A distanza di otto mesi dall’entrata in vigore del General Data Protection Regulation (GDPR), l’agenzia di consulenza legale DLA Piper ha prodotto un report che analizza l’impatto della normativa sugli stati dell’Unione Europea.

L’Italia risulta essere, in assoluto, tra le nazioni con meno casi denunciati alle autorità competenti. Un dato positivo? Solo in apparenza…

La premessa

Prima di ogni altra considerazione, ricapitoliamo brevemente lo stato dell’arte del GDPR, che a partire dallo scorso 25 maggio 2018 – data in cui è divenuto operativo, ha letteralmente rivoluzionato su scala globale le metodologie di gestione della privacy:

1. Prima di tutto, qualsiasi perdita di dati che possa arrecare danno a privati deve essere notificata al DPA.

2. Inoltre, qualora il danneggiamento potenziale sia particolarmente grave, i soggetti interessati devono essere notificati personalmente entro e non oltre le 72 ore, a partire dal momento in cui l’organizzazione è venuta effettivamente a conoscenza dell’attacco.

Chiariti i punti cardine della normativa, procediamo ora nel merito del report.

I Dati

Il resoconto di DLA Piper, diramato i primi di febbraio, si sofferma esattamente sugli aspetti della normativa europea che abbiamo appena evidenziato, enumerando sia i data breach emersi al 28 gennaio 2019 (nel quale si celebra l’Iinternational Data Protection Day), nonché l’ammontare pecuniario delle multe emesse in caso di infrazione del regolamento. Nell’arco degli otto mesi presi in analisi, nel continente Europeo sono stati denunciati circa 59000 data breach: si va da eventi di piccola entità, come può essere l’accidentale invio di email confidenziali a destinatari errati, fino all’esfiltrazione di dati ospitati da grosse multinazionali che hanno di conseguenza impattato milioni di utenze.

Tra le nazioni più colpite in assoluto figurano i Paesi Bassi (15400 violazioni), la Germania (12600) e l’Inghilterra (10600); le meno bersagliate sono il Liechtenstein (15), l’Islanda (25) e Cipro (35). Escluse dal computo sono invece Slovacchia, Bulgaria, Croazia, Estonia e Lituania che non hanno fornito dati disponibili pubblicamente. Ecco il grafico completo:

Ma il dato veramente interessante e che (nostro malgrado) ci vede protagonisti, è quello relativo alla classifica che rapporta il numero di data breach alla popolazione di ciascuna nazione.

Come visibile nel grafico sottostante, i Paesi Bassi continuano a svettare in questa classifica di trasparenza, a seguire Irlanda e Danimarca. Inghilterra e Germania si posizionano pressappoco a metà, rispettivamente alla decima e undicesima posizione, mentre la Francia è solo ventunesima. Penultima è proprio l’Italia, con meno di una violazione segnalata all’ente preposto ogni centomila abitanti, per un totale complessivo di sole 610 notificazioni al Garante per la Privacy (per comparazione, nei Paesi Bassi ne sono state rese pubbliche 90, a parità di campione demografico).

Considerazioni

Citiamo testualmente dal report la riflessione dell’agenzia:

“Finora l’Italia ha avuto poche segnalazioni di violazioni di dati personali in relazione alla sua numerosa popolazione, il che dimostra che la cultura e la pratica delle denunce varia significativamente tra gli stati membri.”

Quello che sulle prime sembrerebbe un risultato lusinghiero per il Belpaese, rende chiaro in realtà come le aziende italiane fatichino a digerire la nuova normativa europea.

Ma attenzione in ogni caso a non cadere in inganno, sottovalutando le ripercussioni: le autorità sovrintendenti sono certamente ancora in fase di assestamento ed è altrettanto vero che le sanzioni disposte sino ad oggi siano state irrisorie (escludendo l’eccezionale sentenza multimiliardaria ai danni di Google), ciononostante la situazione è in piena evoluzione e si prevede che già nel 2019 le pene cresceranno sia per frequenza che per entità, man mano verrà smaltita la massa critica di pratiche giunte nel corso del primo anno.

Fonte: DLA Piper Data Brech Survey