Il 2022 è stato un altro anno da record per ammontare complessivo di ammende comminate, ai sensi del GDPR, dalle Autorità di controllo privacy di tutta Europa. Contestualmente, abbiamo assistito all’acceso dibattito sul tema del trasferimento di dati oltreoceano (che ha coinvolto Autorità governative, Autorità di controllo e associazioni a tutela degli interessati) e all’affermarsi dell’Intelligenza Artificiale. Quali saranno i principali trend per il 2023? Conoscere le tendenze in anticipo, significa farsi trovare preparati alle sfide del futuro.
Un anno record per sanzioni: qualche dato
Nel corso del 2022 si stima che siano state comminate ammende per un totale di 1,64 miliardi di euro, con un incremento netto del 50% rispetto al totale di 1,09 miliardi di euro del 2021. Il cospicuo aumento dimostra la crescente fiducia e volontà delle autorità di controllo di imporre multe elevate per le violazioni del GDPR, in particolare nei confronti dei grandi provider di servizi online.
Al tempo stesso, bisogna evidenziare che i dati riportati sono stati influenzati dall’impatto fortemente inflazionistico dell’EDPB. Il Comitato europeo per la protezione dei dati, infatti, nei casi in cui, nel corso del 2022, è stato attivato il meccanismo di coerenza del GDPR, ha chiesto in media un aumento del 630% (!) rispetto all’ammenda originariamente proposta dall’autorità di controllo capofila. Ci aspettiamo quindi che, nel corso del 2023, le decisioni dell’EDBP orientino le scelte delle Autorità di controllo (in particolare nella commisurazione degli importi), contribuendo ad incrementare ulteriormente il valore complessivo delle sanzioni.
Fil rouge delle campagne ispettive che hanno condotto a sanzioni multi milionarie: l’ad-tech e la pubblicità comportamentale. Il gruppo META è stato destinatario di alcune delle multe più salate, con la Commissione irlandese per la protezione dei dati (la Data Protection Commission – “DPC”) che ha emesso sanzioni per 210 milioni di euro contro Facebook e di 180 milioni di euro contro Instagram, in relazione alle pratiche di profilazione degli annunci. Al centro della questione, l’accordo tra i fornitori di servizi online e i consumatori: social media, motori di ricerca e altri servizi innovativi vengono offerti al pubblico “gratuitamente” in cambio dei dati personali dei consumatori, che vengono poi monetizzati consentendo ai marchi di proporre pubblicità personalizzata. Le recenti decisioni contro Facebook e Instagram, sollevano la questione di come verranno pagati i servizi online. Consentire ai fornitori di raccogliere i dati personali, è diventato un prerequisito per finanziare l’innovazione e lo sviluppo di molte tecnologie avanzate, tecnologie che hanno portato (in gran parte) benefici alla società. Sicuramente il dibatto proseguirà nel corso del 2023, così come le indagini delle Autorità di controllo europee, mosse dai reclami di associazioni come NOYB (https://noyb.eu/en).
Le sfide del 2023: fra privacy e sicurezza
Le organizzazioni vanno quindi incontro ad una sfida importante: essere in grado di bilanciare l’accesso alle informazioni, con la privacy di consumatori e utenti. La difficoltà sarà quella di trovare le soluzioni e le misure GDPR compliant, per poter legittimamente accedere ai dati e sfruttarli per innovare e rimanere competitivi.
Al tempo stesso, si aggiunge la necessità di garantire la sicurezza delle informazioni raccolte, traguardo sempre più complesso da raggiungere. In una recente intervista a Forbes, Mo Plassing, Chief Product Officer di Immuta, azienda leader nella sicurezza dei dati, ha delineato alcune tendenze chiave che caratterizzeranno il panorama nell’anno a venire. Quali saranno le principali sfide per la sicurezza e la privacy dei dati che enti ed imprese dovranno affrontare nel 2023?
Il rinnovamento dei ruoli: CISO, CRO e DPO
In primo luogo, Plassing spiega come il ruolo dei responsabili della sicurezza IT / CISO (Chief Information Security Officer), dovrà necessariamente cambiare ed evolvere. Questo in quanto, gli strumenti e gli approcci tradizionali utilizzati per proteggere e tutelare le informazioni, non riescono più a tenere il passo con la rapida crescita delle fonti di dati, degli utenti dei sistemi e delle policy da applicare.
La necessità per le organizzazioni di essere guidate dai dati (data driven) è più che mai cruciale nell’ambiente aziendale odierno. Tuttavia, in recenti indagini, l’89% delle organizzazioni intervistate ha dichiarato di aver perso opportunità di business a causa di ostacoli nell’accesso ai dati. I CISO dovranno quindi modificare il loro approccio, mettendo in atto i controlli e i processi necessari per bilanciare efficacemente l’accesso ai dati con il mantenimento della sicurezza, confrontandosi costantemente con i DPO per garantire, al contempo, la conformità alla privacy.
In tale contesto si inserisce la figura del Cyber Resilience Officer (CRO). Con i rischi informatici ai massimi storici, nel corso del 2023, garantire la resilienza informatica rappresenterà la priorità per tutte le organizzazioni. Enti ed imprese dovranno adottare un approccio proattivo alla sicurezza IT, dotandosi di professionisti esperti in grado di anticipare gli attacchi informatici e prevenire il verificarsi delle minacce. A tutela dei dati personali, inoltre, dovranno essere introdotte nuove misure ad hoc, quali tecnologie di miglioramento della privacy (PET), per garantire, per impostazione predefinita e sin dalla fase di progettazione dei vari trattamenti, il rispetto dei principi generali del Regolamento europeo. Anche in queste attività, il coinvolgimento del DPO si rivelerà fondamentale.
L’evoluzione dei servizi cloud
Negli ultimi anni abbiamo assistito alla transizione dal modello di cloud tradizionale al modello di cloud distribuito, ovvero la distribuzione di servizi di cloud pubblico in diverse location fisiche. Gli utenti del cloud computing distribuito usufruiscono di funzioni aggiuntive, fra cui la possibilità di impostare obiettivi di prestazioni per la latenza (tempo di risposta dei server) e la possibilità di mantenere i dati in una regione specifica. In questo modo i dati restano più vicini alle organizzazioni che li trattano, con conseguenti miglioramenti in termini di flessibilità, latenza e privacy (si risolvono, di fatto, tutte le criticità correlate al trasferimento dei dati).
Con l’aumentare della complessità dei sistemi aziendali, inoltre, si sta consolidando un altro trend tecnologico. Gli utenti si aspettano, oggi più che mai, funzionalità innovative, tempi di risposta rapidi e di inattività pari a zero. I problemi di prestazioni, gli errori ricorrenti e l’impossibilità di spostarsi rapidamente non sono più accettabili. Stiamo quindi assistendo ad un’evoluzione verso le tecnologie native del cloud. Queste tecnologie, secondo la definizione ufficiale del Cloud Native Computing Foundation, “consentono alle organizzazioni di creare ed eseguire applicazioni scalabili in ambienti moderni e dinamici, ad esempio cloud pubblici, privati e ibridi. […"> In combinazione con l’automazione affidabile, consentono ai tecnici di apportare modifiche ad alto impatto frequentemente e prevedibili con fatica minima”. L’adozione di tecnologie cloud native renderà le aziende:
- più moderne e sostenibili, in quanto, sfruttando la tecnologia serverless, non sarà necessario eseguire processi costantemente (con un conseguente abbattimento dei consumi e dei costi);
- più flessibili ed in grado di gestire anche applicazione complesse come quelle basate sull’Intelligenza Artificiale.
Intelligenza Artificiale e dati personali
Parlando di Intelligenza Artificiale, non possiamo non citare le applicazioni innovative di questa tecnologia, dall’automazione dei processi all’apprendimento automatico, dai chat bot al riconoscimento facciale, fino alla realtà virtuale e oltre. Nei mesi a venire, il successo di imprese ed enti si misurerà anche in base alla capacità di integrare sistemi di Intelligenza Artificiale e di Machine Learning all’interno dei processi aziendali.
Poiché i dati personali rappresentano il carburante che alimenta questi sistemi, nel corso del 2022 diverse Autorità di controllo si sono espresse mediante linee guida a raccomandazioni sul corretto utilizzo. L’Autorità Garante per la protezione dei dati personali ha pubblicato una serie di video, per raccontare le principali tematiche legate all’intelligenza artificiale e il loro rapporto con la protezione dei dati (https://www.youtube.com/GARAntedatipersonaliGP). A livello comunitario, la Commissione europea, nell’ambito della sua strategia di digitalizzazione, ha proposto una serie di azioni volte a favorire l’eccellenza nell’IA e norme volte a garantire che la tecnologia sia affidabile. Data la serie di nuove leggi e proposte legislative della Commissione, c'è un rischio crescente che alcune attività di trattamento, comprese quelle relative all’uso dei sistemi di IA, rientrino nell’ambito di applicazione sia del GDPR sia di altre normative europee, ciascuna con regole di applicazione e Autorità competenti diverse. È possibile che le organizzazioni debbano affrontare indagini e azioni esecutive da parte di più autorità di vigilanza, a causa dello stesso utilizzo dell’Intelligenza Artificiale. Questo rischio sarà aggravato dalle numerose nuove leggi, proposte di legge e linee guida relative all’intelligenza artificiale in tutto il mondo, in particolare quelle con applicazione extraterritoriale.
A tutela dei diritti degli utenti finali, gli attivisti per la privacy si stanno già facendo sentire. Nel corso del 2022 Max Schrems, attraverso l’organizzazione NOYB, insieme ad altre organizzazioni per i diritti digitali, ha presentato denunce alle Autorità di controllo in Francia, Austria, Italia, Grecia e Regno Unito, contro la società di riconoscimento facciale Clearview AI Inc. Il 9 marzo 2022, il Garante, sulla base di queste segnalazioni, e in seguito ad una complessa attività istruttoria, ha comminato alla società americana una sanzione pecuniaria di 20 milioni di euro, per la violazione di diversi principi fondamentali del GDPR.
L’etica dell’Intelligenza Artificiale diventerà imprescindibile, così come soluzioni di privacy by default e di privacy by design che garantiscano la conformità dell’IA al GDPR ed alle altre norme applicabili, a tutela dei diritti e delle libertà delle persone fisiche.
DPO alle prese con il futuro
Nonostante l’incertezza che il 2023 porta con sé, conoscere le principali tendenze è sicuramente un buon punto di partenza. Dall’analisi dei principali trend, emerge la necessità che i responsabili della protezione dei dati mantengano un aggiornamento professionale costante e trans-settoriale. Con la diffusione di sistemi di machine learning e nuove forme di Intelligenza Artificiale, tecnologia e privacy sono sempre più vicine. Risulta quindi imprescindibile, per i DPO, non limitarsi allo studio delle norme applicabili, ma approfondire anche la comprensione dei meccanismi (quali algoritmi) alla base del funzionamento delle più recenti ed innovative applicazioni tecnologiche.
La partecipazione ad eventi di settore e la formazione continua rappresentano due soluzioni per poter efficacemente informare e fornire consulenza in merito agli obblighi derivanti dal Regolamento, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati (articolo 39 GDPR – Compiti del DPO). Per ulteriori informazioni consulta: https://www.assodpo.it/formazione/