Un confronto tra i dati dei Garanti privacy di Italia, Germania e Francia a cinque mesi dalla completa e definitiva applicazione di GDPR ci dice il diritto alla privacy è tutt’altro che morto, a dispetto di quanto qualcuno ci vuole far credere. Le informazioni, riferite ai flussi registrati dal Garante, reclami e segnalazioni ricevute, notifiche di data breaches, e comunicazioni al registro dei responsabili della protezione dei dati (DPO), aiutano a tracciare un primo bilancio applicativo della nuova disciplina che tanta eco ha avuto in Europa e nel mondo.
Nell’ottica dell’Autorità di controllo e garanzia, questo esercizio è utile anche per il perseguimento di quella responsabilizzazione dei titolari e dei responsabili del trattamento, in linea con il dettato del Regolamento e del Codice Privacy, che va sotto il nome di principio di accountability. Ricordiamo inoltre che il nuovo regolamento europeo prevede sanzioni che possono raggiungere un massimo di 20 milioni di euro o anche il 4% del fatturato mondiale del gruppo trasgressore, sia quando questi sia stabilito in Europa, sia quando pur non essendo stabilito in un Paese dell’Unione, svolga attività di trattamento di dati di individui che vivono e operano in Europa nell’ambito della offerta online di beni e servizi, anche gratuiti.
I numeri del Garante privacy italiano
Ma veniamo ai numeri: nel periodo tra il 25 maggio 2018 – data di piena vigenza del GDPR, segnata sul calendario di aziende, PA, professionisti, autorità e semplici cittadini – e il 28 settembre 2018, sono oltre 40mila (40.738, per l’esattezza) le organizzazioni pubbliche e private che hanno comunicato all’Autorità i dati di contatto del proprio DPO.
Solo un anno fa, in seno all’autorevole IAPP International Association of Privacy Professionals abbiamo condotto un sondaggio internazionale, arrivando a stimare entro il 25 maggio 2018 un fabbisogno di DPO a livello mondiale, a seguito dell’entrata in vigore del GDPR, pari a circa 80.000 professionisti in house o esterni interessati a svolgere la funzione di DPO: i soli dati italiani, invero, mostrando in pieno la complessità di questo fenomeno, testimoniano quanto sottostimato sia stato quel calcolo e quanto ancora ineffabile sia mondo ed il mercato in continua evoluzione della circolazione dei dati personali.
Passando invece ai reclami e alle segnalazioni inviati all’Autorità da parte di cittadini interessati al trattamento, si nota come nello stesso periodo di riferimento si è passati a ben 2.547 depositi al protocollo del Garante, a fronte dei 1.795 corrispondenti allo stesso periodo del 2017. È questo un dato interpretabile in diversi modi, soprattutto nell’ottica di una diffusione maggiore delle informazioni utili agli interessati tali da incrementarne la consapevolezza sui molteplici usi che possono essere fatti dei propri dati, rispetto ai vari ambiti in cui essi circolano, registrando altresì una crescita di consapevolezza circa l’esistenza di diritti: dalla cancellazione, alla portabilità dei dati, dalla limitazione del trattamento, alla rettifica e all’opposizione.
Interessante è anche il dato relativo ai contatti registrati dall’Ufficio Relazioni con il Pubblico del Garante: ben 7.200 nel periodo di riferimento.
Con riferimento invece ad una delle principali paure con cui tutti siamo chiamati a fare i conti a partire dal 25 maggio in poi, il cosiddetto data breach – ossia il fenomeno della violazione dei dati, che come noto obbliga alla notificazione dell’evento al Garante entro 72 ore dalla scoperta nonché, in taluni casi, alla comunicazione dei fatti e delle relative conseguenze anche agli interessati – si segnala che le notificazioni giunte all’Autorità Garante nel periodo di riferimento sono state 305, a fronte di un aumento vertiginoso degli attacchi informatici registrati nello stesso periodo (+500% dal 25 maggio 2018) coinvolgendo, da marzo di quest’anno, oltre 330mila persone, come riportato dal Presidente dell’Autorità, Antonello Soro, durante la presentazione della Relazione annuale del Garante al Parlamento.
I dati dell’Autorità tedesca
Lo stesso esercizio metrico è stato compiuto anche in altri importanti Paesi europei. Ad esempio, in Germania, l’Autorità di controllo federale (Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI), ha tracciato un bilancio sui primi 100 giorni dall’entrata in vigore del GDPR, dal 25 maggio a fine agosto 2018. Esattamente a 1.020 ammontano i reclami ricevuti dalla BfDI nel periodo di riferimento, superati di qualche centinaio dal numero di richieste di informazioni generali, quantificate in 1.453.
Segnalazioni di violazioni di dati con numeri assoluti molto alti per la Germania, con ben 4.244 eventi notificati all’Autorità. Sia chiaro, il data breach non riguarda solo casi di attacchi cyber volti a mettere in crisi sistemi informatici più o meno complessi e protetti, ma riguarda anche perdite o furti di terminali contenenti dati, come laptop, telefoni cellulari, hard disk esterni e chiavette usb. La differenza dei numeri rilevati in Italia rispetto a quelli tedeschi non va dunque ricondotta ad una maggiore propensione a delinquere registrata in Germania, quanto piuttosto ad una maggiore sensibilità sugli effetti del fenomeno e sui relativi obblighi di notificazione posti legge in Germania rispetto all’Italia.
È ancora dura a morire la vecchia cara abitudine dei nostri responsabili dei sistemi informatici – osteggiata in verità dal Garante sin dai tempi del provvedimento sugli Amministratori di Sistema del 2008 – in base alla quale si misura la bravura ed efficienza di una struttura aziendale IT con la capacità di risolvere un problema, inclusa una violazione dei dati, senza disturbare il manovratore, ossia senza coinvolgere le altre funzioni operative dell’azienda. Il GDPR, invece, ci chiama proprio ad un ribaltamento di questa mentalità obbligandoci a far scattare immediatamente una indagine interna corale che coinvolga funzioni IT, legali, compliance, DPO, fino eventualmente a coinvolgere AD e CdA, onde definire entro le 72 ore dall’evento la sussistenza degli obblighi di notifica e comunicazione.
Il Garante tedesco, nel suo bilancio, riporta anche il numero dei casi paneuropei, cioè tali da aver attraversato diversi confini nazionali, coinvolgendo le autorità di controllo di diversi Paesi membri. Sarebbero ben 262 i casi di data breaches comunitari, in cui i Garanti europei hanno dovuto coordinarsi tra loro, ai sensi del GDPR che ha all’uopo anche istituito un nuovo organismo dell’Unione Europea, lo European Data Protection Board (EDPB), proprio per far fronte alle nuove esigenze poste dalla rinnovata disciplina sulla privacy.
I dati dell’Autorità francese
Per quanto riguarda la Francia, l’Autorità garante (la CNIL) ha indicato in 24.500 le organizzazioni pubbliche e private che hanno implementato l’organico con il DPO. Occorre segnalare che in Francia l’obbligo/facoltà di nominare un responsabile della protezione dei dati personali era già presente in taluni casi sotto la vigenza della precedente normativa.
Sono altresì aumentati i reclami nella misura del 64% dal 2017, con 3.767 reclami registrati a partire dal 25 maggio. 600 invece le notificazioni riguardo eventi di violazione di dati, con una stima di 15 milioni di persone coinvolte, ben 7 soggetti al giorno dal 25 maggio al 25 settembre 2018.
Un dato interessante riguarda le richieste di autorizzazione al riutilizzo dei dati in ambito di ricerca sanitaria: più di 100 società di sono rivolte all’Autorità francese per ottenere il via libera.
Un aumento considerevole riguarda, poi, i contatti con l’URP, le chiamate aumentano del 45% nei primi 7 mesi del 2018, mentre le consulenze online dell’83%. Dati significativi, seppur non associabili ai dati appena riportati, riguardano le interazioni con il sito internet del CNIL (oltre 3 milioni da maggio 2018) e i download del modello di registro semplificato predisposto dall’Autorità hanno raggiunto quota 150mila.
La privacy è viva e lotta insieme a noi
Nonostante l’eloquenza di questi dati, che mostrano come il diritto alla privacy, inteso come complessa fenomenologia della libera circolazione e protezione dei dati personali, sia vivo, vegeto, pulsante ed in continua e frenetica crescita, di recente, in occasione dell’audizione alla Commissione Speciale del Parlamento, alla quale ho avuto l’onore di partecipare questa estate, in vista dell’adozione del d.lgs. n. 101/2018, ho avuto modo di ascoltare, da parte di taluni professionisti “auditi” assieme a me, amenità colorate e grossolane, volte ad affermare la recente morte o l’inesistenza da sempre della privacy, a fronte dell’inarrestabile rivoluzione tecnologica che caratterizza i nostri tempi.
Voglio dirlo, forte e chiaro, all’inglese: Privacy is not dead: it’s hiring!
