Sono stati oltre 41.000 i data breach dichiarati dalle aziende alle Autorità Garanti Privacy UE a partire dal 25 maggio 2018, giorno di avvio del nuovo Regolamento UE sulla Data Protection (GDPR). Secondo quanto dichiarato dalla Commissione UE lo scorso 25 gennaio 2019 (3 giorni prima dell’ufficiale “Data Protection Day”, che ogni anno cade in data 28 gennaio), dopo l’avvio del GDPR i Garanti UE hanno ricevuto
- 95.180 reclami, sia da aziende sia da individui, sull’uso irregolare di dati personali (che hanno portato all’avvio di 255 investigazioni)
- 41.502 segnalazioni di data breach.
Quest’ultime, come noto, devono avvenire entro 72 ore dal momento in cui l’azienda scopre che dati personali di cittadini europei sono stati esposti in modo illegale. Secondo quanto riportato dalla Commissione, ci sono quindi già oggi i primi segnali che il GDPR è servito a dare maggiore controllo alle persone sull’uso fatto dei loro dati. Da segnalare anche altri fatti recenti in tema di compliance al regolamento:
- A gennaio Google ha ricevuto una multa record da 50 milioni di euro, da parte del CNIL (il Garante Privacy francese) per non aver ottemperato al GDPR e in particolare non aver richiesto in modo sufficientemente trasparente il consenso degli utenti.
- Facebook, che in era pre-GDPR aveva avuto una sanzione leggera dall’ICO UK per lo scandalo Cambridge Analytica (500.000 sterline secondo il vecchio Data Protection Act UK), nel settembre 2018 ha dichiarato di aver di nuovo subito un grave data breach (per 50 milioni di utenti), e quindi potrebbe ora subire una sanzione molto più alta.
- YouTube e altre società di streaming (Amazon, Apple, DAZN, Spotify, SoundCloud, Flimmit, Netflix) sono oggetto di un’azione legale portata avanti dall’organizzazione no-profit austriaca, NOYB (None Of Your Business), guidata da Max Schrems, per un importo totale di sanzioni che potrebbe arrivare a 18,8 miliardi di euro.
- Un’altra organizzazione che si è mossa con accuse a top player del mondo ICT e del settore finanziario è Privacy International, che ha accusato di mancata conformità al GDPR le seguenti società: Acxiom, Oracle, Criteo, Quantcast, Tapad, Equifax, Experian.
Queste azioni erano in parte attese: il Regolamento ha rappresentato infatti fin dall’inizio la risposta europea allo strapotere degli OTT americani, a una gestione dei dati caratterizzata da molta monetizzazione ma poca trasparenza verso gli utenti.
Parlando però di noi, delle nostre organizzazioni pubbliche e private che si sono trovate a dover gestire in modo nuovo la privacy, qual è effettivamente a inizio 2019 lo stato della compliance?
Ne abbiamo parlato con l’Avvocato Valentina Frediani, CEO di Colin & Partners. “Oggi dobbiamo distinguere tra: un cospicuo numero di aziende italiane che ancora non si è adeguata al GDPR; chi formalmente si è adeguato mediante l’adozione della documentazione standard ma nella pratica non ha ancora verificato la complementarietà dei software o la conformità dei contratti che rappresentano aspetti più sostanziali; chi ancora si è adeguato, ma è spaesato nel modus operandi – commenta Valentina Frediani -. Questi ultimi hanno tuttora molti dubbi in particolare su aspetti legati alla gestione di data breach, quando classificare come tali gli eventi di perdita dati, se notificare e con quali conseguenze. Un evento che si ripete spesso nelle aziende, è la perdita o il furto di pc portatili, per i quali, a seconda dei dati contenuti, come DPO ci troviamo a dover capire nell’interesse dell’azienda e secondo l’obbligo normativo, se notificare o meno. Così come molte aziende non riescono a gestire i data protection impact assessment rispetto ai nuovi progetti. Va preso un “ritmo” sul tema, su questi aspetti pratici con i quali occorre quotidianamente confrontarsi con l’applicazione del GDPR.
A cura di:
Elena Vaciago, The Innovation Group