Il regolamento per la protezione dei dati è entrato in vigore quattro anni fa, il 25 maggio 2018 e, da allora, come dimostrano i dati, sanzioni e segnalazioni sono andate ad aumentare costantemente.
In Europa le infrazioni alle leggi sulla privacy sono costate 1,1 miliardi di euro di sanzioni alle imprese e ai soggetti finiti nel mirino delle autorità da maggio 2018 a oggi, con un incremento di quasi sette volte maggiore rispetto al dato dello scorso anno (272,5 milioni di euro). Dall’entrata in vigore del Gdpr a gennaio 2022, in particolare in Italia, sono state emesse sanzioni per 79 milioni di euro.

Questo aumento delle sanzioni è dovuto ad un inasprimento dell’autorità?

Purtroppo no, il motivo è stato l’aumento degli attacchi. Nell’ultimo anno sono stati notificati ai regolatori più di 130.000 data breach, in media 356 denunce al giorno. In pratica un incremento dell’8% rispetto alla media dei data breach giornalieri comunicati lo scorso anno (331).

Qual è stato il principale motivo di tale aumento di attacchi?

Sicuramente il progresso tecnologico degli attaccanti e la loro organizzazione in vere e proprie imprese del cyber crime, hanno spinto verso l’alto questo trend, anche se gran parte della responsabilità va imputata alle aziende. Dal canto loro, le organizzazioni pubbliche e private hanno distribuito i propri dati, per ragioni di efficientamento economico, in un’ampia varietà di storage location che stanno però avendo difficoltà a gestire correttamente.

I team IT si trovano infatti ad affrontare notevoli problemi di governance, archiviazione e conformità alle normative, che aumentano al crescere della quantità di dati in gestione. Spesso le imprese sono carenti di strumenti e soprattutto di know how per il trattamento dei dati personali e sensibili, conservati quindi in ambienti a rischio e di conseguenza facilmente attaccabili.

Il sistema sanzionatorio imposto dal GDPR sta realmente funzionando?

Non sempre il rischio di incappare in una sanzione salata è sufficiente a spingere verso il cambiamento di una gestione più sicura dei dati, specialmente quelli personali. Circolano però sempre più frequentemente notizie riguardanti gli ingenti danni aziendali provocati dai data breach. Oltre alle richieste di riscatto sui dati criptati dai cyber criminali, a spaventare sono soprattutto le minacce di interruzione dei servizi e dell’accesso ai dati, con impatti importanti a livello economico.

I costi degli attacchi rischiano infatti di diventare oggetto di ricarico sui consumatori finali, sotto forma di una invisibile “cyber-tax”. Emerge dal report annuale di IBM “Cost of data breach” che, per far fronte ai costi sostenuti per mitigare o risolvere gli attacchi ricevuti, il 60% delle aziende ha aumentato i prezzi dei propri prodotti e servizi.

Come essere compliant al GDPR

Le aziende sono obbligate a introdurre una serie di misure per adeguarsi alla normativa GDPR, al fine di evitare le sanzioni previste dal regolamento.

Protezione dei dati
Le aziende devono proteggere i dati personali acquisiti e avere la documentazione relativa.
Per protezione dei dati si intende preservarli:

dalla perdita
dalla modifica fortuita o illecita
dalla distruzione
dalle divulgazioni
dagli accessi non autorizzati

Per questo è importante monitorare il sistema delle protezioni, in modo da individuare eventuali violazioni (interne o esterne) ed effettuare tempestive comunicazioni alle autorità e ai soggetti interessati.

Utilizzo dei dati
Le organizzazioni devono utilizzare i dati personali in modo lecito, corretto e trasparente, dimostrando altresì di aver ricevuto un consenso esplicito per tutti i trattamenti effettuati.

È anche necessario disporre di misure di data governance che includano la continua valutazione del rischio e la predisposizione di documentazione dettagliata.

Conoscenza dei dati
L’azienda deve avere una chiara conoscenza di quali siano i trattamenti effettuati e le categorie di dati gestiti, come vengono trattati e protetti i dati personali, dove siano localizzati e chi è autorizzato a trattarli.