Un anno di GDPR privacy. Cos’è successo, cosa possono fare le imprese.

Giusto un anno fa, il 24 maggio 2018, entrava in vigore il General Data Protection Regulation, meglio noto come GDPR, allo scopo di innalzare i livelli di attenzione della privacy a tutela dei cittadini europei. Spenta la prima candelina sulla torta, una serie di riflessioni si impongono. La privacy dei consumatori è sempre più protetta, almeno sul piano giuridico, e questo è un fatto senza dubbio positivo che va nella giusta direzione. Le aziende informano i clienti che stanno raccogliendo dati su di loro, garantiscono la protezione e l’integrità dei dati, s’impegnano ad adottare standard uniformi e ad essere compliant. Insomma, si mettono in riga. Dall’altro lato della barricata, il sistema pubblico controlla e commina severe sanzioni per chi compliant non è. Tutto bene, dunque?

 

Dopo una cosiddetta prima fase di “tolleranza” per consentire alle aziende di adeguarsi alle nuove norme sono iniziati gli audit, le ispezioni e le indagini, con le conseguenti sanzioni amministrative. Sanzioni che, stando ai Garanti privacy comunitari, devono essere “effettive, proporzionate e dissuasive”. La multa più “pesante” è stata quella con cui il Garante per il trattamento dei dati personali francese ha multato Google LLC: 50 milioni di euro per la violazione del GDPR con riferimento al sistema Android per i dispositivi mobili. In sintesi, il Garante francese ha contestato a Google LLC la violazione degli obblighi di trasparenza e informazione, rilevando come l’azienda non dia notizie sulle modalità del trattamento in modo chiaro e facilmente accessibile, anche considerando la sede europea in Irlanda rispetto alla filiale francese. Finalità del trattamento dati, periodo di conservazione e altre informazioni sono risultate essere di complicata navigazione per l’utente tra link e pulsanti vari e sottopagine. Il Garante ha inoltre contestato la mancanza di una base giuridica per l’utilizzo dei dati relativo alla pubblicità mirata e la personalizzazione dei messaggi pubblicitari. In pratica, una volta creato un account l’utente può modificare alcune impostazioni tramite il pulsante “più opzioni” azionabili in un menù secondario. Google invece chiedeva l’accettazione di messaggi pubblicitari attraverso caselline preflaggate cui l’utente, se contrario alla profilazione pubblicitaria, doveva deselezionare. Pratica contraria al GDPR, secondo cui il consenso deve provenire dall’interessato tramite un’azione positiva e chiara.

 

Il Garante per la privacy tedesco ha sanzionato, per circa 20mila euro, un popolare sito di chat on line chiamato Knuddels.de (“Coccole”), per violazione dell’art. 32 del GDPR, ovvero carenza di misure adeguate di sicurezza. Dalle indagini è emerso che il sito aveva subito una perdita di circa due milioni di username/password e di più di ottocentomila indirizzi e–mail. La multa è stata attenuata in termini economici grazie al comportamento “collaborativo” dell’azienda, valutato molto positivamente. L’azienda ha informato immediatamente gli utenti di quanto accaduto e soprattutto ha rivista la sua infrastruttura IT per adeguare gli standard di sicurezza. Infine segnaliamo uno dei primi provvedimenti del Garante per la privacy italiano che ha sanzionato l’Associazione Rousseau, nota ai più per custodire i dati degli aderenti di un importante partito politico, al pagamento di 50mila euro per la violazione dell’art. 32 del Regolamento UE che “individua alcuni parametri di sicurezza che il titolare e il responsabile del trattamento sono tenuti ad adottare al fine di garantire un livello di sicurezza adeguato in rapporto al rischio per i diritti e le libertà delle persone”. Il Garante contesta all’Associazione “il mancato, completo tracciamento degli accessi al database e delle operazioni sullo stesso compiute” imponendo un immediato adeguamento.

 

Posto che le sanzioni cominciano ad arrivare, benché le Autorità Nazionali abbiamo un atteggiamento non punitivo e in ogni caso graduale al chiaro scopo di un’applicazione progressiva del Regolamento europeo, cosa devono ancora sapere le aziende italiane? Una prima seria riflessione ruota attorno ad una parola chiave: accountability, principio cardine del GDPR. Che possiamo tradurre in “responsabilizzazione” del titolare e del responsabile del trattamento, nonostante il termine inglese esprima un concetto più ampio della mera responsabilità. Lo spirito della norma punta alla responsabilizzazione della protezione effettiva del dato personale oggetto di trattamento. Di conseguenza, il titolare ed il responsabile del trattamento devono da un lato agire secondo le migliori prassi, ma al tempo stesso devono dimostrare di aver adottato tutte le misure di sicurezza opportune e necessarie, fornendo una giustificazione al perché delle decisioni ed azioni intraprese. Devono cioè avere la giusta accortezza e adeguarsi nei modi più idonei ed opportuni.

 

Una seconda riflessione più di carattere politico riguarda la piena consapevolezza che le aziende devono avere – si pensi al caso francese che ha coinvolto Google – della natura sovranazionale del GDPR. Le aziende italiane che trattano dati personali di utenti residenti in Stati membri, ad esempio le imprese e-commerce, devono fare massima attenzione alle disposizioni previste dal GDPR. Il Garante per la protezione dei dati personali si rivela essere sempre di più un’Autorità determinante e decisiva per la tutela della democrazia, al pari dell’economia, in un’epoca di Big Data e di progressiva “datificazione” della nostra vita di cittadini, consumatori e utenti. Il caso della sanzione alla piattaforma Rousseau ci dice sostanzialmente questo. Guardando alla multa data dal Garante tedesco, nel caso sopra riportato, ci viene insegnamento e un monito. Una cattiva ma frequente abitudine, specie per le Pmi italiane, è sottovalutare il data breach, ovvero l’incidente informativo. Alle aziende il compito di essere attente e consapevoli, ma soprattutto di adeguare i propri strumenti di prevenzione ad attacchi informatici o a qualsiasi forma di danneggiamento all’integrità dei dati raccolti.  Talvolta per mancanza di tempo o spesso per poca attenzione alla privacy le aziende commettono errori grossolani o sottovalutazioni approssimative, ignorando che il danno economico che può scaturire da un attacco informatico.

 

Terza riflessione: la privacy dei dati. Che investe la rapida transizione verso reti, piattaforme e applicazioni multi-cloud, per cui i dati potrebbero (potenzialmente) essere copiati più volte e diffusi praticamente ovunque. Per essere GDPR compliant le aziende sono chiamate a mettere a punto soluzioni di sicurezza in grado di coprire l’intero network distribuito allo scopo di centralizzare la visibilità e il controllo. Gli standard per la compliance vanno applicati con coerenza attraverso l’intera infrastruttura distribuita, vanno tracciati i dati e i loro spostamenti all’interno delle applicazioni, va creata una segmentazione coerente sull’intera infrastruttura distribuita.

 

Da ultimo, ma non meno importante, la sicurezza degli ambienti multi-cloud. Che va garantita con adeguati tool di sicurezza integrati in modo nativo nelle piattaforme cloud. Se il data center aziendale è fuori dall’UE vanno introdotti nuovi requisiti di sicurezza o rischia di diventare l’anello debole della catena di sicurezza. Decisiva è anche la prevenzione della perdita di dati. Le tecnologie di Data Loss Protection (DLP) possono essere implementate sia online sia a livello di API cloud purché siano in grado di identificare, tracciare senza soluzione di continuità e avere un inventario di tutte le PII, acronimo per informazioni di identificazione personale.

 

Anche il compliance reporting necessita di una gestione centralizzata e coerente in tutto il cloud. Per questo è consigliata una soluzione centralizzata per il management che dia visibilità all’intera infrastruttura multi-cloud, per non “perdere di vista” i dati nel loro spostamento tra diverse applicazioni. Ecco quindi che strategie di tipo reattivo vanno sostituite strategie integrate e proattive in grado di bloccare un attacco prima ancora che abbia luogo, e attenuarne la portata. Per fare questo servono tecnologie di prevenzione e rilevamento e policy interne adeguate. La sicurezza informatica non riguarda soltanto l’adempimento alle normative sulla privacy ma investe tutta le sicurezza di un’organizzazione. La digital trasformation va oggi vista come un’occasione importante alle imprese per ripensare i processi e riorganizzare la propria infrastruttura. Investire in sicurezza … non è mai stata scelta tanto sicura.

 

Pietro Pazzaglini

Responsabile Marketing Energee3

 

"Io cerco i mezzi per combattere le ingiustizie, 
per volgere la paura contro coloro che la usano per depredare".
(Bruce Wayne/Batman)

Leave a Reply