A otto mesi dall’entrata in vigore del GDPR lo studio internazionale DLA Piper ha tracciato un bilancio sulle segnalazioni di data breach che hanno interessato gli Stati europei soggetti al nuovo regolamento sulla protezione dei dati personali.
Le segnalazioni di data breach
Il report dello studio legale internazionale DLA Piper ha analizzato gli episodi data breach, che sono stati segnalati ai Garanti europei dall’entrata in vigore del GDPR al 28 gennaio 2019, giornata in cui si celebra simbolicamente il Data Protection Day.
In questi otto mesi il report ha stimato 59.430 notifiche di violazioni di ogni genere ed entità: da violazioni macroscopiche a casi classificabili come semplice spam.
Secondo i dati raccolti il maggior numero di violazioni notificate proviene dall’Olanda, che conquista il podio con 15.400 segnalazioni. A seguire la Germania (12.600) e il Regno Unito (10.600).
Tra i paesi con il minor numero di violazioni troviamo, invece, Liechtenstein, Islanda e Cipro con rispettivamente 15, 25 e 35 violazioni notificate.
Particolare la situazione dell’Italia che apparentemente si attesta come nazione con un buon grado di aderenza al GDPR. Le comunicazioni di data breach ricevute dal Garante sono solo 610. Un numero troppo basso per le sue dimensioni e che occorre prendere con cautela. In questo caso come in altri, per esempio quello spagnolo, l’impressione di DLA Piper è che molte violazioni non siano state segnalati come previsto dall’art. 33 che impone di notificare questa tipologia di incidenti entro il tempo massimo di 72 ore.
Cosa ci aspetta nei prossimi mesi?
A otto mesi dall’entrata in vigore del GDPR le multe sono state davvero poche, solo 91 a fronte di 59 mila segnalazioni. Tra le ragioni da imputare a questo numero c’è sicuramente l’approccio di clemenza che le Authority di tutta Europa hanno deciso di adottare nel periodo iniziale di applicazione, per dare alle aziende il tempo di adeguarsi al regolamento.
Nei prossimi mesi, secondo l’opinione di DLA Piper, lo scenario potrebbe cambiare. Non solo a causa della colossale multa inflitta a Google in Francia, episodio che sicuramente rappresenta uno spartiacque, ma anche a causa del progressivo abbandono del regime sanzionatorio attenuato. A queste considerazioni se ne aggiunge un'altra di carattere più pratico.
Il GDPR non ha rappresentato una novità e una sfida solo per le aziende, ma anche per le Authority di tutta Europa che al momento non sono ancora in grado di gestire un numero elevato di segnalazioni. Una situazione prevedibile, che era già annunciata.
A inizio maggio, Antonello Soro, presidente dell’autorità garante aveva infatti lamentato l’inadeguatezza della struttura italiana, sia sotto il profilo delle risorse economiche che dello staff. Ovviamente non era il solo ad esprimere questa preoccupazione: erano 17 su 24 le autorità di controllo dei paesi dell’Unione Europea a dichiarare la propria impreparazione, a causa di mancanza di fondi e personale.
A fronte di questa realtà, lo studio legale sottolinea nella considerazione finale del report che il futuro consolidamento di procedure e prassi dei Garanti europei porterà ad un rafforzamento della loro capacità operativa e, di conseguenza, ad un aumento sensibile delle multe per violazione di dati personali.
Vedremo cosa accadrà nei prossimi mesi. Nel frattempo, se vuoi, puoi confrontarti con noi sulle misure necessarie a prevenire dannosi data breach. Non esitare a contattarci.
