Il 25 Maggio 2018 entrava in vigore il GDPR (General Data Protection Regulation), con lo scopo di armonizzare la metodologia di trattamento e conservazione dei dati personali all’interno della UE, questo ha consentito la creazione di un mercato digitale europeo.
Durante il suo primo anno di applicazione il GDPR ha visto le aziende impegnate ad affrontare l’impegnativo e spesso costoso processo di adeguamento alla normativa, implementando strumenti per elaborare e conservare i dati personali in modo sicuro.
A distanza di due anni è lecito chiedersi a che punto siamo e cosa sia accaduto.
Le Violazioni
Secondo lo studio di DLA Piper dello scorso gennaio, sono stati segnalati più di 160.000 data breach nei 28 Stati membri dell’Unione Europea, con una media di 247 notifiche di violazione al giorno, per il periodo dal 25 Maggio 2018 al 28 Gennaio 2019, e di 278 notifiche di violazione al giorno, nel periodo dal 28 Gennaio 2019 al Gennaio 2020. (Aumento del 12,6%)
Non tutti i dettagli delle violazioni sono stati resi pubblici, ma le tipologie sono state molteplici, dalle email inviate a destinatari errati di lieve entità ad attacchi informatici criminali che hanno violato i dati di milioni di individui.
L’Italia, insieme a Romania e Grecia, ha segnalato il minor numero di violazioni pro-capite; con una popolazione di oltre 62 milioni di persone sono state registrate solo 1886 notifiche di violazione nei 20 mesi oggetto dell’analisi, posizionando il nostro paese all’undicesimo posto nell’Unione europea per numero di notifiche.
Questo dato paragonato ai numeri degli altri paesi europei, ci deve far riflettere su come ,sebbene il GDPR come regolamento si applichi in tutta l’intera UE (più Norvegia, Islanda e Liechtenstein), la sua interpretazione e applicazione da parte degli enti regolatori e di controllo locali varia significativamente.
Le Sanzioni
Nel periodo preso in esame (20mesi), le multe totali (comunicate) sono poco più di € 114 milioni; valore basso considerando che le autorità di vigilanza hanno il potere di multare fino al 4% del totale fatturato annuale mondiale dell’esercizio precedente.
Sanzioni importanti richiedono risorse e tempo per la preparazione di solide argomentazioni e il confronto con i governo locali.
In Italia nonostante un numero esiguo di violazioni si evidenzia un elevato valore delle sanzioni (11milioni), segno di come il garante si sia concentrato su aziende e data breach di grandi dimensioni.
Livello di Adeguamento alle normative
In Italia emerge un situazione incoraggiante; L’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano ha effettuato nel corso degli ultimi mesi del 2019 un’indagine che ha coinvolto 180 aziende di grandi dimensioni dal quale è emerso che:
Il 25 Maggio 2020, in occasione del secondo anniversario dell’applicazione delle norme europee sulla protezione dei dati, Věra Jourová, vice-presidente della Commissione europea per i Valori e la Trasparenza, e Didier Reynders, commissario alla Giustizia, hanno affermato che “questa normativa non ha solo modellato il modo in cui trattiamo i nostri dati personali in Europa, ma è diventata anche un punto di riferimento sulla privacy a livello globale”. Nella nota pubblicata e che potete scaricare a questo link è stato inoltre trattato il tema della pandemia da Coronavirus, evidenziando che “i cittadini devono essere sicuri che loro i dati personali siano efficacemente protetti.”
In questo contesto, a trovarsi maggiormente in difficoltà sono state le aziende che non avevano mai disposto processi e policy per il lavoro a distanza. A causa di frettolosi collegamenti da remoto verso i server aziendali e l’utilizzo di propri device hanno esposto a rischi i dati personali trattati.
