Secondo il report annuale dell’EDPS, la digitalizzazione ha comportato maggiori rischi alla privacy, con un aumento del 20% delle notifiche di violazione rispetto al 2019
La spinta verso la digitalizzazione, sostenuta in modo indiretto anche dalla crisi sanitaria, ha comportato ulteriori rischi e nuove minacce sul fronte della privacy. È il quadro emerso dall’ultimo report dell’EDPS, il Garante europeo per la privacy, il quale evidenzia le criticità relative alla sicurezza e alla protezione dei dati. Stando a quanto si evince dalla ricerca, “il 2020 è stato un anno extra-ordinario, ma che imporrà a istituzioni e società impegnate nella data protection un impegno sempre crescente”.
Infatti, l’utilizzo della tecnologia ha coinvolto, e coinvolgerà in futuro, qualsivoglia processo organizzativo, produttivo e decisionale, allargando la base dei trattamenti effettuati e aumentando il numero degli incidenti. Basti pensare che nel corso del 2020 anche le iniziative volte a contrastare la diffusione del virus hanno concorso alla creazione di nuovi flussi di dati non adeguatamente controllati. In questo senso, l’EDPS vi ha dedicato buona parte della propria attività; nello specifico rivolte ai sistemi di contact tracing e alle modalità di rilevazione della temperatura.
Il report ha riservato ampio spazio anche all’analisi dei data breach avvenuti nel 2020. Il Garante europeo ha ricevuto 121 nuove notifiche di violazione dei dati, registrando un aumento del 20% rispetto alle segnalazioni ricevute nel 2019. Il 93% delle violazioni ha compromesso la riservatezza dei dati coinvolti, mentre l’errore umano è rimasto la causa principale delle violazioni notificate (anche a causa del lavoro da remoto). L’EDPS inoltre ha rilevato un significativo aumento degli incidenti provocati da attacchi esterni.
Per quanto riguarda invece la gravità delle violazioni, il Garante europeo ha evidenziato che il 50% di esse ha coinvolto i dati di un numero di individui compreso tra 1 e 10. Soltanto 8 segnalazioni su 121 hanno compromesso i dati di più di 1000 persone. Tuttavia, in 45 casi è stata inviata agli interessati la comunicazione obbligatoria di avvenuto data breach, prevista dall’art. 35 del Regolamento Ue qualora la violazione esponga i loro diritti e libertà a possibili gravi rischi. Infine, il 23% delle violazioni ha avuto un impatto su categorie particolari di dati, sanitari e giudiziari.