Multe da 56 milioni di euro: risultati dell'anno con il GDPR

Sono stati pubblicati i dati sull'importo totale delle multe per violazioni delle norme.

/ foto Bankenverband PD

Chi ha pubblicato il rapporto sull'importo delle multe

Il Regolamento generale sulla protezione dei dati compirà solo un anno a maggio, ma i regolatori europei lo hanno già fatto risultati. Nel febbraio 2019 è stato pubblicato un rapporto sui risultati del GDPR da parte del Comitato europeo per la protezione dei dati (EDPB), l’organismo che vigila sul rispetto del regolamento.

Prime sanzioni secondo il GDPR erano basso a causa dell’impreparazione delle imprese all’entrata in vigore della regolamentazione. In sostanza, i trasgressori hanno pagato non più di qualche centinaio di migliaia di euro. Tuttavia, l’importo totale delle sanzioni si è rivelato piuttosto impressionante: quasi 56 milioni di euro.Nel rapporto l’EDPB ha fornito altre informazioni sul “rapporto” tra le aziende IT e i loro clienti.

Cosa dice il documento e chi ha già pagato la multa?

Da quando il regolamento è entrato in vigore, i regolatori europei hanno aperto circa 206mila casi di violazioni della sicurezza dei dati personali. Quasi la metà (94) si basavano su denunce di privati. I cittadini dell'UE possono presentare un reclamo in merito a violazioni nel trattamento e nell'archiviazione dei propri dati personali e contattare le autorità nazionali di regolamentazione, dopodiché il caso verrà indagato nella giurisdizione di un determinato paese.

Gli argomenti principali ai quali si riferivano i reclami degli europei erano le violazioni dei diritti dei soggetti in materia di dati personali e dei diritti dei consumatori, nonché le fughe di dati personali.

Altri 64 casi sono stati aperti in seguito alla notifica di fuga di dati da parte delle aziende responsabili dell'incidente. Non si sa esattamente quanti casi abbiano portato a multe, ma in totale i trasgressori hanno pagato 864 milioni di euro. secondo esperti di sicurezza informatica, la maggior parte di questo importo dovrà essere versata a Google. Nel gennaio 2019, l’autorità di regolamentazione francese CNIL ha imposto una multa di 50 milioni di euro al colosso informatico.

Il procedimento in questo caso è durato dal primo giorno dell'entrata in vigore del GDPR: l'attivista austriaco per la protezione dei dati Max Schrems ha presentato una denuncia contro la società. La causa dell'insoddisfazione dell'attivista acciaio formulazione non sufficientemente precisa nel consenso al trattamento dei dati personali, che gli utenti accettano quando creano un account da dispositivi Android.

Prima del caso del gigante informatico, le sanzioni per il mancato rispetto del GDPR erano notevolmente più basse. Nel settembre 2018, un ospedale portoghese ha pagato 400mila euro per una vulnerabilità nel suo sistema di archiviazione medica. record e 20mila euro: un'applicazione di chat tedesca (i login e le password dei clienti venivano archiviati in forma non crittografata).

Cosa dicono gli esperti sulla normativa

Le autorità di regolamentazione ritengono che dopo nove mesi il GDPR abbia dimostrato la sua efficacia. Secondo loro, il regolamento ha contribuito ad attirare l'attenzione degli utenti sulla questione della sicurezza dei propri dati.

Gli esperti evidenziano anche alcune carenze emerse durante il primo anno di regolamentazione. Il più importante di questi è la mancanza di un sistema unificato per determinare l'importo delle multe. Di secondo avvocati, la mancanza di norme generalmente accettate porta a un gran numero di ricorsi. I reclami devono essere trattati dalle commissioni per la protezione dei dati, il che significa che le autorità sono costrette a dedicare meno tempo ai ricorsi dei cittadini dell’UE.

Per affrontare questo problema, le autorità di regolamentazione del Regno Unito, della Norvegia e dei Paesi Bassi lo hanno già fatto si stanno sviluppando regole per determinare l’importo del recupero. Il documento raccoglierà i fattori che influenzano l’importo della sanzione: la durata dell’incidente, la velocità della risposta dell’azienda, il numero delle vittime della fuga di notizie.

/ foto Bankenverband CC BY-ND

Cosa c'è Next

Gli esperti ritengono che sia troppo presto perché le aziende IT si rilassino. È probabile che in futuro le sanzioni per il mancato rispetto del GDPR aumenteranno.

Il primo motivo sono le frequenti fughe di dati. Secondo le statistiche dei Paesi Bassi, dove le violazioni della conservazione dei dati personali sono state segnalate anche prima del GDPR, nel 2018 il numero di notifiche di fughe di informazioni è cresciuto due volte. Di secondo Secondo l’esperto di protezione dei dati Guy Bunker, quasi ogni giorno vengono alla luce nuove violazioni del GDPR e quindi, nel prossimo futuro, le autorità di regolamentazione inizieranno a trattare le aziende colpevoli in modo più duro.

La seconda ragione è la fine dell’approccio “soft”. Nel 2018, le multe erano l’ultima risorsa: la maggior parte dei regolatori cercavano di aiutare le aziende a proteggere i dati dei clienti. Tuttavia, in Europa sono già allo studio diversi casi che potrebbero comportare ingenti sanzioni ai sensi del GDPR.

Nel settembre 2018 si è verificata una fuga di dati su larga scala verificato alla British Airways. A causa di una vulnerabilità nel sistema di pagamento della compagnia aerea, gli hacker hanno avuto accesso per quindici giorni ai dati delle carte di credito dei clienti. Si stima che circa 400 persone siano state colpite dall'hacking. Specialisti della sicurezza informatica aspettareche la compagnia aerea può pagare la prima multa massima nel Regno Unito: sarà pari a 20 milioni di euro o al 4% del fatturato annuo della società (a seconda di quale importo sia maggiore).

Un altro contendente per una grave punizione finanziaria è Facebook. La Commissione irlandese per la protezione dei dati ha aperto dieci procedimenti contro il colosso informatico a causa di diverse violazioni del GDPR. Il più grande di questi si è verificato lo scorso settembre: una vulnerabilità nell'infrastruttura della rete sociale permesso hacker per ottenere token per l'accesso automatico. L’hacking ha colpito 50 milioni di utenti Facebook, 5 milioni dei quali residenti nell’UE. Secondo edizione ZDNet, questa sola violazione dei dati potrebbe costare all’azienda miliardi di dollari.

Di conseguenza, dovresti essere preparato al fatto che nel 2019 il GDPR mostrerà la sua forza e le autorità di regolamentazione non chiuderanno più un occhio sulle violazioni. Molto probabilmente in futuro ci saranno solo casi più eclatanti di violazione delle norme.

Post dal primo blog sull'IaaS aziendale:

• Cosa devi sapere su PCI DSS: una panoramica dello standard
• L'effetto del GDPR: come il nuovo regolamento ha influenzato l'ecosistema IT
• Regolamento del lavoro con dati personali in Russia e in Europa

Di cosa stiamo scrivendo? nel nostro canale Telegram:

• Chi supporta i progetti cloud - parliamo di quattro fondi open source
• Come gestire l'hardware in un data center: due nuove tecnologie
• Perché i dischi rigidi hanno meno probabilità di rompersi

Fonte: habr.com