07 Mar GDPR Data Breach: Poca attenzione ai problemi? Sembra di sì…
Recentemente è stato pubblicato da DLA Piper (uno Studio Legale internazionale presente in tutti i paesi citati) un documento intitolato “GDPR Data Breach Survey” che, come si comprende dal titolo, riporta un’analisi delle segnalazioni di data breach, ovvero di violazioni della Privacy o del Regolamento Europeo, che devono essere obbligatoriamente segnalate.
GDPR Data Breach: La situazione in Italia
Da questo documento si legge che in Italia, in poco meno di un anno, cioè dall’entrata in vigore del GDPR il 25 maggio 2018, in Italia abbiamo avuto solamente 630 segnalazioni di violazioni, contro le 15mila dei Paesi Bassi, le 12mila della Germania e le 10mila del Regno Unito. Questo vuol dire che siamo un paese virtuoso? O piuttosto che forse non sappiamo cosa siano le violazioni? O peggio ancora: non conosciamo che tali violazioni DEVONO ESSERE NOTIFICATE al Garante per evitare di incorrere in pesanti sanzioni?
Durante una convention a cui è intervenuto anche il Colonnello Marco Menegazzo, responsabile del gruppo Privcy della Guardia di Finanza, sembra che non solo statisticamente, ma anche fattivamente, le aziende non abbiano seriamente preso in considerazione l’idea di adeguare la propria cultura aziendale al livello del GDPR, optando per una operazione “di facciata” piuttosto che per un decisivo cambio di considerazione relativamente alla sicurezza dei Trattamenti. Tutto questo proprio nel momento in cui la Guardia di Finanza stessa si è potenziata, dotandosi di un nucleo altamente specializzato di tecnici informatici che, su direttiva del Garante, può eseguire ispezioni sulle specifiche dei Trattamenti e sulla conformità a quanto scritto dai clienti nella documentazione.
Ma… io ho il Registro…
… ok, ma molte volte è un documento copiato da altre realtà, che non corrispondono alla nostra, o se va bene compilato o fotocopiato dall’associazione di categoria che fa di tutta l’erba un fascio, trattando le aziende allo stesso modo, ignorando le reali situazioni di trattamento (sito? newsletter? videosorveglianza? geolocalizzazione?…).
Ricordiamoci infatti che il GDPR e la relativa documentazione non possono essere un semplice “copia e incolla” che va bene per tutti. Non posso chiamare Registro o Lettera di Incarico dei fogli fotocopiati da Consulenti del Lavoro o da Commercialisti, che di lavoro fanno tutt’altro; queste figure, sebbene possano essere al corrente del lavoro fatto dal proprio cliente, difficilmente approfondiscono fino al livello di sapere cosa fa questi con i dati dei propri clienti/utenti/dipendenti e quali sono le misure di sicurezza adottate dall’azienda, anche tecnicamente.
Tutto passa dal digitale
Nell’epoca della “trasformazione digitale” in cui ci troviamo (fattura elettronica, cartella sanitaria elettronica, firma elettronica, identità elettronica…) il trattamento e l’analisi dei dati, per scopi legittimi, ma anche per altro non sempre esplicitamente dichiarato, è sempre più frequente, esponendo a continui pericoli i dati personali, e anche sensibili, in molti settori, esponendo a pericoli di furtii di identità, frodi, truffe e altri illeciti l’ignaro “proprietario”.
Non possiamo quindi sottrarci all’obbligo di proteggere “ciò che non è nostro”, attuando tutte le misure idonee per farlo; dove idonee vuol dire che sono sicure, attuabili praticamente ed economicamente e commisurate alla tipologia del Trattamento, ma soprattutto: esistenti ed attive.
Tuteliamo noi stessi per primi
Concludiamo dicendo che è probabilmente vero che la Guardia di Finanza ed il Garante si stanno attivando per far rispettare il Regolamento: i termini di indulgenza sono stati sufficientemente abbondanti (9 mesi).
Da questo momento è sicuramente meglio (soprattutto per noi) che ci trovino preparati, consapevoli della nostra struttura e con un occhio di riguardo alla sicurezza dei dati ed all’osservanza delle regole dettate dal GDPR.
Avvertimenti ce ne sono stati, ed il Garante ha già erogato sanzioni in merito alla mancanza di rispetto della privacy, anche in “era GDPR” (si veda qui per il recente comunicato su Cambridge Analytica) , a questo punto sta a ciascuno farsi un esame di coscienza e valutare l’operazione più consona, e probabilmente più economica, per la propria azienda…
in fondo: un consulente costa sicuramente meno di 600mila euro 😉