Protezione dei dati personali: l’importanza di creare una cultura della consapevolezza - Cyber Security 360

GDPR

Protezione dei dati personali: l’importanza di creare una cultura della consapevolezza

Tutto il sistema di protezione dei dati personali posto dal GDPR postula la necessità che si costruisca e diffonda una vera e propria cultura della consapevolezza dei diritti degli interessati e dei correlativi obblighi dei titolari. Analizziamo di seguito lo scenario

23 Giu 2021
A
Giuseppe Alverone

DPO Certificato UNI 11697:2017

Il GDPR pone una disciplina dettagliata degli obblighi di titolari e responsabili dei trattamenti, al fine di presidiare i diritti e le libertà fondamentali degli interessati e contestualmente garantire la libera circolazione dei dati personali, la quale è tanto necessaria a creare il clima di fiducia che auspicabilmente consentirà lo sviluppo dell’economia digitale in tutto il mercato interno[1], realizzando la c.d. “quarta rivoluzione”[2].

Necessario presupposto logico di tenuta di questo sistema è la consapevolezza degli interessati, nonché dei titolari e dei responsabili, di quanto sia importante conoscere e applicare detta disciplina.

È una grande sfida affrontata su tre livelli: dalla Commissione europea a livello strategico, dalle Autorità di Controllo, a livello tattico e da ogni singolo DPO, a livello operativo. Ma è auspicabile che, per una questione tanto cruciale, anche la scuola assuma un ruolo importante, facendo leva sulla recente introduzione dell’insegnamento dell’educazione civica.

Necessità di una cultura della consapevolezza

Purtroppo è agevole verificare che tale consapevolezza non è diffusamente radicata in tutte le organizzazioni pubbliche e private che trattano dati personali. Ancora oggi, a tre anni dalla prima applicazione del GDPR, è possibile incontrare qualche dirigente pubblico o qualche CEO di piccola o media impresa che non sia pienamente conscio delle sue responsabilità nell’ambito del sistema di protezione dei dati personali.

Costoro sono rimasti ancorati alla errata convinzione che si possa “fare la privacy” limitandosi ad applicare formalmente qualche norma.

Nel contempo, anche gli interessati, sia adulti che adolescenti, mostrano di non avere una generale e piena percezione degli elevati rischi ai quali si espongono quando utilizzano dispositivi connessi ad Internet.

Ecco perché, non è un caso se lo stesso GDPR prevede, come prioritari, tra i compiti delle Autorità di controllo, le attività volte a promuovere la consapevolezza e favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento dei dati personali nonché, specificamente a promuovere la consapevolezza dei titolari e dei responsabili agli obblighi imposti loro dal GDPR[3].

Il ruolo della Commissione europea a livello strategico

Il 13 giugno 2019, dopo il primo anno di applicazione del GDPR, la Commissione europea ha pubblicato i risultati di uno speciale sondaggio dal quale è emerso che, in un anno, solo tre europei su dieci avevano avuto notizia dei loro nuovi diritti sui dati personali.

Questa constatazione ha evidenziato una criticità del processo di sviluppo del sistema economico europeo e ha determinato una preoccupazione, tanto che Andrus Ansip, Vicepresidente della Commissione europea per il mercato unico digitale ha affermato che “per le aziende, la fiducia dei loro clienti è una moneta forte e questa fiducia inizia con la comprensione degli stessi clienti su come vengono trattati i loro dati personali”.

Anche per questo motivo, la stessa Commissione ha avviato iniziative concrete per sviluppare una “awareness-raising” attraverso la sovvenzione di campagne di sensibilizzazione sulla protezione dei dati personali in molti Stati membri.

Degno di menzione è il cosiddetto Mese Europeo della Sicurezza Informatica o ECSM (European CiberSecurity Month), iniziativa coordinata dall’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) e dalla Commissione europea, e supportata dagli Stati membri dell’UE e da centinaia di partner sia europei che extra europei.

Si tratta di una campagna dedicata alla promozione della sicurezza informatica tra cittadini e organizzazioni e alla fornitura di informazioni aggiornate sulla sicurezza online, attraverso la sensibilizzazione e la condivisione di buone pratiche.

In tale contesto, ogni anno, per l’intero mese di ottobre, si svolgono centinaia di attività in tutta Europa, tra cui conferenze, workshop, corsi di formazione, webinar, presentazioni e altro, per promuovere la sicurezza digitale e l’igiene informatica.

Il ruolo dei Garanti a livello tattico

Il Garante italiano, soprattutto negli ultimi tempi, ha dimostrato grande attenzione al tema della sensibilizzazione di titolari, responsabili e interessati e sta contribuendo a costruire una “cultura della consapevolezza” con grande impegno e cura, agendo su due piani:

  • sul piano generale, l’Autorità sta realizzando particolari ed efficaci campagne di informazione istituzionale, tramite spot televisivi, volte a coinvolgere i cittadini su particolari questioni, la cui rilevanza è, ad esempio, sintetizzata nei seguenti claims:
  1. I tuoi dati sono un tesoro; da proteggere insieme” che ha il fine di rendere edotti i cittadini dei loro diritti e dei relativi strumenti e ambiti di tutela;
  2. Se non ha l’età, i social possono attendere” è invece diretto a tutelare gli adolescenti e a responsabilizzare genitori e stakeholders sull’uso dei social network da parte dei minori.

Sempre su un piano generale, parallelamente, il Garante organizza anche eventi divulgativi indirizzati agli esperti del settore, su temi di particolare importanza (e.g. il delicato rapporto tra IA e protezione dei dati personali).

  • su un piano di maggiore prossimità ai cittadini, gli autorevoli componenti del Collegio del Garante stanno realizzando, diffusamente, innovative iniziative di informazione e divulgazione in materia di protezione dei dati personali attraverso partecipazioni a webinar, diffusione di podcast tematici, messaggi divulgativi sui principali social network, ecc.. Riescono così a coniugare opportunamente l’efficacia degli strumenti di comunicazione (“the medium is the message”) con l’importanza dei contenuti (“the content is the king”).

Anche il Comitato europeo per la protezione dei dati (EDPB: European Data Protection Board), su questo fronte, sta facendo la sua parte. Infatti, nel documento che definisce la strategia dello stesso Comitato per il periodo 2021-2023, adottato il 15 dicembre 2020, al paragrafo 5, è riportata la “Key Action 3” secondo la quale il “Board” Europeo promuoverà lo sviluppo di strumenti comuni per un pubblico più ampio e si impegnerà in attività di sensibilizzazione e divulgazione.

In sintesi, il Board europeo che emette già linee guida e pareri rivolti a professionisti con ampie conoscenze specialistiche, basandosi sulle risorse già disponibili, svilupperà strumenti specifici per le PMI e per gli interessati, in particolare per i bambini.

Il ruolo dei DPO a livello operativo

A livello operativo, il fondamentale ruolo di edificatori di sensibilizzazione è inevitabilmente affidato ai DPO che hanno come compito primario[4] quello di aiutare gli interessati ad esercitare i propri diritti e contestualmente rendere edotti i titolari e i responsabili degli obblighi da adempiere per un sano, giusto e corretto sviluppo dei processi aziendali che comportano trattamenti di dati personali.

I DPO sono chiamati anche a curare la sensibilizzazione e la formazione degli incaricati cioè delle persone che effettivamente eseguono i trattamenti di dati personali e che quindi sono il “punto critico” di un sistema di protezione dei dati.

DPO as a Service: cos’è, cosa offre, i vantaggi per l’azienda

Infatti, un modello organizzativo volto a garantire sicurezza dei processi aziendali, anche se in linea con gli standards più avanzati, non potrà mai garantire una adeguata efficienza se non è supportato da una appropriata consapevolezza e da una solida formazione del personale che deve farlo funzionare.

Il concetto è ben evidenziato nel noto aforisma: “Security is only as strong as the weakest link”, i.e. la “robustezza” di un qualsiasi sistema di sicurezza è calibrata sul punto più debole del sistema stesso, che spesso è costituito proprio dalla componente umana.

Ai DPO spetta inoltre il difficilissimo compito di far comprendere ai titolari che le spese per la compliance normativa al GDPR in generale e per la sicurezza degli asset su cui girano i dati personali in particolare, non sono costi inutili ma veri e propri investimenti che salvaguardano il business da data breaches e da elevate sanzioni pecuniarie.

I DPO delle pubbliche amministrazioni italiane, in particolare, hanno anche la responsabilità di evidenziare, ai dirigenti che esercitano le funzioni di titolare di trattamento di dati personali, che una gestione dei procedimenti amministrativi non conforme alle norme fissate dal GDPR può esporli al rischio concreto di essere sottoposti a giudizio di responsabilità amministrativa innanzi alla Corte dei Conti, atteso che un’eventuale sanzione pecuniaria irrogata dal Garante costituisce un danno erariale[5].

Il ruolo della scuola

Gli effetti dell’opera di realizzazione di una “cultura della consapevolezza” attuata in modo integrato dalla Commissione europea, dalle Autorità di controllo e da tutti i DPO, potrebbero utilmente essere amplificati, programmando nelle scuole apposite lezioni sulla protezione dei dati personali nell’ambito dell’insegnamento dell’educazione civica, che la Legge 20 agosto 2019, n. 92 ha introdotto nelle scuole di ogni ordine a grado.

Formare gli studenti alla cittadinanza: i percorsi verso una competenza digitale globale

Peraltro, proprio l’art. 5 di tale legge prevede che nell’ambito dell’insegnamento dell’educazione civica venga inserita l’educazione alla cittadinanza digitale che comporta il conseguimento di abilità e conoscenze volte, tra l’altro a:

  • creare e gestire l’identità digitale ed essere in grado di proteggere la propria reputazione;
  • gestire e tutelare i dati che si producono attraverso diversi strumenti digitali, ambienti e servizi;
  • rispettare i dati e le identità altrui;
  • utilizzare e condividere informazioni personali identificabili proteggendo se stessi e gli altri;
  • conoscere le politiche sulla tutela della riservatezza applicate dai servizi digitali relativamente all’uso dei dati personali.

Il legislatore ha quindi previsto che agli studenti vengano dati tutti gli strumenti utili e necessari per utilizzare consapevolmente e responsabilmente i nuovi mezzi di comunicazione e i dispositivi digitali, al fine di realizzare un duplice obiettivo:

  • agevolare lo sviluppo del pensiero critico;
  • sensibilizzare i giovani sui rischi connessi all’uso dei social media e alla navigazione in Rete.

Il quadro di situazione è davvero chiaro: partendo dalla scuola e passando attraverso la formazione/comunicazione integrata e permanente dei vari livelli istituzionali, sarà davvero possibile costruire e consolidare una “cultura della consapevolezza” e, conseguentemente, una fiducia diffusa nelle Istituzioni e nei players economici, per ottenere, in Italia e nel contesto europeo, una prosperosa economia e di un nuovo senso di comunità.

 

NOTE

  1. Vds. Considerando 7 del GDPR.

  2. Cfr. Luciano Floridi, La quarta rivoluzione. Come l’infosfera sta trasformando il mondo, Raffaello Cortina Editore, 2017. Vds. anche: Franco Pizzetti “Protezione dei dati personali in Italia Tra GDPR e Codice Novellato”, Giappichelli, 2021.

  3. Art. 57, par.1, lett. b) e d).

  4. Art.39, par.1 , lett. a) del GDPR.

  5. Vds, Sentenza n. 429/2019 della Corte dei Conti – Sez. Giur. della Calabria.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4