Il report Dla Piper sulle segnalazioni di violazioni ai garanti privacy nella Ue
Sono state 630, dal 25 maggio del 2018, data di entrata in vigore della nuova disciplina europea di tutela dei dati personali, prevista dal Gdpr (General data protection regulation), sino allo scorso 31 dicembre le notificazioni in Italia di data breach, ossia la comunicazione della violazione di dati personali. Ma le violazioni potrebbero essere più numerose rispetto a tale cifra, pubblicata sul sito del Garante della Privacy, considerato che in base a un approfondimento condotto in materia risultano, sino allo scorso 28 gennaio, più di 59 mila notifiche di violazione dei dati personali in tutti gli stati membri dell’Unione europea.
Infatti, il report Gdpr data breach survey, pubblicato dallo studio legale Dla Piper, rileva che Paesi Bassi, Germania e Regno Unito hanno registrato, rispettivamente, circa 15.400, 12.600 e 10.600 notifiche di data breach. I Paesi Bassi si trovano al vertice anche della classifica dei dati ponderati, con 89,8 segnalazioni ogni 100 mila abitanti, seguiti da Irlanda e Danimarca. Grecia (1,2), Italia (0,9) e Romania (0,6) hanno segnalato il minor numero di violazioni rispetto al numero di abitanti.
«È improbabile che le società italiane siano in modo così marcato più ligie agli obblighi in materia di trattamento dei dati personali delle altre società europee. Il rischio è quindi che non stiano in alcuni casi ottemperando agli obblighi di notifica dei data breach, abbiano unicamente aggiornato le proprie informative al Gdpr nei giorni precedenti al 25 maggio 2018, ma le stesse non riflettano le attività che effettivamente svolgono con i dati personali e che sperino di non essere oggetto delle ispezioni del Garante, in caso di violazione o data breach», afferma Giulio Coraggio, socio dello studio legale Dla Piper, responsabile del settore Technology e della practice dedicata alla privacy e cybersecurity, «Purtroppo questa «speranza» potrebbe avere vita breve con le ispezioni del Garante che saranno sempre più invasive, anche grazie al supporto della Guardia di finanza. La sanzione di 50 milioni di euro emessa dal garante francese, il Cnil, la scorsa settimana è un indicatore che le aziende devono cambiare il proprio approccio alla compliance privacy e devono farlo velocemente». Il report ricorda che, sulla scorta delle stringenti prescrizioni sancite dal Gdpr, le violazioni dei dati personali che potenzialmente possono provocare un rischio di danno devono essere immediatamente comunicate alle competenti autorità nazionali.
E nei casi in cui la violazione potrebbe comportare un rischio elevato, le potenziali vittime devono essere informate. Le sanzioni per il mancato rispetto di tali adempimenti sono piuttosto salate, trattandosi di multe che possono arrivare fino a 10 milioni di euro o fino al 2% del totale del fatturato conseguito in tutto il mondo, tenendo conto di quale sia il valore più alto tra i due citati indicatori. La ricerca, nell’evidenziare che le violazioni spaziano da casi minori, come le email inviate al destinatario sbagliato, a casi certamente più eclatanti, come attacchi informatici che colpiscono milioni di persone, rileva che ammontano a 91 le multe comminate a seguito dell’entrata in vigore della nuova normativa continentale. Oltre alla citata sanzione da 50 milioni di euro, comminata a Google in terra di Francia, in relazione al trattamento dei dati personali per scopi pubblicitari senza valida autorizzazione, lo studio riporta che in Germania è stata applicata una multa di 20 mila euro a un’azienda per il mancato utilizzo delle password sui pc da parte dei dipendenti. La stessa autorità di protezione dei dati tedesca ha, inoltre, imposto una multa pari a 80 mila euro per un caso di pubblicazione online di dati relativi alla salute. Il rapporto ricorda che, comunque, non tutti i paesi rendono pubbliche le informazioni circa le notifiche delle violazioni, inoltre è possibile che alcune delle violazioni segnalate riguardino il regime precedente al Gdpr.
Fonte:
