Sistemi informativi, allarme per la sicurezza alla luce dei più recenti accertamenti

Il mondo delle imprese attraversa un periodo di veloce, inarrestabile ed intensa innovazione, guidata anche da nuovi tipi di tecnologie e di modalità di fruizione dei servizi, quelli delle cosiddette “nuvole informatiche”, che offrono sì una serie di opportunità in termini di efficienza e risparmio, ma possono comportare criticità e costi nascosti di cui tener comunque conto.

Posto l’onere di ogni Titolare di tenere in sicurezza i propri sistemi informativi, così da conservare l’integrità del proprio patrimonio di dati, che succede a questo se arriva un accertamento?

L’argomento è di ricorrente attualità perché anche questo anno , l’Autorità Garante per la Privacy, con una newsletter, ci ha informato su quali verifiche ha fatto o intende fare nel 2012 e che cosa ha già controllato.

In tale comunicato, diffuso il 22 agosto, l’Autorità non solo ha preannunciato che effettuerà almeno 220 accertamenti entro la fine dell’anno ma ha fornito anche il bilancio provvisorio dell’attività ispettiva svolta nel primo semestre del 2012, consistente, anticipiamo un solo dato, in 174 ispezioni.

Tale attività, quella di “accertamento e verifica” è stata attivata dal Garante a partire dal 2002 e, quindi, a fine di quest’anno potremmo tracciarne un vero e proprio bilancio decennale, che si svolge sulla base di una programmazione semestrale, che individua i trattamenti di dati oggetto di accertamento, cui poi si sommano le ispezioni che si sono rese necessarie a seguito di segnalazioni o reclami pervenuti all’Autorità.

Le ispezioni effettuate dall’Autorità da allora a fine anno complessivamente supereranno le 3.500 e, dopo un avvio numericamente modesto, si sono attestate su una media di 4/500 per ogni anno, come si evince dall’elenco sottostante.

Ispezioni e accertamenti effettuati per ogni anno:

  • Anno 2002, 40 ispezioni;

  • Anno 2003, 69 ispezioni;

  • Anno 2004, 100 ispezioni;

  • Anno 2005, 230 ispezioni;

  • Anno 2006, 350 ispezioni;

  • Anno 2007, 452 ispezioni;

  • Anno 2008, 500 ispezioni .

  • Anno 2009, 500 ispezioni

  • Anno 2010, 474 ispezioni

  • Anno 2011, 447 ispezioni

  • Anno 2012, 394 ispezioni (stimate)

Il bilancio reso noto dall’Autorità sull’attività ispettiva dei primi sei mesi del 2012, ricordiamo, registra 174 ispezioni effettuate, ma anche l’avvio, per il momento, di ben 255 procedimenti sanzionatori relativi, in larga parte, alla omessa informativa, al trattamento illecito dei dati, al mancato rispetto delle norme in materia di telemarketing, alla mancata adozione di misure di sicurezza, alla inosservanza dei provvedimenti dell’Autorità.

L’ammontare delle sanzioni già incassate nel corso del semestre è stato di oltre 1,6 milioni di euro e le segnalazioni inoltrate all’autorità giudiziaria per violazioni penali sono state ben 33

E dalla lettura di tale bilancio emerge chiaramente la poca attenzione dei Titolari del trattamento nel proteggere, attraverso l’adozione di efficaci misure di sicurezza, i sistemi informativi di loro spettanza.

Ma la cosa più preoccupante di tale bilancio, se letto assieme con quello dell’intera attività di accertamento effettuata dall’Autorità, è che anno dopo anno, i procedimenti sanzionatori apertisi a seguito delle ispezioni crescono percentualmente in maniera consistente.

Facciamo al riguardo un breve esame del rapporto tra gli accertamenti fatti negli ultimi sette anni e i procedimenti sanzionatori che da questi sono derivati.

Nel 2006 l’Autorità ha effettuato 350 accertamenti, che hanno portato alla contestazione di 158 violazioni amministrative: per la precisione il 45,14% degli accertamenti ha evidenziato una mancata applicazione delle misure di legge a protezione dei dati personali da parte dei Titolari del trattamento.

Nell’anno successivo, il 2007, le verifiche salgono a 452 e le relative violazioni amministrative 228; quindi la percentuale di Titolari che non hanno ottemperato alle norme di tutela dei dati personali è lievemente cresciuta, arrivando a toccare il 50,44 %.

Nel 2008 le ispezioni fanno un bel salto numerico, perché arrivano a quota 500 e le sanzioni amministrative contestate diventano 338 e sono inoltrate 12 segnalazioni all’Autorità giudiziaria. La percentuale dei Titolari che sono stati fatti oggetto di ispezione e che non hanno rispettato le misure di legge arriva a toccare il 67,60 %.

Nel 2009 le ispezioni rimangono a quota 500, ma le sanzioni amministrative contestate salgono a 368, e sono inoltrate 43 segnalazioni all’Autorità giudiziaria. La percentuale di Titolari inadempienti sale quindi ancora, attestandosi al 73,60 %.

Un altro salto in avanti della percentuale di Titolari inadempienti si ha l’anno successivo, il 2010, dove arriva fino all’89,45% ; il numero di ispezioni fatte ha, in realtà, una leggera flessione, fermandosi a 474 ma i procedimenti sanzionatori, relativi in larga parte alla omessa informativa, al trattamento illecito dei dati, alla mancata adozione di misure di sicurezza, all’ inosservanza dei provvedimenti del Garante sono 424, cui devono essere aggiunte le 55 segnalazioni all’autorità giudiziaria per violazioni penali.

Nel 2011 le ispezioni svolte sono 447, quindi calano ancora rispetto all’anno precedente, e calano anche i procedimenti sanzionatori, che si fermano a 358 (con un incasso però superiore ai 3 milioni di Euro), mentre le segnalazioni all’autorità giudiziaria per violazioni penali sono 37. Si registra in quest’anno, quindi, un’inversione di tendenza del consolidato trend di crescita del rapporto tra ispezioni e procedimenti sanzionatori, che toccano “soltanto” l’80,08% delle ispezioni.

Ma questo trend, che a prima vista sembra sintomatico di una maggiore attenzione alle politiche di tenuta in sicurezza dei dati personali da parte dei Titolari del trattamento che hanno avuto la ventura di ricevere un accertamento da parte del Garante non trova, però nessun riscontro nei dati forniti il 22 agosto scorso, anzi pare essere assolutamente rovesciato.

Facendo le somme, infatti, le ispezioni fatte del primo semestre del 2012 sono state 174, ma a queste ha fatto seguito, per il momento ( potrebbero esserci ancora provvedimenti da adottare, o a seguito di istruttorie relative a casi più complessi o di verifiche effettuate più recentemente) l’avvio di 255 procedimenti sanzionatori, relativi, in larga parte, a casi di omessa informativa, trattamento illecito dei dati, mancato rispetto delle norme in materia di telemarketing, mancata adozione di misure di sicurezza, inosservanza di provvedimenti dell’Autorità.

Le ispezioni hanno riguardato in particolare il settore telefonico, gli enti previdenziali e le società che gestiscono banche dati in outsourcing. L’ammontare delle sanzioni incassate nel corso del semestre è stato di oltre 1,6 milioni di euro e le segnalazioni all’autorità giudiziaria per violazioni penali sono state 33, e hanno riguardato tra l’altro l’accesso abusivo a sistema informatico, la mancata adozione delle misure di sicurezza, la falsità nelle dichiarazioni e nelle notificazioni, il mancato adempimento ai provvedimenti del Garante.

Ma, dettagli a parte, di quest’ultima comunicazione dell’Autorità lascia sorpresi la percentuale tra verifiche fatte e numero di procedimenti sanzionatori avviati, cioè tra 174 e 255, un rapporto percentuale del 146,55.

Ma che cosa può essere successo per arrivare ad una situazione così disastrosa di mancata adozione delle misure di tutela della sicurezza e della privacy ?

Il quadro sarà certamente chiarito dal Garante Privacy nella sua Relazione annuale dell’attività del 2012, che però sarà pubblicata l’anno prossimo.

Al momento si deve però registrare, senza alcun dubbio, una minore attenzione alla protezione e sicurezza dei dati personali da parte dei Titolari del trattamento che hanno ricevuto la visita degli ispettori, sperando che per gli altri la situazione da verificare non porti alle stesse conseguenze.

Polito Filomena

Scrivi un commento

Accedi per poter inserire un commento