della politica sulla privacy.
Legislazione complessa
"Osserviamo una continua incertezza tra molte aziende", commenta René Rautenberg, direttore generale di ER Secure. Molti, dice, semplicemente non hanno una visione d'insieme se hanno bisogno di un responsabile della protezione dei dati in relazione alle dimensioni della loro azienda e al suo scopo. "Molti non sanno che anche sotto la situazione giuridica precedente, c'era effettivamente un obbligo di nominare un responsabile della protezione dei dati (§ 4f BDSG)", aggiunge l'esperto di protezione dei dati. "Le lacune sono ancora evidenti nell'attuazione del GDPR nella vita quotidiana. Allo stesso tempo, le autorità hanno aumentato il loro personale", dice Rautenberg. Secondo la sua stima, le autorità seguiranno successivamente e secondo la priorità tutte le denunce che le hanno raggiunte. Come è emerso anche dal sondaggio, il 60 per cento delle autorità di protezione dei dati intervistate negli Stati federali vede un andamento costantemente elevato delle richieste e dei reclami nel quarto trimestre del 2018. Il 20 per cento degli intervistati, invece, prevede un aumento significativo.