L’attività normativa sulla protezione dei dati i sensi della normativa europea General Data Protection Regulation (GDPR) è certamente stata più stringente e attenta nel corso del 2019, ma meno efficace del previsto in termini sanzionatori.
Anzi, proprio su questo fronte sono emerse notevoli differenze sull’applicazione delle sanzione da parte dei diversi Regulator.
Questo è il principale risultato dell’ultimo report “Breach Insights” dell’assicuratore Beazley, che ha analizzato l’attività svolta dalle diverse Authority UE in termini di protezione dei dati e il loro impatto sulle organizzazioni.
Ad esempio, le sanzioni emesse dall’Information Commissioner’s Office (ICO) nel Regno Unito sono state decisamente poca cosa rispetto a quanto fatto da Regulator di altri paesi europei decisamente più attivi, con Belgio, Bulgaria, Francia, Germania, Grecia, Ungheria, Italia, Lituania, Paesi Bassi, Norvegia, Polonia, Romania, Spagna e Svezia particolarmente attive.
Katherine Keefe, responsabile di Beazley Breach Response Services, ha spiegato le evidenti diversità con il fatto che “il Regolamento non colpisce esclusivamente le società che operano in Europa e che si trovano fisicamente nel Vecchio Continente, ma le disposizioni riguardano anche tutte le aziende estraterritoriali, organizzazioni degli Stati Uniti o di altri Paesi non Ue che trattano dati personali appartenenti a cittadini europei”.
Non parliamo solo dei colossi come Facebook, Google e Microsoft, ma anche delle società più piccole che ad esempio, possiedono un sito web tramite cui raccolgono dati personali di cittadini europei, siano esse fisicamente negli Stati Uniti, in Cina o in Australia. Inoltre, non è necessario che avvenga un pagamento online perché la normativa debba essere applicata.
“Pertanto – aggiunge Katherine Keefe – è ancora più importante che seguano gli sviluppi dell’applicazione della normativa per comprenderne gli effetti sulla loro attività. Sapere come gestire e segnalare una violazione informatica aiuta le aziende a prevenire e a evitare una multa considerevole nel caso in cui la violazione venga gestita in maniera errata”.