Il regolamento europeo sulla protezione dei dati è ormai attivo da più di 3 anni, ma moltissimi attori del panorama economico italiano, sia pubblici che privati, ancora stentano ad applicare il regolamento europeo e, quando lo fanno, continuano a mantenere alcuni “vizi” nell’operatività quotidiana che rendono poco efficace il nuovo impianto normativo.
Un dato su tutti sono gli oltre 1030 comuni italiani che, ad oggi, non hanno ancora comunicato al Garante i dati di contatto del Responsabile della Protezione dei dati (RPD o DPO all’anglosassone), figura obbligatoria in determinate realtà.
Inutile forse citare professionisti, aziende e pubblici esercizi ancora convinti di non essere obbligati al rispetto della normativa. Sicuramente di questa situazione è complice la mancanza di un’adeguata campagna informativa da parte dei media che spesso, quando citano la privacy, lo fanno alla ricerca dello scoop e non della divulgazione, limitandosi quindi a riferire di pochi grossi casi che coinvolgono grossi big, come Google, Facebook e le grandi aziende di utilities.
Ecco che vediamo un utilizzo, a volte sfrontato e non regolato, delle operazioni di marketing diretto e di trattamento illecito di dati personali.
Non sono rari i casi di errata interpretazione della volontà del legislatore, come ad esempio consulenti e commercialisti che, in caso di installazione di impianti di videosorveglianza nelle sedi dei propri clienti consigliano di far firmare un consenso ai dipendenti, pratica assolutamente inutile ed errata o, peggio ancora, consigliare ai clienti di “non fare nulla per il Gdpr” perchè la normativa non li riguarda.
Ma vediamo di fare un quadro del 2021 rispetto alle sanzioni comminate nel nostro paese, in relazione agli altri paesi europei.
Quest’anno l’Italia, che spesso si riserva gli ultimi posti nelle classifiche, nell’elenco dei paesi europei che hanno erogato sanzioni si posiziona solo seconda, dopo la Spagna.
Delle 661 sanzioni comminate da inizio anno in Europa, l’Italia spicca con 73 di numero con un importo complessivo di 76 milioni. Sicuramente è ancora poco, ma ciò probabilmente dipende dal numero di ricorsi e dall’esiguo numero di persone disponibili negli uffici del Garante (da considerare anche la problematica Covid) fattore che causa un momentaneo ritardo delle procedure sanzionatorie.
Le cause più comuni di sanzionamento sono la mancanza della base giuridica del trattamento, quindi di fatto un utilizzo illecito del dato e il mancato rispetto delle misure di sicurezza.
Molto importante è il dato sulla mancata applicazione delle regole di sicurezza, probabile causa dell’alto numero delle violazioni comunicate all’ufficio del Garante: 413 nel primo trimestre dell’anno.
Sappiamo che i livelli di sicurezza, in particolare quelli riguardanti i dispositivi informatici, vengono costantemente superati dai criminali “cyber” che riescono a sfruttare le vulnerabilità presenti nei sistemi. E’ per questo motivo che si consiglia una continua verifica delle potenziali “falle” presenti nelle reti, perché se è vero che alcune vulnerabilità sono zero date, cioè identificate prima dagli attaccanti, molte altre sono il frutto di backdoors che consentono le intrusioni, configurazioni deboli dei firewall, password deboli, software non aggiornati e insufficiente formazione degli operatori.
Un dato certamente significativo è il numero delle segnalazioni, cioè del reclami presentati al Garante nel primo trimestre: 2839.
Ricordiamo che il recente regolamento non è nato per agevolare il sanzionamento delle imprese e degli enti, ma per tutelare i diritti fondamentali dei soggetti privati europei. Sinceramente non sappiamo ancora dire se l’obiettivo è stato raggiunto, di sicuro siamo sulla strada giusta anche se molto c’è ancora da fare.
Daniele Umberto Spano
Per approfondimenti, adeguamenti, consulenza privacy e analisi di sicurezza del sistema informatico contattaci CLICCANDO QUI
