L’Italia è il secondo paese in Europa per numero di violazioni del GDPR ed è il terzo paese in Europa per sanzioni dovute a violazioni della privacy e uso improprio di dati personali degli utenti ottenuti illecitamente o per la leggerezza degli utenti.
L’Impegno internazionale per la tutela della privacy
Per promuovere la tutela dai dati personali, nel 2006, il Consiglio d’Europa ha istituito la giornata europea della protezione dei dati personali, noto più semplicemente come Data Privacy Day, una ricorrenza fissata al 28 gennaio che successivamente è stata riconosciuta anche oltreoceano da Stati Uniti e Canada, e in Israele.
La tutela della privacy e dei dati personali, lo abbiamo ripetuto altre volte, è uno dei temi di punta della sicurezza informatica, nonché una delle principali tendenze previste per il 2022, e, proprio in occasione del Data Privacy Day del 2022, la Vicepresidente della commissione europea Věra Jourová e il commissario per la Giustizia, hanno rilasciato una dichiarazione congiunta in cui mettevano in evidenza gli importanti risultati raggiunti in questi anni dall’Unione Europea, nella produzione di convenzioni e trattati a tutela della privacy
Nella dichiarazione non sono mancati riferimenti e citazioni dirette alla convenzione 108 del consiglio d’Europa. Si tratta di una convenzione estremamente importante, vanto per l’Europa in quanto, a differenza del Regolamento generale sulla protezione dei dati, noto anche come GDPR o RGDP, la convenzione 108 del 1981 è un trattato internazionale sulla privacy giuridicamente valido, nonché l’unico trattato internazionale operante in tale materia e riguarda tutti i tipi di trattamento dati, compreso quelli derivanti da sicurezza nazionale e difesa, ed i soli trattamenti esclusi sono quelli operati da persone fisiche nell’esercizio di attività puramente personali e domestiche.
Cos’è la Convenzione 108?
La convenzione 108 del consiglio d’Europa, nota anche come Convenzione di Strasburgo è uno dei più importanti strumenti normativi per garantire la protezione dei dati personali delle persone, soprattutto nei confronti dei trattamenti automatici. La sua storia inizia all’inizio degli anni 80, più precisamente nel 1981, a seguito della grande proliferazione di tecnologie informatiche.
è il 1981, siamo agli inizi dell’informatica moderna, i personal computer stanno iniziando ad entrare nelle case delle persone grazie ad aziende come Apple, diventata una public society da appena un anno, ed è proprio la grande popolarità di queste tecnologie che in europa si accese una lampadina, intuendo con estrema lungimiranza, il problema dei dati personali e la problematica della privacy.
Viene così prodotta una normativa, sulla base dell’articolo 8 della convenzione europea dei diritti dell’uomo, che puntava a proteggere gli individui da eventuali abusi, sia nel settore pubblico che privato nell’utilizzo dei dati e soprattutto nei flussi internazionali di quei dati.
Art.1- Scopo della presente Convenzione è quello di garantire, sul territorio di ciascuna Parte, ad ogni persona fisica, quali che siano la sua nazionalità o la sua residenza, il rispetto dei suoi diritti e delle sue libertà fondamentali, e in particolare del suo diritto alla vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano («protezione dei dati»).
La convenzione indica nel suo insieme quattro principi fondamentali per il trattamento e la raccolta di dati che può avvenire solo ed esclusivamente nel rispetto delle norme indicate. I principi sono quelli di correttezza del trattamento, liceità del trattamento, finalità del trattamento e qualità dei dati.
Questi principi regolamentano e limitano le modalità e i fini per cui i dati possono essere raccolti ed utilizzati. Allo stesso tempo, la convenzione vieta il trattamento di dati sensibili quali razza, opinioni politiche e salute, stabilisce inoltre che è un diritto dei cittadini, ottenere informazioni in merito a quali dei suoi dati sono conservati, visionarli ed eventualmente rettificarli qualora fossero inesatti.
Sempre la convenzione vieta il trasferimento di dati verso paesi le cui norme giuridiche non garantiscano un eguale tutela dei dati.
Per favorire una crescente tutela internazionale dei dati personali, la convenzione di Strasburgo è stata ideata come una convenzione internazionale aperta anche a stati non membri dell’unione europea, di conseguenza, negli anni, anche la stessa Unione Europea, nel 1999, ha dovuto ratificare la convenzione e nel 2001 è stata firmata dalla Federazione Russa che ha poi ratificato la convenzione nel 2013. Attualmente la convenzione di Strasburgo è stata ratificata da 47 paesi più l’Unione Europea.
Cos’è il GDPR ?
Diversamente dalla convenzione di Strasburgo, il regolamento generale sulla protezione dei dati (GDPR), ufficialmente ufficialmente regolamento (UE) n. 2016/679, non è un trattato internazionale ma, come indicato dallo stesso nome, un regolamento interno all’Unione europea, entrato in vigora nel 2016.
Lo scopo del GDPR è quello di rafforzare la protezione dei dati personali dei cittadini dell’Unione e residenti nell’Unione, restituendo in un certo senso, il controllo dei dati agli stessi cittadini. In altri termini, ha l’obbiettivo di uniformare le normative sulla privacy dei vari paesi dell’Unione.
Il regolamento affronta anche il problema del trasferimento dei dati fuori dall’Europa, ovvero in paesi in cui il GDPR non è presente, imponendo il rispetto del regolamento per quanto riguarda i dati dei cittadini europei, e questo anche se un eventuale azienda o multinazionale ha sede legale fuori dall’Europa.
L’entrata in vigore del GDPR ha imposto, ai vari paesi membri dell’unione, alcune modifiche ai propri codici civili e penali, nel caso dell’Italia la sua approvazione ha comportato l’abrogazione di alcuni articoli del codice penale con esso incompatibile.
Il regolamento europeo GDPR riguarda soprattutto il trattamento digitale e l’acquisizione digitale dei dati, in altri termini riguarda prevalentemente le società grandi o piccole che siano che operano tramite internet ma, nonostante il GDPR sia ormai in vigore da quasi sei anni non tutti sono ancora allineati con il regolamento e in molti paesi le violazioni non sono poche, e secondo una recente indagine condotta da Eurostat, e riportata da varie agenzie di stampa, tra i peggiori in Europa in materia di privacy e trattamento dei dati personali c’è l’Italia che si colloca al secondo posto in UE per violazioni.
Violazione del GDPR in Europa secondo Eurostat
Secondo il report diffuso da Eurostat, l’Italia è al secondo posto per violazioni del GDPR, questo numero è basato sugli interventi dell’autorità garante della privacy nei vari paesi membri dell’unione.
Stando a quanto si legge nel report, gli interventi in Italia, nel 2021, sono stati 83, mentre in Romania, terza in classifica, gli interventi sono stati 57. Il maggior numero di violazioni e interventi invece è stato registrato in Spagna dove l’autorità garante ha emesso, nel 2021, 250 sanzioni.
Sempre nel report si legge che il valore delle sanzioni imposte in Italia è di circa 80 milioni di euro, che in media ci restituisce poco meno di 1 milione per ogni sanzione. Questo volume colloca l’Italia al terzo posto nella classifica dei paesi più sanzionati, seconda solo ad Irlanda e Lussemburgo, paesi in cui sono situate le sedi europee dei giganti digitali come Amazon, Google e Meta.
Nel complesso, l’autorità a garanzia della privacy in Europa, ha emesso nel 2021, sanzioni per oltre 1,1 miliardi di euro, con un incremento stimato di circa il 600% rispetto al 2020.
Secondo quanto si evince dal report di Eurostat, oltre al mancato rispetto del regolamento del GDPR, a favorire le violazioni e l’acquisizione inappropriata dei dati degli utenti ci sarebbe anche una cattiva gestione dei dati da parte degli utenti che con molta leggerezza concedono a siti internet e applicazioni le autorizzazioni per accedere ai loro dati personali. Secondo Eurostat, solo il 36% degli utenti europei è realmente attento alla propria privacy online.
Uno dei settori più colpiti dalle sanzioni è quello delle telecomunicazioni e del marketing telematico, dove i dati personali degli utenti, acquisiti in violazione della convenzione 108 sono stati utilizzati in maniera illecita, sempre in violazione della convenzione e del GDPR.
L’importanza e valore dei dati
Nell’epoca in cui viviamo, i dati sensibili sono diventati un asset strategico estremamente rilevante. Per effetto di internet, delle reti neurali e delle intelligenze artificiali, i dati hanno acquisito un importanza e un valore senza precedenti, pertanto sono sempre più ricercati, alimentando sempre di più il mercato nero di dati che a sua volta alimenta furti e data breach.
COMMENTI