Tutti sappiamo che il GDPR ha introdotto un obbligo molto stringente per le imprese: comunicare alle autorità, entro 72 ore, l'avvenuta scoperta di una "falla" nella sicurezza dei sistemi che può avere portato alla perdita o alla sottrazione di dati personali dei propri clienti (e non solo). La distribuzione delle segnalazioni di "data breach" imposte dal GDPR è quindi un indicatore - almeno qualitativo - dello stato della cyber security di una nazione.

Il team di cyber security dello studio legale internazionale DLA Piper ha appunto compilato un report che analizza la distribuzione delle comunicazioni di data breach che sono state fatte dal 25 maggio 2018, data di applicazione del GDPR, al 28 gennaio 2019, data scelta simbolicamente in quanto vi si è celebrato il Data Protection Day.

DLA Piper stima che nel periodo considerato ci siano state 59.430 notifiche di brecce per la sicurezza. La cifra è una stima "ragionata" e non una rilevazione oggettiva, comunque: alcune nazioni non hanno comunicato tutti i dati possibili riguardo agli otto mesi esaminati, mentre in altre non è obbligatorio rendere pubbliche le notifiche. Va poi ricordato che le notifiche riguardano violazioni anche molto diverse fra loro, spaziando dai messaggi di email che arrivano per errore a un destinatario diverso da quello previsto, a violazioni della sicurezza davvero macroscopiche.


Secondo i dati raccolti, le tre nazioni con più brecce comunicate sono nell'ordine l'Olanda (15.400 segnalazioni), la Germania (12.600) e il Regno Unito (10.600). Le "top tre" sono sensibilmente staccate dalle altre - al quarto posto c'è l'Irlanda con 3.800 segnalazioni - probabilmente per una maggiore attenzione culturale al problema della sicurezza e della privacy.

Ci sono nazioni che mostrano un numero di segnalazioni sin troppo basso per le loro dimensioni. È il caso anche dell'Italia, che cataloga solo 610 comunicazioni di "data breach" (0,9 brecce per centomila abitanti, il valore più basso della UE a parte la Grecia). Altre analisi indicano che il nostro Paese è tra quelli particolarmente virtuosi quando si tratta di GDPR, ma c'è anche la sensazione che alcune brecce si siano verificate ma non siano state segnalate.

Come si prevedeva, nei primi mesi di applicazione del GDPR le varie Authority sono state piuttosto clementi nelle loro sanzioni. A fronte di oltre 59 mila segnalazioni si contano per ora solo 91 multe comminate, di cui praticamente due terzi in Germania. Le somme in gioco sono state relativamente modeste, nell'ordine di qualche decina di migliaia di euro. Fanno eccezione solo la mega-multa di 50 milioni di euro data a Google in Francia e una sanzione di circa 80 mila euro per la pubblicazione di dati sanitari in Germania.

DLA Piper peraltro fa notare che le Authority non sono abituate a gestire una grande mole di segnalazioni, quindi è probabile che molte di esse non siano state ancora esaminate in dettaglio. E quindi che altre multe, magari più contenute, siano comunque in arrivo.