Un’indagine di Federprivacy ha messo in luce tutto ciò che già sapevamo e che era ben noto. Nonostante il Regolamento Europeo 679/2016 sia entrato definitivamente in vigore il 25 Maggio 2018 e sia appena scaduto il termine di tolleranza previsto dal D. Lgs. 101/2018, solo nella PA, risulta che solo un’organizzazione su quattro si è messa in regola.

I dati dei cittadini sono pertanto ad elevato rischio e, a conferma di ciò, i recenti attacchi non solo di Anonymous, ma anche di hacker professionisti a siti istituzionali quali quello proprio al sito del Garante, dimostrano come manchi non solo la volontà di adempiere ad un ben preciso obbligo, ma come alla base di ciò vi sia una mancanza della cultura e dell’educazione alla protezione dei dati. Si tratta probabilmente di un atteggiamento semplicistico, di faciloneria nella gestione o anche nella certezza dell’impunità del quale, purtroppo, molti ne pagheranno le conseguenze quando sarà troppo tardi.

Dopo la corsa che sembrava iniziata un anno fa, alla più importante delle scadenze previste, tutto è rallentato, complice forse anche il termine concesso nel già citato D. Lgs. 101 che da molti è stato preso come l’ennesimo rinvio quando, invece, era solo un invito al Garante di tenere la mano leggera nell’applicare le sanzioni. Mano leggera che probabilmente vi è stata anche se, verosimilmente, sono ben pochi i procedimenti ad oggi conclusi con la nuova normativa. In ogni caso nel 2018 le varie autorità garanti hanno emesso sanzioni per circa 56 milioni di euro e l’Italia è al quinto posto in questa non invidiabile classifica.

Federprivacy avverte poi come siano per lo più dipendenti di società private e liberi professionisti coloro che maggiormente seguono percorsi formativi sulla tutela dei dati, rispetto ad un numero esiguo di dipendenti pubblici, sintomo evidente non solo di mancanza di interesse alla materia, ma anche della mancanza di una cultura volta alla protezione del dato e alla riservatezza che sono alla base della disciplina che, ricordiamolo, vede al suo centro l’interessato che, in questo caso è il cittadino utente di cui la Pubblica Amministrazione dovrebbe essere il vero guardiano del dato. E non dimentichiamo che i dati anagrafici sono quelli che maggiormente possono far gola ad hacker professionisti e aziende di profilazione.

Maggiore attenzione si riscontra nel privato dove, peraltro, è più verosimile che questa trovi origine nel timore di sanzioni, e nei professionisti che vedono nel GDPR un’opportunità di lavoro, magari come DPO, pur esistendo ancora alcune zone d’ombra sulle funzioni e sul ruolo di questa figura.

Sempre sulla base dell’analisi condotta, Federprivacy rende noto che il 47% dei comuni italiani era indicato come “non sicuro” a causa delle connessioni usate e dall’uso di form di contatto non certo ottimali. Non solo dati sensibili a rischio, ma anche strada spianata a sanzioni che possono arrivare fino a dieci milioni di euro. Non certo noccioline per il bilancio di enti che, notoriamente, non navigano certo nell’oro. Non sarà certo semplice per molte amministrazioni adeguarsi e, in caso di data breach, dimostrare di aver adottato tutte le misure di sicurezza tecniche e organizzative previste dal GDPR per essere conformi.

Ulteriore interessante e drammatico aspetto, il 36% dei comuni non rendeva disponibili i dati di contatto del DPO, figura obbligatoria per la PA che, così facendo, impediva ai cittadini di poter esercitare i propri diritti. Altre lacune riscontrate sono state informative redatte ancora secondo la precedente normativa oltretutto abrogata e una policy difforme sui cookies.

In sintesi una situazione che è stata definita allarmante, con casi in cui ci si è limitati alla nomina di un DPO senza poi neppure dotarlo di un budget e abbandonandolo a se stesso.