Il 7 Luglio l'Autorità Garante per la protezione dei dati personali, ha presentato la Relazione Annuale sull'attività da essa svolta nel 2021 davanti al Senato della Repubblica.
La relazione riporta l'attività svolta dal Garante nel corso dell’anno 2021, prestando particolare attenzione alle tematiche più rilevanti per la protezione dei dati degli italiani: dal trattamento dei dati legato all’emergenza sanitaria, all’ambito giudiziario e di polizia, al marketing e all’Intelligenza Artificiale, fino a giungere al tema della sicurezza informatica e dei suoi allarmanti dati.
La Relazione, infatti, in tema di protezione dei dati rileva un quadro addirittura più negativo rispetto all’anno precedente e preoccupante per la stabilità delle infrastrutture strategiche del Paese nonché per sostenibilità e redditività delle aziende, piccole o grandi che siano.
Dal 1° gennaio al 31 dicembre 2021 sono state notificate all’Autorità 2.071 violazioni dei dati personali ai sensi dell’art. 33 del GDPR o dell’art. 26 d.lgs. n. 51/2018, da parte di soggetti pubblici (50,5%) e privati (49,5%), oltre a 67 notifiche di violazione transfrontaliere. Si tratta di un dato in forte aumento: il 50% in più rispetto al 2020.
Considerato l’elevato numero di notifiche di violazione dei dati personali pervenute annualmente, il Garante si è visto costretto a predisporre un’apposita procedura telematica per la notifica delle violazioni dei dati personali e per l’individuazione delle informazioni da fornire all’Autorità ai sensi dei sopra citati articoli. Non va sottovalutato, peraltro, che il numero delle notificazioni pervenute al Garante non cristallizza precisamente il quadro della sicurezza cibernetica in Italia, perché molte aziende non denunciano le violazioni per non esporsi a danni reputazionali e a possibili sanzioni (oltre ai danni economici tacitamente sopportati per effetto dell’attacco), né si tratta di un dato riguardante solamente gli accessi abusivi, ma fa riferimento anche solo a perdite accidentali di dati.
Nel settore privato, tra bersagli di data breach si annoverano sia le piccole e medie imprese che i professionisti, le grandi società del settore telecomunicazioni, energetico, bancario e dei servizi. Insomma la logica è del nessuno escluso.
Nello specifico, la cyberminaccia è stata rappresentata più frequentemente dalla diffusione di malware di tipo ransomware, che ha compromesso la disponibilità dei dati all’interno dei sistemi server, delle postazioni di lavoro e dei database di numerose organizzazioni, e che ha anche inevitabilmente inciso sulla riservatezza delle informazioni trattate.
Non da ultimo, occorre rilevare che la Relazione menziona la diffusione accidentale di dati personali a causa di erronee configurazioni dei sistemi software di gestione della posta elettronica. Emerge quindi che i data leaks avvengono anche per distrazione, imperizia o poca consapevolezza del personale.
Non va poi tralasciato che, a seguito delle numerose attività istruttorie del Garante, è spesso emersa una inadeguatezza delle misure di sicurezza adottate dai soggetti colpiti. Di conseguenza, il Garante si è visto costretto ad adottare provvedimenti collegiali correttivi e, nei casi più gravi, anche di tipo sanzionatorio. Tra i casi più eclatanti, la stessa Relazione segnala un provvedimento sanzionatorio relativo ad un istituto bancario per violazione degli art 33 e 34 GDPR.
Alessandro Carlini
