Privacy: record di sanzioni ma a chi servono?

In poco più di cinque anni (periodo maggio 2018 - novembre 2023) sono state irrogate ammende dai garanti della privacy dei singoli stati europei per oltre 4 miliardi di euro. Sono davvero utili?

 

Il punto di vista di Antonio Zama

 

Possiamo fare mille considerazioni a partire dai dati di seguito descritti, che indubbiamente illustrano minacce, rischi e attacchi alle infrastrutture IT così come la “repressione” che scaturisce dai provvedimenti dei Garanti privacy dei Pasi UE.

Al contempo sarebbe il caso di domandarsi se normative come il GDPR e i relativi corollari non producano – già a medio termine dall’introduzione – al di là di quello che politici, legislatori, regolamentatori e consulenti sbandierano, spesse volte con intento terroristico, un effetto esattamente contrario.

L’inerzia delle imprese che, tra adempimenti burocratici – sempre in evoluzione e per i quali si ha sempre la certezza di essere in difetto – e miglioramenti tecnici, rischiano di privilegiare i primi rispetto ai secondi.

Con uno sfogo provocatorio avevo definito a maggio 2018 il GDPR frutto di pornografia legislativa. Del resto era facile prevedere che “Avremmo potuto sentire l’inconfondibile profumo da eccitazione orgasmica delle autorità “indipendenti” a cui – e per disegno delle quali – si consegna un ricchissimo bottino di poteri, per di più con il perverso incentivo circolare: più sanzioni, più rilievo, più legittimazione, più percezione, più crescita, più sanzioni.”

Già, era facile. Ma possiamo metterci in testa che questo circolo vizioso prosegue e proseguirà.

 

***

 

Privacy: la mano pesante dei Garanti europei

 

Mano pesante dei Garanti privacy dell’Unione Europea. Il dato è sbalorditivo: nel periodo maggio 2018 – novembre 2023 sono state irrogate sanzioni per un valore che supera i 4 miliardi e 286 milioni di euro.

Sono stati 6.680 i provvedimenti complessivamente adottati in Europa, mentre in Italia sono state irrogate 598 sanzioni, con un risultato economico che supera i 197 milioni di euro.

Lo ha rivelato il Comitato europeo per la protezione dei dati (Edpb), cioè l’organismo la cui attività è volta a garantire che il regolamento generale sulla protezione dei dati (Gdpr) e la direttiva sull’applicazione della legge sulla protezione dei dati siano applicati coerentemente nei paesi dell’UE, nonché in Norvegia, Liechtenstein e Islanda.

 

Privacy e sanzioni: cosa accade in Italia?

Come abbiamo già detto, le sanzioni irrogate dai diversi Garanti collocati nell’intera Unione Europea sono state assai rilevanti. Dal 2018, infatti, in Europa il totale ammonta esattamente a 4.286.100.604,65. L’Italia si è particolarmente distinta (se così possiamo dire), portandosi al terzo posto per sanzioni irrogate, con un totale di 197.058.157 euro, piazzandosi al terzo posto immediatamente dopo Irlanda e Lussemburgo.

L’Irlanda surclassa tutti, con una cifra di 2.855.412.000 euro, dovuta principalmente al fatto che la nazione nordica è sede di molti colossi del web, come anche il Lussemburgo. Basti pensare che, con una sola ammenda, Amazon è stata condannata a pagare nel 2021 una somma pari a circa 746 milioni e 319 mila euro.

Italia, dunque, al terzo posto in Europa per sanzioni privacy irrogate, davanti a Francia, Spagna e Germania.

Rispetto al numero di sanzioni, se in Europa sono state 6680, l’Italia si piazza ancora al terzo posto con 598 provvedimenti, subito dietro alla Germania con 2106 sanzioni e alla Spagna con 1596.

Tra le materie oggetto di sanzione:

liceità e sicurezza del trattamento,

principi relativi al trattamento dei dati personali,

trattamento illecito di dati personali appartenenti a categorie particolari,

diritti degli interessati,

protezione dei dati fin dalla progettazione e per impostazione predefinita e

mancata collaborazione con le autorità di controllo e

violazioni dei dati personali (c.d. data breach).

 

Sanzioni privacy e cyberattacchi: la situazione migliora?

Di pari passo – e questo dovrebbe fare riflettere sullo scarso effetto delle sanzioni sul piano della cultura alla sicurezza e alla protezione IT – si deve registrare un costante e sensibile aumento di attacchi alla sicurezza informatica, trend che è prevedibile aumenterà anche per il ricorso a sistemi di AI.

Clusit, la più autorevole associazione italiana per la sicurezza informatica, che dal 2000 si occupa di ICT security, con sede presso il Dipartimento di Informatica dell’Università degli Studi di Milano, ha pubblicato il rapporto di metà anno (ottobre 2023) con una panoramica degli incidenti di sicurezza più significativi avvenuti a livello globale (Italia inclusa) nel primo semestre del 2023, confrontandoli con i dati raccolti nei 4 anni precedenti.

Nel primo semestre 2023, sono stati registrati a livello europeo 1382 cyberattacchi, record assoluto in crescita costante da anni.

Anche per quanto concerne l’Italia, il rapporto evidenzia un costante peggioramento negli ultimi 5 anni, con un aumento che supera l’85% e una media di circa 8 attacchi mensili seri e di grave entità al giorno (230 attacchi al mese contro i 124 di 5 anni fa).