Il problema della violazione dei dati comincia a diventare preoccupante
Negli otto mesi da quando è entrato in vigore il regolamento generale europeo, nell’intera Europa sono state segnalate all’autorità Garanti 59.000 violazioni di dati. Queste violazioni vanno da eventi minori, come ad esempio messaggi di posta elettronica inviati per errore ad un destinatario errato, fino a clamorose violazioni che coinvolgono milioni di interessati e che i mezzi di comunicazione di massa hanno ampiamente pubblicizzato.
L’Olanda, la Germania e Regno Unito sono in cima alla lista, rispettivamente con 15.400, 12.000 e 10.600 violazioni dei dati notificate alle autorità Garanti nazionali.
I paesi con il minor numero di violazioni sono rispettivamente Liechtenstein, l’Islanda e Cipro. Naturalmente i numeri vanno esaminati nel contesto della popolazione coinvolta ed ecco perché l’Olanda è il paese con il maggior numero di violazioni per abitante, seguito dall’Irlanda e dalla Danimarca. Il Regno Unito, la Germania e la Francia sono al decimo, undicesimo e dodicesimo posto, mentre la Grecia, l’Italia e la Romania hanno riportato il numero più basso di violazioni per abitante.
Il rapporto non esprime commenti su questi numeri, ma chi scrive si sente in dovere di far presente ai lettori che, con ogni probabilità in Italia, stante la relativa immaturità del recepimento del regolamento presso i titolari coinvolti, è possibile che si siano verificate delle violazioni che non sono state segnalate all’autorità Garante.
È interessante rilevare anche che molte sanzioni applicate durante l’ultimo anno fanno riferimento a violazioni che sono state inquadrate nelle precedenti disposizioni legislative, che prevedevano sanzioni assai più basse. Ad oggi sono 91 le sanzioni applicate secondo le nuove e più complesse modalità di valutazione, previste dal regolamento generale.
La sanzione più elevata è pari a 50 milioni di euro, applicata dall’autorità garante francese, ma per violazioni del codice, non riferite a violazioni di dati personali, ma a trattamento non appropriato.
In Germania, una sanzione di 20.000 € è stata applicata ad un’azienda che non aveva provveduto a proteggere con algoritmi criptografici le parole chiave di accesso dei propri dipendenti, causando una violazione dei dati. Questo caso è particolarmente interessante perché, nell’emettere la sanzione, l’autorità Garante nazionale sembra aver seguito una procedura che non ho rispetta la modalità con cui il regolamento europeo è stato recepito in Germania. Sempre in Germania, un’altra sanzione di 80.000 € è stata applicata ad un titolare, che aveva pubblicato dati sanitari su Internet. Le sanzioni finora applicate sono relativamente modeste, come ad esempio i 4300 € applicati, in Austria, ad un titolare che utilizzava un sistema di videosorveglianza che copriva, in modo esagerato, anche aree pubbliche.
Un fatto sorprendente riguarda Malta, che ha applicato 17 sanzioni. Si tratta di un numero piuttosto elevato, in relazione alla popolazione, ma non è al momento possibile esprimere giudizi, perché l’autorità Garante maltese non ha pubblicato i dati relativi alle ragioni per cui queste sanzioni sono state applicate.
A questo proposito, è necessario far presente che non tutte le autorità Garanti pubblicano i dati relativi alle violazioni e pertanto è possibile che alcune delle sanzioni applicate non facciano riferimento al nuovo regolamento.
Ad esempio, nel Regno Unito non solo si pubblicano notizie relative al peccato, ma anche quelle relative al peccatore; in altri paesi invece si pubblicano notizie relative al peccato, ma si nasconde il nome del peccatore.
È possibile che il comitato europeo per la protezione dei dati possa emettere disposizioni, tali da consentire un confronto più fruttuoso fra le situazioni riscontrate nei vari paesi europei.
Come commento conclusivo, faccio presente ai lettori che uno dei provvedimenti più urgenti da adottare, nel quadro del regolamento europeo, è quello di mettere a punto una procedura per la gestione di una violazione dei dati, sia dolosa, sia accidentale, per minimizzare le possibili conseguenze della violazione stessa.
Allegato studio (pdf)
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.