Beh, sono state poche settimane movimentate. Mentre passavamo l'anniversario di un anno dall'implementazione del GDPR, sembrava che molte organizzazioni fossero rimaste relativamente indenni dalla minaccia di sanzioni finanziarie per il mancato rispetto del nuovo regolamento.
Secondo l'European Data Protection Board, i regolatori di 11 paesi hanno emesso multe per un totale di 55,96 milioni di euro per violazioni del GDPR. Tuttavia, il grosso di questa cifra riguardava la multa di 50 milioni di euro emessa a Google dalla commissione francese per la protezione dei dati (CNIL). L'azienda era stata ritenuta responsabile del trattamento dei dati personali per scopi pubblicitari senza ottenere il permesso richiesto dal GDPR.
Le organizzazioni hanno tirato un sospiro di sollievo collettivo per il fatto che le multe non erano così diffuse come inizialmente previsto, ma nel corso di due giorni, l'Information Commissioner's Office (ICO) ha scatenato la sua potenza.
British Airways è stata multata di 183 milioni di sterline per una violazione della sicurezza che ha esposto i dati personali di oltre 565.000 clienti. E solo un giorno dopo, il gruppo alberghiero internazionale Marriott, è stato multato di 99,2 milioni di sterline per un'enorme violazione dei dati che ha esposto i dati personali di 339 milioni di ospiti in tutto il mondo. L'ICO ha confermato che circa 30 milioni di record violati riguardavano i residenti di 31 paesi dello Spazio economico europeo.
Vale la pena notare che in entrambi i casi, l'ICO non ha imposto la multa massima del 4% del fatturato annuo globale. Le multe dipendono dalla gravità della violazione e dal livello di cooperazione. British Airways ha cooperato pienamente con l'ICO ed è stata a sua volta multata dell'1,5% del suo fatturato annuo globale. Se l'ICO avesse richiesto il massimo 4% del fatturato totale della compagnia, la multa avrebbe potuto essere di ben 489 milioni di sterline.
Chiaramente, entrambe le multe sono un game-changer per il GDPR e hanno aperto la strada a multe ancora più grandi da emettere in futuro. L'ICO ha dimostrato quanto seriamente intende prendere le violazioni del regolamento e le organizzazioni sono diventate acutamente consapevoli delle conseguenze della non conformità
GDPR nel 2019 - Cosa ci hanno insegnato gli ultimi 12 mesi?
Gli ultimi 12 mesi sono stati una ripida curva di apprendimento per molte organizzazioni. La conformità al GDPR non sarebbe mai stata un processo facile, ma per alcune organizzazioni, soprattutto le grandi multinazionali, si è rivelato un compito arduo. Enormi quantità di dati sparsi su una grande varietà di piattaforme, punti di accesso infiniti e un aumento delle richieste di dati hanno reso la conformità più difficile di quanto molti potessero immaginare.
Il GDPR ha certamente lasciato il segno nel mondo e nel corso di un anno ha portato a quanto segue:
Aumento dei rapporti
Il GDPR sembra incoraggiare le segnalazioni di violazione dei dati con quasi 60.000 segnalazioni presentate dall'entrata in vigore della legge sulla privacy il 25 maggio 2018. Le violazioni dei dati variavano in gravità da violazioni minori a grandi cyber-attacchi che hanno colpito milioni di persone.
Anche i consumatori sono diventati più consapevoli dei loro diritti alla privacy. Dopo l'entrata in vigore del GDPR, l'ICO ha riportato un aumento del 160% dei reclami, e la commissione irlandese per la protezione dei dati ha registrato 6000 reclami nello stesso periodo.
Necessità di assicurare la catena di approvvigionamento
Gli attacchi a British Airways e Marriott evidenziano ancora una volta le difficoltà che si incontrano nel rendere sicura la catena di approvvigionamento di un'azienda. La violazione BA ha tutte le caratteristiche di un attacco Magecart. Il gruppo di minacce è noto per l'iniezione di script di card-skimming nei domini e-commerce vulnerabili. Per ottenere l'accesso ai preziosi dati dei clienti di BA, si pensa che il gruppo abbia sfruttato una vulnerabilità in una vecchia versione della piattaforma e-commerce Magento, utilizzata dall'azienda.
Nel caso di Marriott, si dice che la violazione abbia avuto origine nel database delle prenotazioni degli ospiti di Starwood, prima che la società si fondesse con Marriott. I criminali informatici sembrano aver spostato le loro strategie e piuttosto che prendere di mira una società direttamente, stanno tentando di infliggere danni sfruttando le vulnerabilità nella sua rete della catena di approvvigionamento.
Per evitare di cadere in fallo con la legislazione, le organizzazioni dovranno condurre valutazioni di rischio dettagliate dei fornitori e monitorare la loro conformità al GDPR.
Necessità di formazione del personale
Il GDPR afferma che i dipendenti devono ricevere regolarmente una formazione di consapevolezza del personale sulla sicurezza delle informazioni. La formazione è fondamentale per garantire che il personale sia a conoscenza delle politiche aziendali, dei regolamenti e dei requisiti legali che si applicano al loro ruolo quotidiano.
Infatti, l'ICO chiede specificamente sul loro modulo di notifica di violazione dei dati personali se il personale coinvolto nella violazione ha ricevuto una formazione sulla protezione dei dati negli ultimi 2 anni. Se le organizzazioni non sono in grado di dimostrarlo, saranno fatte ulteriori indagini.
Le organizzazioni devono dimostrare che il personale ha letto e compreso le politiche GDPR. Essere in grado di dimostrare questo mette le organizzazioni in una posizione forte per dimostrare che la "Privacy" è diventata parte integrante del loro business quotidiano.
Importanza dei responsabili della protezione dei dati (DPO)
Secondo lo IAPP, si stima che più di 500.000 organizzazioni abbiano registrato DPO dall'entrata in vigore del GDPR. I responsabili della protezione dei dati giocano un ruolo importante nella protezione della privacy e sono centrali per una responsabilità efficace. Per le organizzazioni che svolgono alcuni tipi di attività di trattamento, è obbligatorio nominare un DPO.
Un DPO deve essere nominato se:
- Sei un'autorità pubblica
- le vostre attività principali richiedono un monitoraggio su larga scala, regolare e sistematico degli individui
- le vostre attività principali consistono nel trattamento su larga scala di categorie speciali di dati o di dati relativi a condanne penali e reati
Il DPO dovrebbe essere un esperto del GDPR e delle pratiche di privacy, in quanto è responsabile del monitoraggio e del reporting della conformità al GDPR. Ci si aspetta che i DPO aiutino a guidare i controllori e i responsabili del trattamento dei dati controllando la conformità interna e suggerendo raccomandazioni correttive adeguate, se necessario.
Quindi, cosa c'è dopo il GDPR?
Nel giro di un anno, il GDPR ha modellato in modo massiccio il panorama globale della privacy. Il regolamento ha spinto molti altri paesi del mondo a dare un'occhiata più da vicino alle loro leggi sulla sicurezza e sulla privacy.
L'Argentina e il Giappone hanno già iniziato ad allineare la loro legislazione nazionale sulla protezione dei dati con il GDPR, e il Brasile ha implementato una legislazione simile chiamata Legge generale sulla protezione dei dati che entrerà in vigore il 15 agosto 2020.
All'interno degli Stati Uniti, gli stati di California, New York e Colorado hanno approvato leggi locali sulla privacy dei dati e il Congresso degli Stati Uniti sta prendendo in considerazione una legge federale sulla privacy dei dati, mentre aumenta la pressione per una protezione dei dati più rigorosa in tutto il paese.
Non c'è dubbio che il GDPR sia stato una forza per il bene e abbia spinto le organizzazioni a prendere più seriamente la protezione della privacy. Se rispettato correttamente, il GDPR permette alle organizzazioni di diventare più sicure dal punto di vista informatico, efficienti e competitive sul mercato.
Dimostrando la conformità al GDPR, è probabile che le aziende beneficino di una riduzione del rischio organizzativo e costruiscano maggiori livelli di fiducia con i loro clienti. Questa trasparenza, a sua volta, migliorerà la reputazione del marchio e porterà allo sviluppo di relazioni più significative.
Tuttavia, poiché il crimine informatico si evolve e i criminali diventano più ingannevoli nei loro metodi di attacco, le organizzazioni avranno bisogno di affrontare continuamente i rischi per la privacy e la sicurezza per garantire che siano responsabili dei dati personali che detengono e conformi alla legislazione.
MetaPrivacy è stato progettato per fornire l'approccio migliore alla conformità alla privacy dei dati. Contattaci per ulteriori informazioni su come possiamo aiutare la vostra organizzazione a migliorare la sua struttura di conformità.
DISCLAIMER: Il contenuto e le opinioni di questo blog sono solo a scopo informativo. Non sono intesi a costituire una consulenza legale o professionale e non devono essere considerati o trattati come un sostituto di consigli specifici relativi a circostanze particolari, il Data Protection Act, o qualsiasi altra legislazione attuale o futura. MetaCompliance non accetta alcuna responsabilità per eventuali errori, omissioni o dichiarazioni fuorvianti, o per qualsiasi perdita che possa derivare dall'affidamento sui materiali contenuti in questo blog.