SIAMO PORTATI A DARE POCO VALORE A DATI PERSONALI E INFORMAZIONI IN NOSTRO POSSESSO FINCHÉ NON CI SONO SOTTRATTI
Sono passati poco più di 6 mesi dalla piena operatività del GDPR (General Data Protection Regulation), un tempo sufficiente per fare un primo bilancio su come è quanto sia cambiato l’approccio delle aziende nei confronti della protezione dei dati personali.
La risposta di aziende e cittadini nei primi 5 mesi di GDPR
Possiamo partire dai dati forniti dai Garanti Privacy attivi nei diversi Paesi europei, relativamente a segnalazioni, casi di data breach e comunicazioni al registro dei DPO (Data Protection Officers) effettuate da aziende e cittadini.
Per quanto riguarda l’Italia, tra maggio e settembre 2018 sono state 40.738 le imprese e le organizzazioni pubbliche e private che hanno comunicato al Garante i dati di contatto dei propri DPO, figura ibrida fra il ruolo di vigilante dei processi interni alla struttura e quello di consulente, nonché “ponte di contatto” e super partes nei confronti dell’Autorità Garante.
Sono aumentati i reclami e le segnalazioni inviate all’Autorità Garante da parte dei cittadini relativamente al trattamento dei propri dati. 2.547 depositi al protocollo del Garante, contro i 1.795 del 2017 nello stesso periodo di riferimento. Un aumento accompagnato da quello del numero di contatti registrati dall’Ufficio Relazioni con il Pubblico del Garante: ben 7.200 nei mesi qui considerati. Un’ipotesi plausibile è che ciò sia dovuto a una maggiore diffusione di informazioni e a una accresciuta consapevolezza dei cittadini circa i propri diritti in tema di privacy (cancellazione, limitazione del trattamento, portabilità dei dati, ecc.).
A fronte di un forte aumento del numero di attacchi informatici, in crescita del 500% dal 25 maggio 2018, sono state 305 le notificazioni di data breach (casi di violazione dei dati), che ricordiamo vanno notificate al Garante entro 72 ore dalla scoperta.
Quando il cyber crimine ricorda l’importanza di una corretta gestione della privacy
Spesso è proprio il cyber crimine a ricordare, in genere quando è già troppo tardi, l’importanza di una corretta gestione dei dati. Siamo infatti portati a dare poco valore a dati e informazioni in nostro possesso finché questi non ci sono sottratti o non ce ne è precluso l’accesso.
Il GDRP è nato proprio per creare un insieme di regole comuni, che se seguite aiutano a proteggere informazioni e dati personali. Per farlo occorre però ripensare la propria organizzazione e il modus operandi di molte aree aziendali in funzione della protezione dei dati. Un cambiamento che di certo non può dirsi ancora concluso.
Ad esempio, il GDPR cerca di contrastare e ribaltare l’idea diffusa tra i dipartimenti IT di misurare la propria bravura sulla capacità di risolvere problemi, tra cui anche una violazione di dati, in proprio e senza coinvolgere il resto delle funzioni aziendali. Il Regolamento sulla privacy obbliga a comunicare tempestivamente eventi di questo tipo coinvolgendo funzioni IT, legali, compliance, DPO, finanche eventualmente all’Amministratore Delegato e al CdA.
Per quanto retorica possa suonare tale affermazione, ribadiamo che il GDPR non può esser ridotto a una serie di adempimenti burocratici per essere in regola ed evitare sanzioni ma deve rappresentare un percorso di crescita.
Comportamenti, pratiche e buone abitudini da adottare quotidianamente
La protezione dei dati va tradotta in pratiche, comportamenti e abitudini da adottare quotidianamente in azienda.
È opportuno mantenersi aggiornati sulle ultime minacce informatiche, sui trend del cyber crimine e sulle tecnologie e misure di sicurezza utili a contrastarle, così da essere sempre in grado di riconoscere un rischio o una minaccia e agire di conseguenza.
Oltre a conoscere il nemico occorre conoscere sé stessi e il livello di protezione dei propri sistemi, con test di sicurezza e soluzioni con cui analizzare lo stato di sicurezza dei propri dispositivi (vedi SecureCheckup).
12 dicembre 2018