Il regolamento per la protezione dei dati è entrato in vigore quattro anni fa, il 25 maggio 2018 e, da allora, come dimostrano i dati, sanzioni e segnalazioni sono andate ad aumentare costantemente.
In Europa le infrazioni alle leggi sulla privacy sono costate 1,1 miliardi di euro di sanzioni alle imprese e ai soggetti finiti nel mirino delle autorità da maggio 2018 a oggi, con un incremento di quasi sette volte maggiore rispetto al dato dello scorso anno (272,5 milioni di euro). Dall’entrata in vigore del Gdpr a gennaio 2022, in particolare in Italia, sono state emesse sanzioni per 79 milioni di euro.
Questo aumento delle sanzioni è dovuto ad un inasprimento dell’autorità?
Purtroppo no, il motivo è stato l’aumento degli attacchi. Nell’ultimo anno sono stati notificati ai regolatori più di 130.000 data breach, in media 356 denunce al giorno. In pratica un incremento dell’8% rispetto alla media dei data breach giornalieri comunicati lo scorso anno (331).
Il sistema sanzionatorio imposto dal GDPR sta realmente funzionando?
Non sempre il rischio di incappare in una sanzione salata è sufficiente a spingere verso il cambiamento di una gestione più sicura dei dati, specialmente quelli personali. Circolano però sempre più frequentemente notizie riguardanti gli ingenti danni aziendali provocati dai data breach. Oltre alle richieste di riscatto sui dati criptati dai cyber criminali, a spaventare sono soprattutto le minacce di interruzione dei servizi e dell’accesso ai dati, con impatti importanti a livello economico.
I costi degli attacchi rischiano infatti di diventare oggetto di ricarico sui consumatori finali, sotto forma di una invisibile “cyber-tax”. Emerge dal report annuale di IBM “Cost of data breach” che, per far fronte ai costi sostenuti per mitigare o risolvere gli attacchi ricevuti, il 60% delle aziende ha aumentato i prezzi dei propri prodotti e servizi.
Come essere compliant al GDPR
Le aziende sono obbligate a introdurre una serie di misure per adeguarsi alla normativa GDPR, al fine di evitare le sanzioni previste dal regolamento.
Protezione dei dati
Le aziende devono proteggere i dati personali acquisiti e avere la documentazione relativa.
Per protezione dei dati si intende preservarli:
- dalla perdita
- dalla modifica fortuita o illecita
- dalla distruzione
- dalle divulgazioni
- dagli accessi non autorizzati
Per questo è importante monitorare il sistema delle protezioni, in modo da individuare eventuali violazioni (interne o esterne) ed effettuare tempestive comunicazioni alle autorità e ai soggetti interessati.
Utilizzo dei dati
Le organizzazioni devono utilizzare i dati personali in modo lecito, corretto e trasparente, dimostrando altresì di aver ricevuto un consenso esplicito per tutti i trattamenti effettuati.
È anche necessario disporre di misure di data governance che includano la continua valutazione del rischio e la predisposizione di documentazione dettagliata.
Conoscenza dei dati
L’azienda deve avere una chiara conoscenza di quali siano i trattamenti effettuati e le categorie di dati gestiti, come vengono trattati e protetti i dati personali, dove siano localizzati e chi è autorizzato a trattarli.
Naviga per categoria:
Seleziona una categoria d’interesse dal nostro magazine