IL QUADRO DELINEATO DALLA RELAZIONE ANNUALE DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Antonio Ciccia Messina
Imprese ostaggio dei cyberattacchi; numero delle sanzioni schizzato in su; solo tre codici di condotta; in sala d’attesa le semplificazioni per le piccole e medie imprese. È quanto risulta dalla relazione per il 2021 del Garante per la protezione dei dati personali, che ha fatto il punto sull’attività svolta dall’autorità di settore e sullo stato di applicazione del Gdpr e del codice della privacy.
La relazione espone gli interventi del Garante settore per settore e riflette lo stato di salute della protezione dei dati. In effetti, il Gdpr è ancora un cantiere aperto, in cui molto resta da fare da parte delle istituzioni, ma anche da parte delle imprese. Anche queste ultime sono, infatti, chiamate, direttamente e per il tramite delle organizzazioni di categoria, a costruire la rete dettagliata degli adempimenti per la protezione dei dati, ma non hanno dimostrato di aver preso l’iniziativa.
Vediamo, dunque, di illustrare i tratti salienti del bilancio annuale sulla privacy italiana.
Data breach. Il numero dei data breach (episodi di violazioni della sicurezza) notificati nel 2021 al Garante da parte di soggetti pubblici e privati è stato di 2.071 (con un aumento di circa il 50% rispetto al 2020), molti dei quali relativi alla diffusione di dati sanitari che hanno portato anche a sanzioni amministrative. È quanto risulta dalla relazione per il 2021 del Garante per la protezione dei dati personali, che ha snocciolato le cifre dell’insicurezza privacy. E si tratta, comunque, della punta dell’iceberg, considerata la cifra oscura dei data breach non denunciati: una cifra enorme, se si dà credito alla ricerca di Accenture, la quale ha contato nel corso del 2021 in media 270 attacchi per azienda, con un aumento del 31% rispetto al 2020. Di fronte all’alto numero di attacchi informatici, il Garante della privacy, come si legge nella relazione per il 2021, ha richiamato l’attenzione di pubbliche amministrazioni e imprese sulla necessità di investire in sicurezza e ha fornito indicazioni, in particolare, su come difendersi dai ransomware, e cioè il software che prendono “in ostaggio” un dispositivo elettronico per poi “liberarlo” a fronte del pagamento di somme di denaro.
Peraltro, a ormai quattro anni dall’inizio dell’operatività bisogna riconoscere che il Gdpr non ha ancora avuto un effetto risolutivo nel ridimensionamento dei pericoli che corrono sulla rete.
Questo è dovuto, certo, a condotte non conformi delle imprese, ma anche la vaghezza delle norme del Gdpr ci mette del suo e contribuisce a una ineffettività generalizzata.
Codici di condotta. Sono uno strumento di regolamentazione dal basso, che vede protagoniste le associazioni rappresentative degli operatori economici. Dovrebbero essere la chiave di volta per adeguare in maniera sartoriale alle singole realtà economiche le disposizioni generalissime del Gdpr. C’è un certo rammarico a pensare che, ormai a quattro anni da quando il Gdpr ha aperto nel maggio 2018 i battenti, solo tre codici di condotta hanno visto la luce: quello in materia di informazioni commerciali; quello sui sistemi informativi creditizi (centrali rischi private); un terzo, di nicchia, per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica.
Solo per il primo codice, peraltro, si è giunti alla effettiva operatività, in quanto è arrivato al traguardo anche l’accreditamento dell’Organismo di monitoraggio, e cioè l’organo cui spetta il compito di verificare l’osservanza del codice di condotta da parte degli aderenti e di gestire la risoluzione dei reclami proposti dagli interessati. Il codice sulle informazioni commerciali è stato il primo a livello italiano che ha terminato tutte i passaggi dell’iter previsto dal Gdpr. Manca il tassello dell’Organismo di monitoraggio, invece, per il codice di condotta relativo ai sistemi infirmativi creditizi: nelle more dell’accreditamento dell’organismo i promotori del codice si sono impegnati a rispettare le regole e i principi del codice di condotta sin dalla data della sua approvazione.
Il problema dei codici di condotta è che non è stata compresa l’utilità che possono avere nei singoli comparti produttivi: non sono un sintetico e inutile “copia e incolla” del Gdpr; rappresentano, invece, un’occasione per produrre dal basso norme di dettaglio veramente utili alle imprese e anche un catalogo indicazioni e regole condivise per gestire le operazioni di trattamento dei dati, tipiche di un determinato ambito economico, sociale e associativo. I codici di condotta stanno, quindi, ancora nel catalogo delle cose da fare, per le quali il Garante ha compiti di sollecito e di promozione. Cosa che è stata fatta per il settore del marketing. Ma la palla è sul campo delle imprese e degli operatori economici, i quali devono ancora battere un colpo.
Pmi. L’articolo 154-bis, comma 4, del Codice della privacy, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, assegna al Garante per la protezione dei dati personali il compito di promuovere, in apposite linee guida, modalità semplificate di adempimento degli obblighi privacy a carico del titolare del trattamento.
Allo stato, le semplificazioni per le Pmi sono, però, in sala d’attesa, salvo recuperare, con i necessari adattamenti, i provvedimenti adottati dal Garante prima dell’efficacia del Gdpr.
Si consideri che, salvo casi marginali, il Gdpr è in difetto, in quanto prevede i medesimi adempimenti senza distinguere il livello dimensionale dei titolari di trattamento, i quali, tuttavia, hanno struttura, risorse e criticità molto differenti.
Sanzioni. Nel 2021 le sanzioni pecuniarie per violazioni del Gdpr sono state 172 e il totale dei provvedimenti correttivi e sanzionatori conta 388 pronunce del Garante. L’incremento è sensibile: nel 2020 le sanzioni pecuniarie sono state 56, che hanno alimentato un totale di 184 provvedimenti correttivi e sanzionatori. Percentualizzare le cifre rende meglio l’idea. Il numero delle sanzioni del 2021 è più del 300% di quelle del 2020 e il totale generale dei provvedimenti correttivi e sanzionatori del 2021 è più del 200% rispetto a quello dell’anno precedente. Accantonando l’importo delle sanzioni irrogate e di quelle già incassate, che comunque è dell’ordine di grandezza di qualche decina di milioni di euro, è rimarchevole il numero stesso delle sanzioni, che molto spesso, tra l’altro, si riferiscono a una pluralità di violazioni. Non sono, tuttavia, statistiche che stupiscono. Se non si vuole rimanere sul piano superficiale della ripetizione di luoghi comuni, si dovrà riconoscere che il più significativo intervento innovativo portato dal Gdpr è rappresentato proprio dalle sanzioni amministrative. Ciò è confermato anche considerando la portata delle sanzioni penali: nel 2021 ci sono state solo 12 comunicazioni di notizie di reato all’autorità giudiziaria. Il sistema sanzionatorio privacy, in effetti, è un sistema sanzionatorio essenzialmente amministrativo. Essendo questa la volontà del legislatore europeo, i Garanti della privacy del vecchio continente non possono certo esimersi dall’applicare le sanzioni, che riguardano tutti, ma proprio tutti, gli adempimenti imposti dal Gdpr a imprese, professionisti, enti pubblici e privati.
Fonte: