Il Garante ha reso noto con una breve infografica il bilancio sull’applicazione del Regolamento (UE) 2016/679 – GDPR da 25 maggio 2018 al 31 dicembre 2018.
Più che di un vero e proprio bilancio applicativo, si tratta di una contabilizzazione degli input giunti all’Autorità tra comunicazioni obbligatorie, reclami, o semplici richieste di informazione.
I dati sono i seguenti:
- le comunicazioni dei dati di contatto dei DPO (o RPD che dir si voglia) sono state 43.629
- i reclami e le segnalazioni pervenute sono 4.704 (quasi 1.500 in più rispetto al medesimo periodo dell’anno precedente)
- le notificazioni di data breach sono state 630
- i contatti ricevuti dall’Ufficio Relazioni con il Pubblico sono stati 13.853 (contro gli 8.331 dello stesso periodo del 2017)
E’ comprensibile che nella prima fase applicativa del GDPR si sia registrata un’impennata di reclami e segnalazioni. Ed era del tutto prevedibile che l’URP sarebbe stato subbissato di richieste di chiarimenti interpretativi sulla nuova normativa.
E’, invece, allarmante il conto delle notificazioni di data breach: 630. I giorni presi in considerazione sono 220, ciò statisticamente significa che ogni giorno sono “denunciati” al Garante circa tre data breach. Anche assumendo che diversi titolari abbiano notificato violazioni in modo precauzionale (ossia, pur non sussistendo in alcun modo i rischi di cui all’art. 33 del GDPR) il numero lascia – o meglio, conferma – un senso di grande e diffusa vulnerabilità.
E’ vero che nessuno al mondo può dirsi al riparo da attacchi informatici sempre più diffusi e, talora, evoluti. Come ricordato solo pochi giorni fa dal Presidente Soro nel proprio intervento alla Giornata Europea per la Protezioni dei Dati Personali, “Si stima che la perdita economica imputabile al cybercrime possa raggiungere nel 2020 i 3000 miliardi di dollari e che gli attacchi informatici possano interessare il 74% del volume degli affari mondiali“. Tuttavia, in questo inquietante scenario globale, non sfugge come l’Italia sia particolarmente esposta in diverse sue componenti, sia dell’apparato amministrativo che del tessuto produttivo.
Le analisi di settore sono impietose: siamo un bersaglio prediletto per gli hacker anche perché siamo notoriamente indietro – almeno rispetto alla media europea – per quanto concerne gli investimenti di cybersecurity. I dati riportati dal Garante riguardo le notifiche di data breach sono ulteriore testimonianza di una vulnerabilità diffusa cui occorrerà porre presto rimedio. Serve un sistema di incentivazione governativa ma è indispensabile anche una maggiore presa di coscienza da parte di azionisti/management di grandi aziende e PMI.
Qualche segnale incoraggiante negli ultimi tempi c’è stato, ma non è abbastanza. Occorre una seria revisione delle priorità d’investimento da parte degli stakeholder nel settore privato che non abbiano ancora preso sul serio la questione. E’ l’economia digitale in cui viviamo a richiederlo. Investire adeguatamente e continuamente in cybersecurity significa:
- difendere strategicamente il proprio patrimonio informativo (che spesso costituisce il core asset del proprio business);
- evitare possibili sanzioni e richieste di risarcimento;
- minimizzare la possibilità che un “buco” di sicurezza crei danni all’immagine e alla reputazione dell’azienda;
- ultimo, ma non per importanza, rispettare i diritti fondamentali degli individui (lavoratori, clienti, contatti, utenti, etc.) che conferiscono i propri dati confidando siano protetti in maniera rispondente ai rischi correnti.