Sono prevalentemente le Big Tech del settore tecnologico che negli ultimi 12 mesi sono state interessate in ambito europeo dalle sanzioni sulla violazione del GDPR (General Data Protection Regulation), il regolamento sulla privacy e la protezione dei dati personali, ormai in atto da quattro anni. Il database di GDPR Enforcement tracker, contiene tutte le cifre nude e crude dalle quali si evince prima di tutto l’ammontare delle multe che in Europa tocca i 1,6 miliardi di euro in quattro anni e poi ci dice analiticamente chi è stato interessato dal provvedimento. Ed è da qui che prima di tutto emergono le responsabilità delle cinque più importanti aziende americane del settore tech, da Google ad Amazon, oltre alla multa che è stata inflitta a Clearview AI lo scorso marzo per 20 milioni e che da sole rappresentano 1,2 miliardi di euro. Per le compagnie americane la vita è particolarmente complicata dal fatto che per il Garante della Privacy tutti i dati inviati e conservati negli Stati Uniti non sono conformi perché gli Usa non sono in regola secondo gli standard imposti dal GDPR europeo. E così trova spiegazione anche il recente bando imposto a Google Analytics perchè trasferisce oltreoceano i dati degli utenti.
Ma i numeri sulle infrazioni dicono anche molto altro: L’Italia è il secondo Paese per numero di multe (133 in tutto) dopo la Spagna (420) e quarta per ammontare delle sanzioni, con un totale di più di 137.240 milioni di euro (dopo Lussemburgo, Francia e Irlanda). Il fenomeno è ancora molto diffuso in aziende pubbliche e private, dalle varie dimensioni e in comparti che possono includere dall’azienda ospedaliera, alla compagnia assicurativa, alla banca e vanno dalla non-compliance generale, fino a insufficienze più o meno gravi, consapevoli e non, di quelli che sono i regolamenti europei in materia. Un elenco di violazioni che comprende il modo in cui vengono processati i dati, la sicurezza informatica, la comunicazione dei dati ai regolatori, insufficiente coinvolgimento dei Data protection Officers nei processi. Il numero di casi registrati è in aumento ed è rivelatore delle difficoltà che le aziende incontrano negli adempimenti necessari per rispettare le nuove regole. Che poi, come detto, tanto nuove non sono, il Gdpr è entrato in vigore il 25 maggio 2018 e da allora sanzioni e segnalazioni sono andate ad aumentare costantemente per diversi motivi, tra cui vengono comprese le dinamiche di molte imprese che hanno distribuito i propri dati in un’ampia varietà di storage location e, come dimostrano le multe, stanno avendo difficoltà a gestire correttamente l’insieme di dati proprietari e i silos di dati. Tutto ciò nonostante i team IT spendano molto tempo e risorse per affrontare i problemi di governance, archiviazione e conformità alle normative. Problemi, che aumentano con l’incremento della quantità di dati e del numero di regolamenti in materia. Gli esperti dicono che emergono inevitabilmente delle criticità nel verificare i dati se sono troppi e complessi, se le informazioni personali sensibili sono conservate in ambienti a rischio e se sono state gestite malamente nei piani di backup.
Eppure l’Unione europea appare intenzionata a rafforzare la legislazione in materia di protezione dei dati personali e più in generale di data economy, dando maggiori poteri di controllo e di sanzione alle agenzie regolatorie che fanno capo ai governi dei 27 paesi membri, con norme più stringenti che aumenteranno le complessità per le aziende. A preoccupare sono gli spazi di autonomia in capo ai singoli stati nel disciplinare in maniera più specifica gli aspetti non compresi nella competenza Ue in base al principio di attribuzione. Una circostanza che potrebbe far sorgere contrasti tra le diverse autorità di controllo nazionali. In Italia per risolvere eventuali difficoltà è stato introdotto lo sportello unico che semplifica la gestione dei trattamenti e punta a garantire un approccio uniforme stabilendo priorità operative che comprendono l’istituzione del registro della attività di trattamento e la notifica dei data breach.