Tecnologia e diritto alla privacy, binomio di assoluta rilevanza: un approccio integrato - Cyber Security 360

LA RIFLESSIONE

Tecnologia e diritto alla privacy, binomio di assoluta rilevanza: un approccio integrato

Il GDPR ha avuto un notevole impatto su tutti noi e sulla nostra privacy, ma la tecnologia si evolve più rapidamente della legge e per le aziende non è semplice mappare l’ecosistema digitale in cui operano. Coinvolgere consulenti legali e informatici esperti del settore diventa cruciale, sia in fase di definizione del rischio sia in quella di identificazione e costruzione dei processi e degli strumenti idonei a mitigarlo. Ecco perché

30 Nov 2020
H

Parlando di data protection pensiamo tutti subito al Regolamento UE 2016/679, noto come GDPR, che ha avuto un notevole impatto su tutti noi e sulla nostra privacy: questo anche perché, di fatto, ha un ambito di applicabilità molto ampio, incluso ad es. il trattamento di dati personali attuato tramite la tecnologia.

In più contesti, tra loro molto diversi, mi è spesso capitato di sentir dire: “la privacy non esiste”. Il 26 ottobre scorso l’Autorità Garante per la Protezione di Dati Personali ha comunicato che da un preliminare bilancio[1]. dell’attività ispettiva del primo semestre le entrate derivanti da sanzioni sono aumentate del 481%, e corrispondono a circa € 7 milioni (Piano ispettivo per il secondo semestre 2020).

Questi numeri e l’applicazione del GDPR dimostrano che la privacy esiste ed ha un peso importante. Se sottovalutato, il tema della privacy può rappresentare un costo in termini di sanzioni, oltre che un rischio per l’immagine e la reputazione dell’azienda, comportando una perdita di affidabilità rispetto ai competitor.

Senz’altro il concetto di privacy è cambiato rispetto agli anni scorsi, così come sono cambiati gli strumenti – legali e IT – per garantire la protezione dei dati personali.

Il GDPR ribadisce a tutti – in quanto tutti trattiamo e siamo portatori di dati personali – che la nostra privacy è tutelata solo se questi strumenti sono “reali”, cioè costruiti su misura e adatti al contesto. Pone l’accento sulla sostanza e non sulla forma, abolisce elenchi prestabiliti di misure di sicurezza, in quanto tali non tagliati sulle specifiche situazioni.

Formule precompilate di informative e moduli di consenso non sono accettabili. L’impatto del GDPR vuole quindi essere una garanzia per la tutela della privacy di tutti noi.

Tecnologia e diritto alla privacy: i differenti approcci tra UE e USA

Il dibattito sulla privacy si può affrontare da due differenti angolature: una statunitense, dato che proprio in USA hanno sede molte multinazionali. L’altra europea, dove le grandi multinazionali spesso dislocano società del gruppo.

Il punto di vista sulla protezione dei dati personali tra le due sponde dell’Atlantico è molto diverso. Recentemente, ad esempio, la sentenza cosiddetta Schrems II della Corte di Giustizia Europea[2] ha giudicato la normativa USA relativa ai sistemi di intelligence per ragioni di sicurezza nazionale e di pubblico interesse[3] sbilanciata e non idonea a garantire un livello adeguato di tutela dei dati personali.

Questo perché non verrebbero rispettati i principi di proporzionalità (secondo cui si possono trattare solo i dati non eccedenti rispetto a quelli necessari per le finalità perseguite) e minimizzazione dei trattamenti (secondo cui si possono trattare solo i dati minimi, pertinenti e limitati a quanto necessario per il perseguimento delle finalità specifiche), oltre al diritto a un’effettiva protezione e ad agire per far valere il mancato rispetto dei propri diritti.

Nel difficile bilanciamento degli interessi in gioco, anche dinanzi a motivi di interesse pubblico, la normativa europea e il GDPR ribadiscono il principio di proporzionalità e il rispetto del diritto alla protezione dei dati personali, nonché l’importanza di applicare misure appropriate per garantirlo[4].

In effetti, questo diverso approccio tra USA e UE deriva dai loro differenti sistemi giuridici ed economici. Tuttavia, tali distanze sono sempre più fluide e via via accorciate da un’economia oramai globale. In questa convergenza giocano un ruolo importante i sistemi digitali, che rendono le persone e i processi interconnessi, a prescindere dal luogo in cui si trovano.

Buone prassi e linee guida sovranazionali e internazionali sono dunque cruciali e indispensabili punti di riferimento per tutti gli operatori. La sicurezza digitale e la privacy costituiscono una priorità: per i singoli cittadini così come per i Governi. Non a caso, il G20 Digital Economy Ministers Meeting dello scorso luglio ha ricordato l’importanza di sviluppare best practice valide a livello internazionale, che forniscano una guida globale su questi temi.

Le aziende sono chiamate a trovare soluzioni appropriate per superare le eventuali differenze causate dalle diverse aree geografiche in cui operano, alla luce di buone prassi di settore. È loro richiesto di acquisire un denominatore comune di compliance integrata, che oltre alla privacy e alla sicurezza informatica coinvolga l’intero sistema di controllo e gestione.

Abolizione del Privacy Shield: misure supplementari di data protection

Con la decisione Schrems II dello scorso luglio, la Corte di Giustizia ha destabilizzato gli operatori del settore, visto che il cosiddetto “Privacy Shield” del 2016 (l’accordo USA-UE) era già il risultato di un importante negoziato.

WHITEPAPER
Protezione dei dati e backup: come valutare le diverse soluzioni prima dell’acquisto
Backup
Sicurezza dei dati

Questa decisione, in realtà, è perfettamente in linea con il messaggio del GDPR, secondo cui gli strumenti posti a garanzia e tutela dei dati personali vanno verificati periodicamente, e non possono essere inseriti in schemi rigidi predefiniti.

La protezione dei dati personali è strettamente connessa all’applicazione che gli operatori fanno della normativa, e inevitabilmente è in continua evoluzione, e penso alle recenti raccomandazioni del 10 Novembre scorso (qui e qui) dello EU Data Protection Board (composto da rappresentanti delle Autorità Garanti degli Stati Membri e dello EU Data Protection Supervisor) nonché alla ultima bozza di nuove clausole standard emesse dalla Commissione Europea e aperte a consultazione pubblica.

Proprio in considerazione delle difficoltà che in questo momento possono dover fronteggiare gli operatori, lo EU Data Protection Board ha fornito concreti esempi – tramite i diversi scenari – in cui le varie misure supplementari, tecniche, contrattuali e organizzative, sono da ritenersi più o meno efficaci.

Non esistono formule “perfette” o standard di misure di salvaguardia supplementari che possano andare bene per tutti.

Ma senz’altro, la situazione di incertezza in cui ci si trova in pendenza di un nuovo accordo USA-UE invita a ricorrere maggiormente a una valutazione di impatto periodica, a minimizzare il più possibile i trattamenti dei dati, tramite ad esempio strumenti di pseudonimizzazione o crittografia, in linea con le recenti raccomandazioni dello EU Data Protection Board.

Smart working e formazione a distanza nel rispetto della normativa privacy

L’emergenza sanitaria che stiamo vivendo ha dato un forte impulso alla digitalizzazione.

Per rimanere aggiornati in un momento come questo, esperti dei vari settori stanno mettendo al servizio di tutti, anche gratuitamente, newsletter e strumenti di formazione e informazione sui più comuni canali di comunicazione.

Tuttavia, le norme sono più lente ad adeguarsi rispetto alle urgenze che stiamo vivendo. A ben vedere, la difficoltà non sta tanto nel tenere d’occhio le norme in sé, ma nel pensare a come quelle norme possono essere applicate in un mutato contesto storico e sociale come l’attuale emergenza sanitaria, che sta mettendo in difficoltà alcuni operatori.

Un esempio concreto in questa fase di diffuso smart working: la norma che disciplina l’informativa privacy per i dipendenti, in sé, non è cambiata. Ma sono i contenuti dell’informativa stessa a dover cambiare, perché gli strumenti utilizzati da datore di lavoro e lavoratore sono diversi, e di conseguenza lo sono i rischi.

Un caso, ad esempio, è dato dal monitoraggio e dal controllo a distanza, che informative e procedure comunicati ai dipendenti devono definire con chiarezza.

Tecnologia e diritto alla privacy: serve un approccio integrato

La sicurezza digitale e la privacy sono una priorità, per i singoli cittadini così come per i Governi. Nel 2020 l’OCSE ha pubblicato importanti raccomandazioni[5] per un approccio strategico al più alto livello governativo, e per supportare in modo coordinato gli operatori del settore nella costruzione di processi di gestione delle vulnerabilità.

Statisticamente, le aziende si pongono il problema della protezione dei dati personali solo in caso di ispezione da parte dell’Autorità Garante, o se subiscono un data breach. Vale a dire: quando è ormai troppo tardi.

I rischi connessi al trattamento di dati personali sono di varia natura, legati per esempio a infrastrutture non adeguate/sicure, a software e a sistemi IT vulnerabili, a registri/database “illimitati”, a postazioni di lavoro non presidiate, trasferimenti di dati non protetti, documentazione legale o HR carente sul punto, personale deputato al trattamento dei dati non adeguatamente formato alla gestione dei rischi e alla sicurezza digitale.

E l’elenco potrebbe continuare.

Questi esempi evidenziano come il rischio connesso alla protezione dei dati personali sia trasversale alle funzioni aziendali, e strettamente connesso alle competenze digitali delle persone che utilizzano i diversi tool. Dal canto loro, i software aziendali utilizzati devono saper incorporare la questione della protezione della privacy come prioritaria, come già dimostrato da alcuni strumenti dedicati al lavoro agile e al meeting management.

Le persone devono essere formate adeguatamente perché lo strumento IT e/o i dati derivanti dallo stesso siano utilizzati correttamente.

La struttura organizzativa deve cioè essere al passo rispetto alle tecnologie utilizzate. Studi e statistiche dimostrano che nella maggior parte delle aziende mancano figure destinate alla privacy, o al massimo vengono destinate a queste mansioni professionalità differenti e non specializzate.

Data la rapida evoluzione tecnologica che stiamo vivendo, è cruciale pensare anche a delle figure che facciano da “ponte” tra tecnologia e privacy, che aiutino cioè le varie professionalità legali e IT, con linguaggi per loro natura diversi, a parlarsi e capirsi.

La privacy non può essere concepita come una nicchia di competenza dell’ufficio legale, ma deve essere inserita nel piano globale di compliance dell’azienda ed avere un peso nell’intero sistema di controllo e gestione.

Conclusioni

Non è semplice mappare l’ecosistema digitale in cui si opera, soprattutto in un momento in cui la tecnologia è sempre più avanzata e d’avanguardia (si pensi, ad esempio, ai sistemi di intelligenza artificiale, blockchain e big data). È per questa ragione che coinvolgere consulenti legali e società specializzate in servizi informatici diventa cruciale.

Serve sia alla fase di definizione del rischio sia a quella di identificazione e costruzione dei processi e strumenti idonei a mitigarlo, in linea con le best practice nazionali e internazionali.

La privacy deve essere pensata in un’ottica di compliance integrata, per identificare tutti i contesti organizzativi in cui c’è un trattamento di dati personali non presidiato a sufficienza, e allestire di conseguenza delle valutazioni ad hoc.

Ad esempio, per quanto riguarda il personale da deputare alla gestione degli aspetti privacy e di sicurezza, la compresenza di funzioni Information Security ed IT.

Oppure la creazione di una figura di Responsabile della Sicurezza con specifiche linee di riporto, che garantiscano indipendenza ed efficienza.

Non esistono ricette perfette che vadano bene per tutte le realtà organizzative in modo indifferenziato, ed è anche in questa ottica che sono molto utili sessioni di training dedicate. Spesso, infatti, l’unico strumento davvero efficace è dotarsi di personale con competenze proporzionate al livello di rischio, che utilizzi gli strumenti digitali in modo adeguato e in conformità alla “strategia privacy e digitale” definita dall’azienda.

NOTE

  1. Autorità Garante, Newsletter n. 469.
  2. Sentenza n. C- 311/18 della Corte di Giustizia del Lussemburgo (caso Data Protection Commissioner v Facebook Ireland and M. Schrems) che ha annullato la decisione della Commissione Europea n. 2016/1250 sul cd. Privacy Shield.
  3. Ad esempio, nell’ambito del Foreign Intelligence Surveillance Act e dell’Executive Order 12333.
  4. Cfr. GDPR, artt. 6 e 9.
  5. Cfr. OCSE 2020, Digital Security on Critical Activities.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5