Data Breach: in Italia 630 casi, un terzo della media Ue. Ecco perché
di elisabetta barbadoro
Dopo nove mesi dall’entrata in vigore del Gdpr, il regolamento europeo che disciplina privacy e uso dei dati personali, lo studio Dla Piper ha presentato i dati sulle segnalazioni di data breach (furto di dati alle aziende) in Italia e negli altri paesi dell’Unione europea. Lo studio evidenzia un numero di segnalazioni notevolmente inferiore in Italia rispetto agli altri Stati: 630 notifiche, nel nostro Paese, a fronte di una media europea di 2107 segnalazioni per un totale di notifiche in tutta l’area comunitaria di oltre 59.000 notifiche. I risultati della ricerca “Gdpr Data Breach Survey” sono stati presentati in occasione di un incontro organizzato da Dla Piper dal titolo “Ispezioni privacy, cosa aspettarsi e come essere pronti”.
In testa alla classifica per numero di notifiche c’è l’Olanda, con 15.400 segnalazioni: 89,8 ogni 100.000 abitanti. Segue la Germania, con 12.600 violazioni notificate e la Gran Bretagna con 10.600 casi. L’Italia, con le sue 610 notifiche, è tredicesima, con un posizionamento a metà classifica sui 26 Paesi che hanno diffuso i propri dati. In fondo alla lista troviamo Cipro, l’Islanda e il Liechtenstein con, rispettivamente, 35, 25 e 15 segnalazioni.
Il dato italiano. Se, come evidenziato sopra, l’Italia è al tredicesimo posto nella classifica per numero di segnalazioni, il piazzamento sulla scala delle segnalazioni in rapporto alla popolazione è notevolmente peggiore: penultimo posto, meno di una segnalazione (0,9) ogni 100.000 abitanti. Peggio di noi solo la Grecia con 0,6 notifiche. Al top ancora l’Olanda (89,8), seguita da Irlanda e Danimarca, con 74,9 e 53,3 segnalazioni di data breach ogni 1000 abitanti. La spiegazione è da ricercare nell’approccio alla compliance normativa delle aziende italiane, “meno rigido” – come spiega Giulio Coraggio (nella foto) di Dla Piper in una nota. Legalcommunity, a questo proposito, ha raggiunto Giulio Coraggio per chiedere delucidazioni: «Dal momento che il Gdpr è soggetto ad autovalutazione, nel senso che l’azienda decide autonomamente se procedere o meno con la segnalazione, e solo dopo può intervenire il garante, può succedere che le aziende non procedano con la notifica per evitare di venire sanzionate» spiega l’avvocato di Dla Piper che ha presentato il rapporto. Altro aspetto di cui tener conto è l’atteggiamento del garante: «Confrontandoci coi colleghi di altre giurisdizioni – racconta Coraggio -, in Olanda, dove ci sono state più di 15.000 notifiche, è stato confermato che nessuna di queste ha comportato poi un’indagine del garante. In Italia, nei 610 casi segnalati, è capitato che il garante abbia chiesto di procedere alla comunicazione agli interessati o abbia chiesto dettagli maggiori. Abbiamo un garante “attivo” e questo può generare un timore in capo alle aziende che preferiscono, in alcuni casi, non notificare per non essere indagate». Terzo e ultimo elemento rilevante riguarda la conoscenza stessa, da parte delle imprese, delle norme previste dal Gdpr: «Molti, ad esempio – spiega ancora Coraggio – non sanno che basta inoltrare per errore una mail a un altro indirizzo interno all’azienda per incorrere nel data breach, e questo, insieme alla paura di essere indagati, disincentiva le segnalazioni». Riassumendo, sembra che in Italia le aziende notifichino meno casi di furto di dati per paura di essere indagate o costrette dal garante a comunicare ai clienti il furto di dati, anche perché in Italia il garante è più “attivo” che in altri paesi. In più grava la scarsa conoscenza da parte delle aziende stesse delle norme contenute nel Gdpr, ed è su questo punto che Dla Piper ha cercato una soluzione, soluzione che risponde al nome di Prisca.
Prisca, il chatbot. Si tratta di un servizio di messaggistica automatico dedicato al Gdpr rivolto alle aziende che hanno bisogno di informazioni o chiarimenti sulla normativa. Consultabile 24 ore su 24 e gratuitamente al sito www.gamingtechlaw.com/prisca-gdpr-chatbot, Prisca, per ora disponibile in lingua inglese, è un “assistente virtuale” che risponde in una frazione di secondo alle domande sul regolamento, da scrivere in una finestra-chat che si apre automaticamente una volta entrati sul sito.
Quello dei chatbot è uno strumento informatico che sta prendendo piede sempre più anche nel mondo legale. Utile per garantire assistenza continuativa e risposte immediate ai clienti, sempre più studi si dotano di sistemi di messaggistica automatica dedicati a varie aree tematiche. Oltre a quello sul Gdpr, «Dla Piper – si legge nella nota dello studio – ha intenzione di sviluppare un’offerta di chatbot as a service», un servizio informatico per ampliare l’offerta nell’assistenza ai clienti. a maggio 2018 anche Norton Rose Fulbright si è dotato di un “avvocato virtuale” sul regolamento europeo per la protezione dei dati personali, il loro si chiama Parker.
