E' stata recentemente pubblicata una interessante ricerca sulle multe per violazioni al GDPR (il regolamento Europeo sulla protezione dei dati personali) elevate in Europa durante l'ultimo anno che vede il nostro paese svettare al primo posto per volume monetario delle sanzioni, con l'impressionante cifra di oltre 45 milioni di euro.
La ricerca è stata condotta da Finance in Bold (un noto portale web specializzato in data-mining e aggregazioni di dati e statistiche finanziari che ormai costituisce un importante fonte per colossi dell'informazione di settore come Business Insider, Forbes, Bloomberg, The Wall Street Journal, Nasdaq.com)
Immagine: la statistica pubblicata da Finance in Bold LINK
Gli analisti di FinBold hanno lavorato sui dati pubblici del “Gdpr Enforcement Tracker“, il database dell'Unione Europea che registra le violazioni e le sanzioni comminate dalle Autorità Garanti che vengono rese pubbliche dai rispettivi stati membri.
E' interessante constatare quanto il problema della violazione di dati personali sia di rilevante entità in Italia. In questi 45 milioni di euro la parte da leone la fanno le sanzionI elevate nei confronti delle compagnie telefoniche, tra cui svetta TIM con una mega multa di oltre 27 milioni di euro, seguita da WIND con altri 16,7 milioni. Di notevole consistenza sono anche le sanzioni emesse nei confronti di un altro colosso come ENI, che superano complessivamente gli 11 milioni di euro,
A seguire queste prime 3 grandi aziende, nella non invidiabile classifica delle violazioni della privacy, seppure con valori di molto inferiori, abbiamo tutta una schiera di altre piccole aziende e diverse amministrazioni pubbliche quali Comuni, Aziende Ospedaliere e Università.
Interessante notare anche la presenza del Movimento politico 5 Stelle che, unico tra i partiti o movimenti politici in Europa, è stato sanzionato con una multa da 50mila euro per le irregolarità rilevate dal Garante nel trattamento dei dati personali attraverso la sua piattaforma Rosseau. Piattaforma che costituisce da sempre uno dei capisaldi dell'attività sul web del movimento.
Qualitativamente quindi, per valore delle sanzioni, il primo posto è saldamente in mano all'Italia. Seguita dalla Svezia che occupa il secondo posto ma si mantiene a grande distanza con soli 7 milioni di euro. Anche quantitativamente non ci sono comunque paragoni, seppure spetti alla Spagna il primo posto con un numero maggiore di verbali contestati: 76 su un totale di 124. Perché questa mole di verbali spagnoli, presa complessivamente, non raggiunge i 2 milioni di euro. Andrebbe anche detto come molti altri Stati, stranamente, figurano aver contestato ben poche violazioni. La Germania ad esempio solo una e l’Irlanda solo due. Con valori irrisori rispetto quelli del nostro paese.
Quindi se, da una parte, può esser lecito pensare che l'Autorità Garante Italiana sia stata molto più attenta e scrupolosa nel monitoraggio, rispetto quelle degli altri paesi europei, penso sia anche importante rilevare quanto questo triste primato qualitativo per volume monetario delle sanzioni, le aziende e le Pubbliche Amministrazioni in Italia se lo guadagnino non per aver perso o conservato male i dati dei propri clienti o cittadini, cosa che sarebbe forse più plausibile, ma semplicemente per averli gestiti senza avere il diritto di farlo.
Infatti la quasi totalità delle sanzioni è stata emessa nei loro confronti in base agli articoli 5 e 6 del GDPR, ovvero per cause collegate alla "acclarata non esistenza di motivi legali che autorizzino tali organizzazioni al trattamento di quei dati". L'aspetto strano è quindi che la maggioranza di queste sanzioni non riguarda danni e violazioni dovute a "databreach". Termine con cui nel GDPR vengono definiti i vari eventi dannosi causati dalla mancanza di misure minime di Cyber Security che compromettono l'integrità dei dati o permettono la perdita o sottrazione di informazioni riservate da parte di terzi malintenzionati.
Questo nonostante sappiamo tutti quanto un "databreach" sia qualcosa che avviene spesso, molto spesso e non solo in Italia. Avviene a tutte le latitudini sulla rete internet, compresa l'Europa. Infatti, come rilevato dai report annuali dell'Agenzia di Cyber Security Europea ENISA sono molte migliaia ogni anno gli attacchi hacker malevoli e in grado di "sottrarre" interi database contenenti dati personali e sensibili, dai tanti server di amministrazioni pubbliche o di aziende private, sempre troppo ingenuamente esposti su internet e ben poco protetti.
Sorge quindi quasi spontaneo pensare che, nonostante il GDPR abbia reso obbligatorio rivelare gli eventi dannosi di data-breach, ci siano ancora molte, troppe remore, negli ambienti informatici, sia quelli istituzionali e aziendali, ad assumersi responsabilità per dichiarare quando questi databreach avvengono.
Questo strano fenomeno sembra quasi avvenire per un moto che si potrebbe definire di "orgoglio informatico" e non per paura delle sanzioni collegate. Il sospetto infatti è che non sempre la perdita o diffusione indebita di dati venga denunciata, nel nostro paese ma anche altrove, da chi dovrebbe essere responsabile della conservazione e del trattamento di tali dati.
Ecco perché, per Enti Pubblici e Aziende che operano sulla rete internet con attività che possiamo definire di "core-business", oggi appaia molto più accettabile essere multati perché si conservano troppi dati che non si dovrebbe avere il diritto di conservare piuttosto che essere multati dovendo ammettere che molti di quei dati li si è trattati in modo scorretto o li si sia addirittura persi o divulgati all'esterno per mancanza di sicurezza informatica.
In un mondo che si basa sempre di più sulle transazioni in rete, dover ammettere di non essere abbastanza "cyber-sicuri" sta diventando altamente lesivo per l'immagine di qualsiasi "brand" commerciale o istituzionale che si rispetti. Terabyte di dati di informazioni riservate, dati che riguardano tutti noi utenti della rete, vengono oggigiorno sottratti ovunque, da qualsiasi server.
Per essere magari rivenduti in forma lecita, attraverso aziende che si occupano di profilazione dei gusti degli utenti per azioni di "mass-marketing" sul web. O anche del tutto illecita, per gli scopi peggiori che si possano immaginare, attraverso il dark-web.
Ma, per le nostre aziende e istituzioni è molto meglio fingere che il problema non esista trasformandolo in qualcosa di meno grave. La protezione dei dati informatici, sta diventando per i grossi competitor sul web, e anche per le istituzioni che dovrebbero presidiare questo complesso sistema, un problema di apparenza formale, piuttosto che di sostanza.
