In occasione dei cinque anni del Regolamento generale sulla protezione dei dati (GDPR), questo articolo analizza in dettaglio gli sviluppi e le tendenze principali dell’ultimo anno. Inoltre, si guarda al futuro, offrendo spunti su ciò che le aziende possono prevedere per il GDPR nell’anno a venire.
Ecco alcune indicazioni degli ultimi dodici mesi del GDPR e le nostre previsioni per l’anno prossimo:
- Dopo la sanzione di 1,2 miliardi di euro contro Meta, i problemi di trasferimento dei dati stanno diventando più importanti: iniziamo la nostra analisi dall’ultimo evento dell’anno, l’enorme sanzione emessa ai sensi del GDPR contro Meta per il trasferimento dei dati. Come abbiamo scritto nell’articolo disponibile QUI, ci aspettiamo che una decisione di adeguatezza sui trasferimenti di dati verso gli Stati Uniti venga presa al più presto, ma il rischio di un caso Schrems 3 è elevato. Le aziende possono adottare un approccio difensivo solo eseguendo valutazioni di impatto del trasferimento con una metodologia riconosciuta dal mercato come la DLA Piper Transfer Methodology;
- Dopo l’azione del Garante contro ChatGPT, le misure concordate diventeranno probabilmente un punto di riferimento per l’Intelligenza Artificiale Generativa: La decisione del Garante di limitare urgentemente il trattamento dei dati di persone italiane da parte di Open AI attraverso ChatGPT ha fatto notizia negli ultimi mesi. Gli impegni concordati tra il Garante e Open AI diventeranno probabilmente una soglia minima di conformità per i modelli di intelligenza artificiale generativa, come abbiamo riportato nell’articolo disponibile QUI. L’imminente approvazione definitiva dell’AI Act europeo spingerà tutte le aziende che intendono sfruttare l’intelligenza artificiale generativa a revisionare una lunga lista di misure per garantirne la conformità al quadro normativo;
- Le sanzioni ai sensi del GDPR per il telemarketing e la pubblicità personalizzata porranno questo tema al centro dell’attenzione dei garanti privacy: La sanzione ai sensi del GDPR contro Meta per l’effettuazione di pubblicità personalizzata senza un’adeguata base giuridica, di cui abbiamo parlato QUI, insieme alle pesanti sanzioni per violazioni relative ad attività di telemarketing emesse dal Garante e da altre autorità privacy europee negli ultimi anni rendono la corretta gestione di un CRM la spina dorsale della strategia di conformità alla protezione dei dati di qualsiasi azienda. Il Codice di Condotta italiano sul Telemarketing, recentemente approvato e riportato QUI, fornisce indicazioni preziose per garantire la conformità. Ma gli obblighi sono onerosi e difficili da rispettare;
- Con l’approvazione di DORA e NIS2, la conformità alla cybersecurity non è più solo una questione di normativa privacy: Negli ultimi giorni del 2022, l’UE ha approvato rapidamente il regolamento DORA, che avrà un impatto massiccio sugli obblighi di cybersecurity di banche, istituti finanziari, compagnie assicurative e fornitori di criptovalute, trattati QUI, e la Direttiva NIS2, che amplia notevolmente la portata degli obblighi di cybersecurity, trattati QUI, introducendo obblighi molto più severi rispetto alla NIS1. Le aziende devono capire che la sicurezza informatica non è solo una questione di investimenti tecnologici, ma una questione di conformità che deve essere dimostrata.
- Con l’aumento degli attacchi informatici ransomware, il rischio informatico sta diventando ingestibile: Il numero di attacchi ransomware che hanno colpito le grandi e medie imprese negli ultimi dodici mesi è impressionante. Le aziende possono incorrere in multe per il GDPR, vedersi congelare tutte le operazioni e dover affrontare ingenti richieste di risarcimento a causa della recente riforma delle class action dell’UE che ha conferito un forte potere ai singoli individui? In questo scenario, l’esecuzione di una due diligence cyber che copra la conformità tecnica e legale al momento dell’acquisizione e durante le operazioni sta diventando esponenzialmente cruciale. Gli amministratori potrebbero incorrere in responsabilità se non effettuano tali valutazioni e se non intervengono una volta effettuate. Abbiamo trattato l’argomento nell’articolo QUI, sottolineando come una polizza assicurativa informatica sia fondamentale.
Questi sono i primi argomenti che ci sono venuti in mente sull’impatto del GDPR sulle aziende dopo il suo quinto anno; quali sono i vostri?
(Visited 84 times, 1 visits today)