Da agendadigitale.eu di Rocco Panetta (avvocato, partner di Panetta & Associati e IAPP Country Leader per l’Italia)

Un bilancio applicativo dei primi cinque mesi di Gdpr sulla base dei dati forniti dai Garanti italiano, tedesco e francese sui flussi, le segnalazioni, i casi di data breach e le comunicazioni al registro dei DPO


Ma veniamo ai numeri: nel periodo tra il 25 maggio 2018 – data di piena vigenza del GDPR, segnata sul calendario di aziende, PA, professionisti, autorità e semplici cittadini – e il 28 settembre 2018, sono oltre 40mila (40.738, per l’esattezza) le organizzazioni pubbliche e private che hanno comunicato all’Autorità i dati di contatto del proprio DPO.

Solo un anno fa, in seno all’autorevole IAPP International Association of Privacy Professionals abbiamo condotto un sondaggio internazionale, arrivando a stimare entro il 25 maggio 2018 un fabbisogno di DPO a livello mondiale, a seguito dell’entrata in vigore del GDPR, pari a circa 80.000 professionisti in house o esterni interessati a svolgere la funzione di DPO: i soli dati italiani, invero, mostrando in pieno la complessità di questo fenomeno, testimoniano quanto sottostimato sia stato quel calcolo e quanto ancora ineffabile sia mondo ed il mercato in continua evoluzione della circolazione dei dati personali.

Passando invece ai reclami e alle segnalazioni inviati all’Autorità da parte di cittadini interessati al trattamento, si nota come nello stesso periodo di riferimento si è passati a ben 2.547 depositi al protocollo del Garante, a fronte dei 1.795 corrispondenti allo stesso periodo del 2017. È questo un dato interpretabile in diversi modi, soprattutto nell’ottica di una diffusione maggiore delle informazioni utili agli interessati tali da incrementarne la consapevolezza sui molteplici usi che possono essere fatti dei propri dati, rispetto ai vari ambiti in cui essi circolano, registrando altresì una crescita di consapevolezza circa l’esistenza di diritti: dalla cancellazione, alla portabilità dei dati, dalla limitazione del trattamento, alla rettifica e all’opposizione.

Interessante è anche il dato relativo ai contatti registrati dall’Ufficio Relazioni con il Pubblico del Garante: ben 7.200 nel periodo di riferimento.

Con riferimento invece ad una delle principali paure con cui tutti siamo chiamati a fare i conti a partire dal 25 maggio in poi, il cosiddetto data breach – ossia il fenomeno della violazione dei dati, che come noto obbliga alla notificazione dell’evento al Garante entro 72 ore dalla scoperta nonché, in taluni casi, alla comunicazione dei fatti e delle relative conseguenze anche agli interessati – si segnala che le notificazioni giunte all’Autorità Garante nel periodo di riferimento sono state 305, a fronte di un aumento vertiginoso degli attacchi informatici registrati nello stesso periodo (+500% dal 25 maggio 2018) coinvolgendo, da marzo di quest’anno, oltre 330mila persone, come riportato dal Presidente dell’Autorità, Antonello Soro, durante la presentazione della Relazione annuale del Garante al Parlamento.

I dati dell’Autorità tedesca

Lo stesso esercizio metrico è stato compiuto anche in altri importanti Paesi europei. Ad esempio, in Germania, l’Autorità di controllo federale (Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), ha tracciato un bilancio sui primi 100 giorni dall’entrata in vigore del GDPR, dal 25 maggio a fine agosto 2018. Esattamente a 1.020 ammontano i reclami ricevuti dalla BfDI nel periodo di riferimento, superati di qualche centinaio dal numero di richieste di informazioni generali, quantificate in 1.453.

Segnalazioni di violazioni di dati con numeri assoluti molto alti per la Germania, con ben 4.244 eventi notificati all’Autorità. Sia chiaro, il data breach non riguarda solo casi di attacchi cyber volti a mettere in crisi sistemi informatici più o meno complessi e protetti, ma riguarda anche perdite o furti di terminali contenenti dati, come laptop, telefoni cellulari, hard disk esterni e chiavette usb. La differenza dei numeri rilevati in Italia rispetto a quelli tedeschi non va dunque ricondotta ad una maggiore propensione a delinquere registrata in Germania, quanto piuttosto ad una maggiore sensibilità sugli effetti del fenomeno e sui relativi obblighi di notificazione posti legge in Germania rispetto all’Italia.

È ancora dura a morire la vecchia cara abitudine dei nostri responsabili dei sistemi informatici – osteggiata in verità dal Garante sin dai tempi del provvedimento sugli Amministratori di Sistema del 2008 – in base alla quale si misura la bravura ed efficienza di una struttura aziendale IT con la capacità di risolvere un problema, inclusa una violazione dei dati, senza disturbare il manovratore, ossia senza coinvolgere le altre funzioni operative dell’azienda. Il GDPR, invece, ci chiama proprio ad un ribaltamento di questa mentalità obbligandoci a far scattare immediatamente una indagine interna corale che coinvolga funzioni IT, legali, compliance, DPO, fino eventualmente a coinvolgere AD e CdA, onde definire entro le 72 ore dall’evento la sussistenza degli obblighi di notifica e comunicazione.

Il Garante tedesco, nel suo bilancio, riporta anche il numero dei casi paneuropei, cioè tali da aver attraversato diversi confini nazionali, coinvolgendo le autorità di controllo di diversi Paesi membri. Sarebbero ben 262 i casi di data breaches comunitari, in cui i Garanti europei hanno dovuto coordinarsi tra loro, ai sensi del GDPR che ha all’uopo anche istituito un nuovo organismo dell’Unione Europea, lo European Data Protection Board (EDPB), proprio per far fronte alle nuove esigenze poste dalla rinnovata disciplina sulla privacy.

Continua su agendadigitale.eu