Lo scorso 28 gennaio si è celebrata la 14^ Giornata Europea per la protezione dei dati e, a un anno e mezzo di distanza dall’entrata in vigore del GDPR, rappresenta una buona occasione per fare un bilancio di ciò che è successo e qualche considerazione sulla situazione attuale.
Il risultato è un quadro con luci e ombre, in cui le buone notizie sono bilanciate da un panorama che desta ancora grandi preoccupazioni, sia sotto il profilo della gestione dei dati da parte di aziende e istituzioni, sia sotto quello della sensibilità degli utenti.
Come riferito in una nota ufficiale da Alessandro Papini, Presidente di Accademia Italiana Privacy: «La sicurezza dei dati dipende sia da chi li concede, sia da chi li gestisce. Le aziende possono e devono fare molto di più per proteggere i propri sistemi, ma dall’altra parte è essenziale che gli utenti siano consapevoli di quali informazioni forniscono, a chi, per quali scopi e per quanto tempo».
Non c’è ancora piena consapevolezza dei rischi
Dal punto di vista di chi naviga su Internet o utilizza servizi online e offline, il livello di consapevolezza è ancora piuttosto basso. Sono pochi, infatti, gli utenti che si preoccupano di impostare le regole per la protezione della privacy, soprattutto sui social network, o utilizzano strumenti informatici per proteggere le informazioni personali.
Anche i principi introdotti dal GDPR, che consente di “modulare” la raccolta di dati sul Web e non solo, hanno spostato di poco l’asticella in questo senso. Sull’altro versante, quello di aziende e istituzioni, il Regolamento Generale sembra aver portato qualche frutto in più.
A darne un’idea sono i dati recentemente rilasciati sulle sanzioni comminate a livello comunitario, che ammontano a 114 milioni di euro a seguito di 160.921 violazioni segnalate dal 25 maggio 2018. Nel nostro Paese, nei 20 mesi di applicazione della normativa europea sono state elevate multe per 11,5 milioni di euro. Gli effetti positivi del GDPR, però, non si misurano solo sulla base delle multe. Uno degli aspetti più importanti del Regolamento, oltre alla predisposizione di regole e processi per la protezione dei dati, è l’obbligatorietà della denuncia di violazioni.
Il dato che deve far riflettere sul livello di applicazione della normativa a livello italiano è proprio quello delle segnalazioni di breach dei sistemi, decisamente al di sotto di quello di altri Paesi. La classifica, guidata dall’Olanda con 40.000 segnalazioni, vede seconda la Germania (37.000) e terzo il Regno Unito con 22.000 violazioni rese pubbliche. L’Italia si piazza invece al terzultimo posto nell’UE con 1.886 segnalazioni.
È evidente che qualcosa non va
Per Papini: «I soggetti interessati, anche nel nostro Paese, devono rendersi conto che il GDPR è un’occasione unica per colmare il gap che ci separa da altre realtà in cui la valutazione d’impatto sula privacy è considerato un fattore determinante a livello reputazionale. In quest’ottica le aziende dovrebbero iniziare a considerare la conformità alle normative non come un adempimento burocratico, ma come un fattore abilitante per il business, cominciando a pretendere standard elevati per prima cosa dai partner commerciali».