Sono solo quattro lettere, ma non rispettarle può rivelarsi estremamente costoso. Il Regolamento generale sulla protezione dei dati (GDPR) è stato ampiamente discusso dai media; ciononostante, molte aziende non riescono ancora a gestire correttamente i dati personali. Questo problema può diventare sempre più costoso.
Nel maggio 2018, il Regolamento generale sulla protezione dei dati (GDPR) ha modificato il modo in cui le aziende dell'UE ottengono, conservano e gestiscono le informazioni sui clienti.
Tra gli altri aspetti, la legge definisce cosa si intende per dati personali e il modo in cui gli utenti devono essere informati circa le modalità di trattamento delle loro informazioni personali. Grazie all'enorme attenzione mediatica dedicata al GDPR, l’opinione pubblica ha ora una migliore comprensione dei propri diritti in materia di dati personali.
"Il GDPR ha prodotto un aumento della consapevolezza dei cittadini comuni", afferma Jaroslav Oster, esperto di sicurezza informatica; "Ora, essi hanno sempre più la possibilità di presentare un reclamo in caso di violazione dei loro diritti. Inoltre, tutte le autorità dell'Unione Europea sono molto attive nel controllo della conformità del GDPR".
Tuttavia, alcune aziende percepiscono ancora il GDPR come onere legislativo obbligatorio, piuttosto che sfruttarlo come opportunità per implementare appieno complesse soluzioni di protezione dei dati e di sicurezza informatica. La conformità al GDPR non li salva necessariamente dalle violazioni dei dati. Se i dati vengono rubati, nella maggior parte dei casi le aziende sono obbligate ad assumersi la responsabilità e a denunciare l'incidente alle autorità, le quali possono sporgere denuncia se le misure adottate sono insufficienti.
"467 million euros worth of GDPR fines had been issued by March 2020"
Il DLA Piper GDPR Data Breach Survey di quest'anno ha rilevato che, dall'entrata in vigore del GDPR, sono state segnalate oltre 161.000 violazioni di dati personali nei 28 Stati membri dell'UE e in Norvegia, Islanda e Liechtenstein. Secondo il GDPR Fines Tracker and Statistics, a fine marzo 2020 sono state emesse multe legate al GDPR per un valore di 467 milioni di euro. A chi è stata imputata la parte più grossa e perché?
1. British Airways tra le nuvole
Tra giugno e settembre 2018, British Airways (BA) ha subito una violazione dei dati contestualmente a cui sono stati rubati dati personali e finanziari di circa 500.000 clienti. Come? Nel visitare il sito web della compagnia aerea, gli utenti sono stati dirottati su un sito web fraudolento attraverso il quale gli hacker hanno raccolto i dati.
Dal punto di vista della compagnia aerea, si è trattato di un incidente involontario causato da una terza parte. Tuttavia, non proteggendo i dati dei clienti in modo responsabile, BA ha violato il GDPR. Nel luglio 2019, l'Ufficio del garante per la trasparenza (ICO) ha comminato alla società una sanzione per oltre 204 milioni di euro, la più elevata finora emessa.
"Quando vi vengono affidati dei dati personali, dovete averne cura."
"I dati personali delle persone sono esattamente questo: personali. Quando un'organizzazione non riesce a proteggerla da perdite, danni o furti, le conseguenze sono ben maggiori di un semplice inconveniente. Ecco perché la legge è chiara: quando vi vengono affidati dei dati personali, dovete averne cura. Chi non lo farà, sarà sottoposto a controlli da parte del mio ufficio per verificare che siano state adottate misure appropriate per proteggere i diritti fondamentali della privacy", ha affermato il Commissario per l'informazione Elizabeth Denham.
2. Un soggiorno costoso per Marriott Hotel
Pochi giorni dopo, sempre nel luglio 2019, un'altra società britannica si è trovata comminata una sanzione relativa al GDPR. Tuttavia, essa era anche legata ad un attacco informatico. Nel 2018, Marriott ha riferito all'ICO che "vari dati personali contenuti in circa 339 milioni di registri dei clienti a livello globale sono stati pubblicati per sbaglio; di essi, circa 30 milioni riguardavano persone residenti di 31 paesi dello Spazio economico europeo (SEE)". L'ICO ha dichiarato che Marriott non è riuscita a svolgere un'adeguata due diligence e a mettere in sicurezza i suoi sistemi. L'ICO ha sanzionato la società per un importo di oltre 110 milioni di euro.
3. Google non è da meno
Nel gennaio 2019, l'autorità francese per la regolamentazione dei dati CNIL ha multato Google di 50 milioni di euro per "mancanza di trasparenza, informazioni inadeguate e mancanza di un valido consenso sulla personalizzazione degli annunci", ha affermato la CNIL. Secondo le autorità, Google non ha comunicato agli utenti come sarebbero stati utilizzati i loro dati e in quali applicazioni. "L'importo stabilito, e la pubblicazione della sanzione comminata, sono giustificati dalla gravità delle violazioni riscontrate rispetto ai principi essenziali del GDPR: trasparenza, informazione e consenso", ha dichiarato la CNIL.
Nel 2017, le autorità svedesi hanno costretto Google a rimuovere una serie di risultati di ricerca dal suo motore. Nonostante ciò, nel 2018, diversi risultati che avrebbero dovuto essere rimossi comparivano ancora tra i risultati della ricerca. Sono emersi diversi altri problemi di conformità; di conseguenza, nel 2020 l'autorità svedese per la protezione dei dati Datainspektionen ha comminato a Google una sanzione per 7 milioni di euro.
4. Le organizzazioni statali non fanno eccezione
Anche le istituzioni statali devono rispettare il GDPR. Secondo il GDPR Fines Tracker and Statistics, nel maggio 2019 la Direzione delle istituzioni sociali e di assistenza all'infanzia del distretto di Ferencvaros di Budapest ha dovuto pagare 286 euro all'Autorità nazionale ungherese per la protezione dei dati e la libertà d'informazione (NAIH). In questo caso, la colpa era da imputarsi a fattori umani. Un dipendente della Direzione ha accidentalmente inviato nove lettere ad un destinatario non corretto; tali lettere contenevano dati personali di 18 soggetti diversi.
Anche un partito politico in Ungheria ha dovuto pagare una multa per il PILR, non essendo riuscito a mettere in sicurezza il suo database contenente i dati personali di oltre 6.000 persone. Un hacker anonimo ha scoperto un punto debole, si è introdotto nel sistema e ha avuto accesso al database. Questa debolezza è costata al partito politico 34.375 euro.
Una delle violazioni più recenti riguarda il comune danese di Hørsholm. Un dipendente dell'amministrazione cittadina si è visto rubare il computer, perdendo non solo il dispositivo, ma anche i dati personali di circa 1.600 dipendenti comunali, comprese le informazioni sensibili sui numeri di previdenza sociale. A marzo 2020, l'autorità danese per la protezione dei dati ha comminato al comune una sanzione di 7.000 euro.
5. Anche le piccole imprese devono prestare la massima attenzione
Anche le piccole imprese devono rispettare il GDPR. Pur essendo solitamente più contenute, le sanzioni possono comunque avere un impatto significativo sui ricavi e sul budget dell'azienda. Se le PMI non rispettano il codice di condotta del GDPR, possono incorrere in sanzioni fino al 2% dei loro ricavi annuali o a 10 milioni di euro, a seconda di quale dei due importi sia più alto. Quando si tratta invece di un vero e proprio trafugamento di dati, l’importo raddoppia. Tuttavia, secondo il GDPR Small Business Survey 2019, milioni di imprese faticano a implementare il regolamento e non riescono a rispettarne la complessità.
"Le PMI non rispettano il codice di condotta del GDPR, possono incorrere in sanzioni fino al 2% dei loro ricavi annuali o a 10 milioni di euro"
Rispettare il GDPR può essere insidioso. Secondo il GDPR Fines Tracker and Statistics, l'autorità ceca per la protezione dei dati ha comminato una sanzione di 1.165 euro a una società di noleggio auto per il tracciamento di un'auto a noleggio via GPS senza informare il noleggiatore. Di conseguenza, la società ha dovuto pagare mille euro, importo che, per una piccola impresa, potrebbe avere enormi ripercussioni.
Garantire la sicurezza delle informazioni non è solo qualcosa di cui devono potersi fidare i vostri clienti, ma anche voi stessi e la vostra azienda. "Iniziate ad affrontare la sicurezza come una questione tecnologica e non esclusivamente come un onere burocratico", sollecita l'esperto IT Jaroslav Oster, "e curate molto la formazione dei vostri dipendenti. Sono loro che possono mettere a rischio la vostra azienda". Se i diritti dei clienti non sono garantiti o se i dati personali vengono rubati, il GDPR non fa eccezioni.