Dopo 4 anni dall’entrata in vigore del GDPR, ancor oggi sono numerose le esfiltrazioni di dati personali e i criminali informatici continuano ad attaccare le organizzazioni sottraendo il loro prezioso tesoro: le informazioni digitalizzate.
La trasformazione digitale ha moltiplicato le informazioni digitali: dai dati personali, agli elenchi di clienti e fornitori, ma anche dati strategici, di business, di proprietà intellettuale. L’aumento delle informazioni digitali impone obblighi di maggior tutela contro eventuali attacchi informatici, come prescritto dal GDPR, tuttavia sono ancora molti gli strumenti e le piattaforme digitali che non ottemperano ai requisiti richiesti. E sono in aumento le sanzioni inflitte alle aziende.
GDPR: cosa è e perché è nato
Il Regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR) è la principale normativa europea in materia di protezione dei dati personali.
Entrato in vigore il 24 maggio 2016, la sua attuazione è avvenuta a partire dal 25 maggio 2018, quindi a distanza di due anni.
Essendo un regolamento, è attuato allo stesso modo in tutti gli Stati dell’Unione Europea senza margini di libertà nell’adattamento (tranne per le parti con possibilità di deroga).
Gli obiettivi del Regolamento sono:
- la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea; col Trattato di Lisbona la protezione dei dati personali è diventata diritto fondamentale dei cittadini, e quindi va garantito allo stesso modo in tutto il territorio dell’Unione come diritto fondamentale delle persone fisiche;
- lo sviluppo del Mercato Unico Digitale (Digital Single Market) europeo, grazie alla maggiore tutela dei dati si alimenta la fiducia dei cittadini nella società digitale e nell’uso dei servizi digitali;
- rispondere alle nuove sfide derivate dalle nuove tecnologie digitali.
Col GDPR si passa da una visione proprietaria del dato, in base alla quale non lo si può trattare senza consenso, ad una visione di controllo del dato, che ne favorisce la libera circolazione rafforzando allo stesso tempo i diritti dell’interessato, il quale deve poter sapere se i suoi dati sono usati e come vengono usati per tutelare lui e l’intera collettività dai rischi insiti nel trattamento dei dati.
In particolare, all’art. 32 GDPR si prevede che ad ogni trattamento dati siano applicate misure tecniche e organizzative “adeguate a garantire un livello di sicurezza adeguato al rischio”, come la pseudonimizzazione e la cifratura dei dati o la “capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”.
Record di violazioni GDPR nel 2021: in crescita sanzioni e data breach
Come emerge dal report dello studio legale DLA Piper sulle sanzioni per le violazioni del GDPR, l’Italia si colloca al terzo posto nella classifica delle sanzioni totali emesse nell’ultimo anno, dopo Lussemburgo e Irlanda.
Dalla ricerca risulta che, durante il solo 2021, i garanti della privacy incaricati dall’UE hanno inflitto sanzioni per un totale di quasi 1,1 miliardi di euro, originate da una vasta gamma di violazioni al GDPR. Il dato rappresenta un aumento del 594% rispetto alle sanzioni dell’anno precedente.
L’indagine – condotta nei 27 stati membri dell’Unione Europea, più il Regno Unito, la Norvegia, l’Islanda e il Lichtenstein – conferma non solo che spesso le aziende non rispettano il regolamento, ma anche che il sistema di sanzioni contro i trasgressori funziona sempre meglio.
Negli ultimi 12 mesi è aumentato anche il numero di data breach, con un totale di più di 130.000 violazioni dei dati personali notificate – una media di 356 al giorno: una crescita dell’8% rispetto all’anno scorso.
I risultati sono confermati anche dallo studio del Centro di ricerca FZI per la tecnologia dell’informazione: la ricerca indaga a fondo sulla “protezione dei dati e la protezione dei segreti commerciali nella comunicazione aziendale ” e si interessa dell’attuale situazione giuridica relativa all’uso, da parte di aziende, dei servizi forniti dalle piattaforme di cybersecurity nell’UE. L’indagine FZI conclude che “molti dei servizi a cui si affidano molte aziende non soddisfano i requisiti legali pertinenti per la protezione dei dati e la protezione dei segreti commerciali nell’Unione europea”.
Il problema dei servizi da fornitori extra-UE
Affinché il GDPR sia davvero efficace, la responsabilità ricade sui singoli esportatori e importatori di dati. Per evitare sanzioni, è imperativo che le aziende chiariscano le normative relative alla conformità alla privacy e adottino le misure necessarie per garantire la protezione dei dati.
Il GDPR impone rigide limitazioni al trasferimento dei dati personali dall’Europa ai Paesi terzi, perché questi potrebbero sottostare a leggi e normative non compatibili con quelle considerate adeguate nell’UE.
Chi esporta tali dati senza verificare che verranno trattati nell’assoluto rispetto delle normative europee, perciò, rischia ordini di sospensione, gravi sanzioni e richieste di risarcimento per il mancato rispetto dei requisiti.
Tra le raccomandazioni fornite alle organizzazioni dall’European Data Protection Board (EDPB), rientra l’invito a “un’attenta mappatura dei trasferimenti di dati personali”, per avere “un quadro preciso dei Paesi in cui si trovano i dati personali di cui l’organizzazione è titolare”. Anche la valutazione dei rischi – legali e pratici – di intercettazione da parte delle autorità pubbliche dei Paesi in cui si trovano gli importatori dei dati è un requisito, ma è un onere di compliance che non tutte le aziende esportatrici di dati sono in grado di sostenere.
Il caso di trasferimento di dati tra UE e USA
Una sfida per la compliance alla normativa sulla protezione dei dati è emersa dopo la sentenza della Corte di Giustizia Unione Europea nota come “Schrems II” (16 luglio 2020).
In seguito alla sentenza Schrems II, la Corte di giustizia ha invalidato la decisione di adeguatezza del Privacy Shield – un accordo adottato nel 2016 tra UE e USA che imponeva alle imprese americane obblighi stringenti per la tutela dei dati personali dei cittadini europei. È stato infatti dimostrato che i requisiti del diritto interno degli Stati Uniti – in particolare determinati programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall’UE agli Stati Uniti ai fini della sicurezza nazionale – comportano limitazioni alla protezione dei dati personali, che non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto, e non possono dunque ritenersi conformi ai principi enunciati dal GDPR. Alla luce di tale grado di ingerenza nei diritti fondamentali delle persone i cui dati sono trasferiti verso il suddetto paese terzo, e dello scarso controllo sull’effettiva implementazione degli obblighi previsti, la Corte ha dichiarato invalida la decisione sull’adeguatezza dello scudo per la privacy.
Pertanto, le piattaforme digitali rese da fornitori con sede in USA non possono costituire uno standard per gli utenti business, non possedendo alcuni dei requisiti fondamentali che ne garantirebbero la conformità alla normativa privacy ed alle best practices in materia di cybersecurity.
Dopo lunghe trattative tra USA e UE, l’8 ottobre 2022 il Presidente degli Stati Uniti Joe Biden ha finalmente firmato un ordine esecutivo che potrebbe limitare la capacità delle agenzie di sicurezza nazionale americane di accedere alle informazioni personali dei cittadini nell’ambito di un accordo transatlantico di condivisione dei dati con l’Unione Europea.
In realtà non tutti i nodi sono stati sciolti e molte problematiche rimangono aperte. Le aziende europee e statunitensi, si trovano ancora in una situazione poco chiara su come applicare i meccanismi di trasferimenti dei dati ed entro quali confini operare, e “la sentenza Schrems II è diventata la sfida principale della conformità per molte organizzazioni interessate dal GDPR”, come spiega il presidente del Data Protection and Security Group del Regno Unito, Ross McKean. Se non vogliono incorrere in pesanti sanzioni, alle aziende europee non resta che adottare criteri stringenti nella selezione dei propri fornitori di piattaforme per la raccolta ed il trattamento di informazioni digitali.
