Numerose organizzazioni, aziende e istituzioni italiane ed europee, oltre a fronteggiare le perdite subite a discapito dell’attuale situazione pandemica, sono alle prese con ulteriori fenomeni che mettono a repentaglio la propria quotidianità, uno dei quali riguarda i data breach. È evidente l’impegno di ogni singolo Stato volto alla tutela della privacy, l’adesione e il rispetto stesso del Regolamento europeo sulla protezione dei dati (GDPR) testimoniano l’interesse dei Paesi. Tuttavia, riconoscere l’importanza della privacy non è sufficiente e la strada da percorrere per raggiungere una perfetta tutela dei dati personali non è di certo vicina. L’elevato numero di sanzioni comminate dal Garante, infatti, ci rammenta quanto siano ancora numerose le violazioni della privacy e quindi i data breach.
Cosa si intende per data breach
Ricordiamo che per data breach, si intende (art.4 GDPR) “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Si tratta dunque di una violazione della riservatezza, dell’integrità e della disponibilità delle informazioni e le cause di questo fenomeno sono svariate. Tra le più diffuse rientrano gli eventi dolosi come, ad esempio, gli attacchi hacker (come lo spionaggio, il furto o la distruzione volontaria di dati), gli eventi accidentali (come i mancati aggiornamenti software le divulgazioni di dati non previste, gli accessi non autorizzati) ed ulteriori errori di natura umana.
Questo fenomeno ha visto un’attenzione crescente durante il 2020 e inizio 2021, dovuto certamente a un ricorso considerevole dei dispositivi digitali utilizzati tra privati cittadini, aziende, istituzioni di qualsiasi settore durante la pandemia. Dunque, non importa quanto sia grande un’organizzazione, la probabilità di subire una violazione dei dati incombe su chiunque.
In virtù di ciò, il tema della privacy e la continua evoluzione della sua regolamentazione (GDPR) continua ancora oggi a essere un tema fondamentale non solo per aziende, istituzioni e organizzazioni di vario genere, ma anche e soprattutto per i singoli utenti che nella maggior parte dei casi tendono a sottovalutare l’entità di questo fenomeno.
Data breach: le sanzioni comminate dal Garante della privacy nel 2021
A partire da gennaio 2021 in Italia sono state comminate precisamente 29 sanzioni da parte del Garante della Privacy, 7 nel primo mese dell’anno, 12 a febbraio, 7 a marzo, 3 ad aprile. Al momento resta esente da sanzioni il mese di maggio.
Complessivamente si tratta di un numero che di certo non fa ben sperare per i mesi che verranno; se si considera il totale delle multe erogate, l’importo arriva a una cifra pari a 7.893.280 euro.
Ciò che salta all’occhio, analizzando questi dati, è che da un lato le organizzazioni italiane continuano ad assumere dei comportamenti indisciplinati e dall’altro che il Garante per la Privacy nazionale sia particolarmente attento alla tutela dei diritti e delle libertà degli utenti interessati.
Quali sono i settori più sanzionati
Tra i settori italiani più ostili alla compliance primeggia la Pubblica Amministrazione con 12 sanzioni che hanno interessato comuni, ministeri ed enti di varia natura. In secondo luogo, viene interessato il settore sanitario, che colleziona ben 11 sanzioni da parte dell’autorità, nonostante il contesto emergenziale dovuto alla pandemia da Covid-19.
Seguono successivamente altri settori come quello finanziario, quello delle telecomunicazioni, il settore industria e infine software/hardware.
Sicuramente la situazione italiana non è positiva, tuttavia l’Italia non è tra i Paesi meno attenti alla tutela della privacy. Osservando i dati raccolti dall’osservatorio cyber security di Exprivia, i restanti 26 Paesi hanno collezionato precisamente 118 sanzioni da parte dei rispettivi Garanti nazionali. Tra i più interessati troviamo la Spagna (con 52 sanzioni), la Norvegia (15), Romania (11), Polonia (6), Belgio (5).
Data breach: le sanzioni per settore
Il settore industria resta quello più sanzionato (con 30 interventi da parte dei garanti nazionali), insieme al settore finanziario (27). Segue in ordine di sanzioni il settore telecomunicazioni (17), pubblica amministrazione (15), others (14) in cui rientrano le sanzioni comminate a privati cittadini, settore sanitario (13) e software/hardware (2).
Quali articoli sono stati violati
Una cosa che accomuna tutti i Paesi oggetto della ricerca sono proprio gli articoli violati del GDPR. Tra i più ostili al rispetto della regolamentazione è presente l’art.5 che enuncia i fondamentali “Principi applicabili al trattamento di dati personali”.
Le violazioni riguardano in primis la liceità del trattamento dei dati personali, la violazione delle finalità per cui sono raccolti tali dati, la loro conservazione e la durata stessa del trattamento. Inoltre, è da evidenziare il mancato utilizzo di misure tecniche e organizzative adeguate alla protezione dei dati oggetto del trattamento.
Ulteriori articoli particolarmente violati sono il n.6 comma 1 inerente alla “Liceità del trattamento” e l’art. 32 in riferimento alla “sicurezza del trattamento”.
Le motivazioni fornite a fronte delle sanzioni emanate da parte dei rispettivi garanti nazionali sono principalmente due:
- Non-compliance with general data processing principles
- Insufficient fulfilment of data subjects rights
Il primo riguarda proprio l’inosservanza dei principi fondamentali del GDPR, quelli evidenziati nell’art. 5, le organizzazioni violano i principi di liceità, di finalità e di durata del trattamento ricorrendo poi alle inevitabili sanzioni del garante. La seconda motivazione si riferisce all’insufficienza negli adempimenti dei diritti degli interessati. Le mancate tecniche e organizzative volte a tutelare i diritti degli interessati e il mancato utilizzo di buone pratiche di protezione dei dati personali sono tra le più diffuse.
Conclusioni
La continua transizione digitale delle attività, dei processi produttivi e della vita quotidiana degli utenti è diventata sicuramente un buon pretesto per i cybercriminali. Non solo eventi di tipo doloso, ma anche danni generati da eventi accidentali spesso finiscono nel violare i diritti e le libertà degli interessati. La mancanza di buone pratiche aziendali è spesso oggetto di perdita di dati. Infatti, è proprio l’adozione di politiche organizzative e comportamentali il primo passo per affrontare al meglio questo fenomeno in continua crescita del data breach.