Ad inizio luglio l’Autorità Garante per la protezione dei dati personali ha presentato la relazione annuale 2021, sull’attività svolta nel secondo anno di mandato del Collegio composto da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia e Guido Scorza. I dati contenuti nella relazione mostrano un significativo incremento dei provvedimenti collegiali (che aumentano del 56% rispetto all’anno precedente) e delle notifiche di data breach (anche in questo caso parliamo di un aumento superiore al 50% rispetto al 2020). Cosa si evince dalla relazione? Quali aspetti da attenzionare?
I dati più rilevanti
Comparando la relazione 2020 del Garante con l’ultima relazione annuale appena pubblicata, si evince un significativo incremento non solo del numero dei provvedimenti collegiali (che passano da 278 a 448) e delle notifiche di violazioni dei dati (da 1387 a 2071): al DPO saltano all’occhio anche i numeri, tutti in aumento, relativi ai pareri su schemi di atti legislativi o regolamentari; le audizioni parlamentari; le ispezioni; i riscontri a reclami e segnalazioni; le decisioni prese sugli stessi.
Alcune di queste statistiche fanno ben sperare. Se pensiamo all’ammontare complessivo di audizioni parlamentari, richieste anche di là dalla sola consultazione obbligatoria, comprendiamo come si stia diffondendo la consapevolezza dell’esigenza di progettare le riforme secondo una prospettiva “privacy-oriented”, per promuovere innovazioni che considerino sempre la “persona al centro” (come ha ricordato il Presidente della Repubblica, analogamente al preambolo della Carta di Nizza).
Il coinvolgimento dell’Autorità Garante, ad esempio, è stato determinante per quanto riguarda le scelte relative alla disciplina sul Green Pass - coinvolgimento che ha permesso di raggiungere un equilibrio ragionevole tra esigenze di sanità pubblica e di riservatezza individuale - e per quanto riguarda il fenomeno del telemarketing illecito - con il tanto atteso superamento dell’impasse nella piena applicazione della legge 5/2018 e del nuovo regolamento sul registro pubblico delle opposizioni.
D’altro canto, i dati relativi a reclami e segnalazioni, sovente sfociati in provvedimenti prescrittivi e sanzionatori, mostrano come ci siano ancora delle importanti criticità da arginare. La relazione 2021 prende le mosse proprio da questo: “Nel quadro di un notevole incremento complessivo del volume di atti pervenuti all’Autorità (segnalazioni/reclami, quesiti, richieste di parere, di accesso agli atti) e da questa formati (sez. IV, tab. 1) – il protrarsi per il secondo anno dello stato di emergenza sanitaria dà solo in parte conto dell’attività del Garante”.
I principali temi, dalla pandemia alla guerra (anche) cibernetica
Nel corso del 2021 il Garante ha affrontato grandi temi relativi alla tutela dei diritti fondamentali delle persone nel mondo digitale. Questi temi vengono riassunti nella sintesi per la stampa: si tratta, in particolare, delle implicazioni etiche della tecnologia; dell’economia fondata sui dati; delle grandi piattaforme e della tutela dei minori; del tema dei big data; dell’intelligenza artificiale e delle problematiche poste dagli algoritmi; degli scenari tracciati dalle neuroscienze; della sicurezza dei sistemi e la protezione dello spazio cibernetico; del diffondersi di sistemi di riconoscimento facciale; della monetizzazione delle informazioni personali; dei fenomeni del revenge porn e dello sharenting.
Fra tutte le questioni sopra elencate, ha dichiarato il presidente dell’Autorità Garante Pasquale Stanzione, la privacy ha dimostrato di essere un “diritto mai tiranno”, sempre in grado di “promuovere la sinergia tra innovazione e libertà”.
Lo sviluppo dirompente della digitalizzazione, favorito dalla pandemia, ha però evidenziato alcune importanti zone d’ombra, che si sono allargate nel contesto della prima guerra sia tradizionale che cibernetica.
- In primo luogo, il Garante cita le stime del World Economic Forum sugli attacchi ransomware, in aumento del 151%. L’Autorità ricorda che ciascun incidente può determinare una perdita aziendale quantificabile, secondo il Ponemon Institute (istituto indipendente di ricerca ed educazione in materia di sicurezza e privacy), in 4,24 milioni di dollari. Ecco perché imprese ed enti dovrebbero considerare la privacy non come un costo ma come un “fattore di competitività, oltre che una risorsa reputazionale importante”. Proprio la transazione al digitale ha esposto il fronte cibernetico ad attacchi da parte della criminalità informatica, attacchi che hanno colpito (anche) enti pubblici, catene di approvvigionamento e reti sanitarie. Un terzo dei trecento cyber attack verificatisi tra Russia, Ucraina e Bielorussia, infatti, ha avuto implicazioni all’interno dell’Unione europea.
- In secondo luogo l’accentuarsi dell’esposizione online delle nostre vite ha mutato la percezione collettiva di “vulnerabilità informatica”. Uno studio del Censis, ha mostrato che l’81,7% degli italiani teme di finire vittima di furti e violazioni dei propri dati personali sul web. Una cyber-paura diffusa, trasversale al corpo sociale, che condiziona il rapporto con il digitale.
Digital life e (in)sicurezza informatica
La “digital life” ha esposto le insicurezze informatiche degli italiani. Phishing, ransomware, trojan, malware sono concetti sempre più diffusi: sono infatti significative le quote di italiani che hanno avuto esperienza di attacchi; sono sempre più le organizzazioni che si sono trovate a gestire violazioni di dati personali (data breaches).
Al 64,6% dei cittadini è capitato di essere bersaglio di email ingannevoli, il cui intento era estorcere informazioni personali sensibili; il 44,9% ha avuto il proprio pc/laptop infettato da un virus; il 19,5% degli occupati ha sperimentato attacchi informatici con danni agli account social o al sito web della propria azienda; il 14,7% degli attacchi hanno causato la perdita di dati e informazioni aziendali.
L’accresciuta esperienza dei rischi, tuttavia, non sempre si accompagna ad un’accresciuta consapevolezza dei rimedi e delle misure per prevenire (cybersecurity). Proprio la sicurezza informatica dovrebbe consolidarsi, nell’ambito della digital life, come un investimento sociale di interesse collettivo, in grado di rendere cittadini, aziende, istituzioni meno esposti ad attacchi malevoli, e ridurre i conseguenti costi sociali ed economici potenzialmente elevatissimi. Tuttavia, gli studi condotti dal Censis mostrano che solo il 24,3% degli italiani conosce precisamente cosa si intende per cybersecurity; quasi 4 italiani su 10 sono indifferenti o non si tutelano contro gli attacchi informatici; solo il 39,7% degli occupati dichiara di aver avuto in azienda una qualche formazione specifica sulla cybersecurity.
Strategie istituzionali…
Le istituzioni europee stanno già agendo, consapevoli che gli avversari della cybersecurity non sono più i singoli hacker ma potenti e moderne organizzazioni, in grado di unire raffinate competenze con le più avanzate soluzioni tecnologiche (dall’intelligenza artificiale al machine learning). Per questo Pasquale Stanzione ha dichiarato “lungimirante” la scelta dell’UE di aggiornare la propria strategia di cybersecurity, proponendo anche una nuova direttiva (la NIS2) maggiormente calibrata sulle sfide attuali.
Anche in ambito nazionale, l’Italia, con il decreto-legge n. 82/2021, ha introdotto significative innovazioni sul tema, ridefinendo l’architettura nazionale in materia di sicurezza informatica e istituendo l’Agenzia per la Cybersicurezza Nazionale (ACN). L’Agenzia collabora con il Garante, sulla base di un apposito protocollo d’intesa, per la governance del digitale e in relazione agli incidenti che comportino data breaches. Parte essenziale della strategia nazionale, inoltre, è costituita dalla campagna informativa, condotta da ACN, Garante e CSIRT (il Computer Security Incident Response Team) su vari aspetti del cybercrime. L’Autorità Garante, in particolare, ha dedicato specifici focus informativi volti a sensibilizzare su:
- i rischi derivanti dalla raccolta di informazioni da parte delle app tramite l’uso dei microfoni;
- come impostare password sicure;
- le conseguenze derivanti da un uso poco consapevole della rete quali: il cyberbullismo e il revenge porn, il sexting, il deep fake, l’hate speech;
- il telemarketing aggressivo;
- il tracciamento attraverso i cookies da parte dei gestori dei siti;
- il controllo dei lavoratori e i diritti dei rider;
- le bodycam e il riconoscimento facciale.
Tanti altri temi sono stati affrontati e approfonditi nel corso di convegni e di programmi di formazione e informazione.
…Strategie aziendali
Le organizzazioni dovrebbero prendere spunto dalle iniziative intraprese dalle istituzioni, sia a livello di strategia per la difesa dalle minacce per i dati personali, che a livello di formazione.
Per quanto riguarda il primo punto, imprese ed enti dovrebbero valutare la possibilità di implementare a loro volta una strategia intenzionale e organizzata di soggetti e processi, per tutelare le risorse digitali d’impresa - e i dati personali ivi inclusi - da attacchi ostili esterni. Sul piano concreto, tale strategia dovrebbe definire il ricorso a tecnologie, strumenti, processi e azioni, per rispondere all’obiettivo di tutelare sistemi, dispositivi e dati trattati. Per la scelta delle azioni e dei mezzi da inserire nella strategia, si ricorda il ruolo fondamentale della valutazione dei rischi: ogni soggetto che dispone di tecnologie digitali è chiamato ad effettuare una valutazione dei rischi relativi a riservatezza, integrità e disponibilità dei dati. Si legge nell’ultimo rapporto Censis, “se insicurezza e vulnerabilità informatica conducono a danni gravi, occorrono processi articolati di gestione del rischio tecnologico e digitale per prevenire o sventare attacchi o, eventualmente, mitigarne le conseguenze”.
Per quanto riguarda la formazione, le statistiche Censis mostrano la disponibilità dei soggetti occupati a partecipare ad iniziative didattiche aziendali: il 65,9% dei lavoratori intervistati vorrebbe seguire corsi specifici con focus sulla cybersecurity, che consentano loro di capire come evitare di diventare vittima ed eventualmente complice involontario degli attaccanti.
La mancanza di informazione e formazione su prevenzione e sicurezza informatica rende le persone altamente vulnerabili alle minacce. Il Censis spiega che molte persone, ancora oggi, credono che determinate violazioni siano o fossero “fatalisticamente inevitabili”, alla stregua di un temporale o di un evento atmosferico avverso. Questo tipo di approccio passivo rappresenta una grave minaccia per le organizzazioni. Su un piatto della bilancia abbiamo l’esperienza degli attacchi informatici e le notizie di violazioni / data breaches; sull’altro piatto, ben più leggero, abbiamo le informazioni su come agire e prevenire.
Obiettivi per l’Autorità, obiettivi per i DPO
“Autodeterminazione informativa” significa dare agli interessati i mezzi per capire, sia che si tratti di un determinato trattamento, sia che si tratti di un rischio informatico da evitare con la giusta prevenzione e consapevolezza. Questo rappresenta un obiettivo importante per l’Autorità Garante, come si evince da quanto dichiarato da Pasquale Stanzione nel discorso di presentazione della nuova relazione annuale: “in un contesto in cui i dati, anche e soprattutto personali, rappresentano le principali e più rilevanti risorse per l’economia, per la ricerca, per la crescita sociale, per l’attività politico-istituzionale, l’autodeterminazione informativa assurge, infatti, a presupposto ineludibile di altri diritti e libertà fondamentali, per la promozione dell’umanesimo digitale”.
Al contempo, lo stesso obiettivo dovrebbe essere perseguito da tutte le organizzazioni, con il supporto dei DPO. Proprio i DPO, in questa fase, hanno il ruolo fondamentale di sorvegliare l’osservanza del GDPR, anche attraverso la valutazione delle esigenze formative, all’interno di una determinata realtà, per perseguire l’obiettivo comune dell’autodeterminazione informativa. “L’obiettivo da perseguire è promuovere una vera e propria civiltà digitale, in cui la direzione dell’innovazione sia ancora agita e non subita dall’uomo”.
Per restare informato sulle principali novità e mantenere il livello di “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati” conforme a quanto richiesto dal GDPR ed ai trattamenti svolti dalle imprese / enti che segui, ti suggeriamo di valutare l’adesione all’Associazione e di iscriverti alla newsletter.
Oppure contattaci per avere ulteriori informazioni sui vantaggi che puoi acquisire nell’associarti.