Le statistiche parlano chiaro: secondo un sondaggio svolto dall’Osservatorio di Federprivacy, il 78% delle imprese italiane reputa che la compliance al GDPR sia solamente l’ennesimo, fastidioso ed inutile adempimento burocratico. Sono trascorsi ormai 7 anni dall’entrata in vigore del Regolamento Europeo sulla protezione dei dati e 5 anni dalla sua ufficiale applicazione eppure, complice la sopra descritta mentalità, che accomuna la stragrande maggioranza delle aziende italiane (le quali hanno comunque investito ingenti quantità di risorse e di denaro), ancora oggi assistiamo ad un’applicazione pressoché approssimativa, teorica e spesso fuorviante del Reg. UE 679/2016.
Molte imprese, infatti, si illudono di poter conseguire la conformità al GDPR semplicemente delegando la produzione di documentazione inerente alla materia a qualche azienda di consulenza (documentazione la quale, nella maggioranza dei casi, diventa una trappola per la polvere dimenticata in qualche armadio degli archivi aziendali). Così facendo, le aziende si espongono al rischio di pesanti sanzioni in quanto, alla luce di quanto sin qui descritto, non saranno sicuramente in grado di dimostrare l’adozione delle adeguate misure tecniche ed organizzative finalizzate a garantire un’idonea protezione dei dati (circostanza che configura una palese violazione del principio di accountability sancito dal Reg. Ue 679/2016).
Vuoi una consulenza gratuita in tema Privacy? contatta Meleam al 800 621 247.
Ma non è tutto: le sanzioni ed in generale i provvedimenti del Garante sono solo una parte dei problemi a cui le aziende vanno incontro; a tutto questo, infatti, dobbiamo aggiungere anche gli eventuali danni che potrebbero compromettere le attività produttive, le perdite dei dati, i danni alla reputazione che ne deriverebbero (i quali, ovviamente, potrebbero sfociare in problemi gravi a livello economico e probabili perdite di clienti dovute ad un calo di fiducia conseguente al Data Breach), costi di ripristino delle infrastrutture informatiche e dei software ed a volte addirittura ci si potrebbe ritrovare a dover cedere di fronte alle estorsioni informatiche perpetrate da pericolosi cyber criminali (abbiamo visto tutti cosa sono in grado di fare i ramsonware – citiamo a titolo esemplificativo e non esaustivo l’emblematico attacco su larga scala, avvenuto nel maggio del 2017, mediante ramsonware “WannaCry”: questo malware, come molti suoi simili, ha criptato tutti i files di numerose aziende in tutto il mondo (come ad esempio Portugal Telecom, Deutsche Bahn, il National Health Service del regno unito, il Ministero dell’Interno Russo ecc.) ed i responsabili dell’attacco hanno richiesto importanti riscatti per decriptarli).
I risultati di un tale modus operandi sono già noti agli addetti ai lavori, alle autorità di controllo ed ancor di più lo sono alle aziende che ne hanno pagato e/o ne stanno pagando le conseguenze: in Italia, nell’arco del 2022, infatti, al netto del fatto che le ispezioni finalizzate alla verifica del rispetto del GDPR sono triplicate rispetto al 2021 (ne sono state effettuate 140 in totale), sono stati rilevati ben 1351 casi di data breach, sono stati adottati 317 provvedimenti sanzionatori e/o correttivi e sono stati riscossi circa 9 milioni e 500 mila euro di sanzioni.
Che fare, dunque? La conformità al Reg. Ue 679/2016 è perseguibile solo tenendo conto di tutti gli aspetti della materia – dalle questioni legali e burocratiche alla cybersecurity sino a quelle organizzative e formative – poiché, per citare il Garante Europeo per la protezione dei dati, “non c’è protezione dei dati senza sicurezza informatica e non c’è sicurezza informatica senza protezione dei dati”.
A nostro avviso, un importante passo (anzi, obbligatorio) in questo senso dovrà essere compiuto non solo dalle aziende, le quali dovranno a prescindere cambiare la propria mentalità a riguardo, ma anche e soprattutto dai professionisti della cyber-security e dagli esperti legali che si occupano della protezione dei dati: è fondamentale che queste figure, le quali spesso hanno difficoltà nell’interazione e nella collaborazione, trovino dei comuni denominatori al fine di creare la sintonia propria di quella cooperazione che è necessaria per risolvere problemi e criticità derivanti dal trattamento dei dati personali.
Area Privacy Meleam
Hai bisogno di aiuto?