GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Procedura per i data breach: non solo interventi ad evento avvenuto

L’articolo Data Breach: alcune considerazioni sulla procedura cita il considerando 88 del GDPR, che fa esplicito riferimento alla procedura di gestione delle violazioni dei dati personali (i data breach) [al fine di rispettare i requisiti di notifica e comunicazione degli Art. 33 e 34; ndr] e ai legittimi interessi delle autorità di controllo.

L’autore dell’articolo sottolinea l’opportunità che tale procedura non sia limitata alle attività da espletare all’occorrenza dell’evento della violazione, bensì preveda azioni preventive in considerazione degli eventi che potrebbero minare la sicurezza delle informazioni. Si può trarre spunto, al proposito, dal set di controlli A 16 “Gestione degli incidenti sulla sicurezza delle informazioni” della ISO 27001 e dai più recenti controlli da 5.24 a 5.28 e 6.8 della ISO/IEC 27002:2022 [dove per “controlli” si intendono i provvedimenti preventivi, di indagine e correttivi per il trattamento dei rischi; ndr]. Tra i controlli proattivi vi sono ad esempio la “Segnalazione dei punti di debolezza relativi alla sicurezza delle informazioni” e l’ “Apprendimento dagli incidenti relativi alla sicurezza delle informazioni”.

Alla gestione dei data breach, effettivi e potenziali, giova infine l’applicazione del ciclo PDCA (Plan, Do, Check, Act), per verificare la validità di quanto previsto ed apportare le eventuali correzioni alla procedura.

Gestione dei Data Breach: punti di vista che dovrebbero integrarsi

L’articolo La gestione efficace dei Data Breach passa anche attraverso il monitoraggio dei ‘segnali deboli’ esamina il concetto dei data breach dal punto di vista del Regolamento UE 2016/679 (GDPR), dalla ISO 27701:2019 e dalla ISO 27001:2013, allo scopo di fornire spunti di miglioramento della procedura per la loro gestione.

Sostanzialmente il GDPR prende in considerazione solo le violazioni dei dati personali dal punto di vista dei diritti e delle libertà degli interessati, la ISO 27001 considera qualsiasi incidente della sicurezza delle informazioni con impatto sul business aziendale e la ISO 27701, che deriva dalla precedente norma estendendosi alla sicurezza dei dati personali, considera i rischi con impatto sia sull’azienda che sugli interessati.

Sono piuttosto chiare, in merito, le seguenti definizioni:

  • Regolamento UE 2016/679 – articolo 4 – definizioni – 12) – Violazione dei dati personali “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (C 85)
  • ISO/IEC 27000:2018 – definizione 2.38) – incidente relativo alla sicurezza delle informazioni – “Evento o serie di eventi relativi alla sicurezza delle informazioni (2.32), non voluti o inattesi, che hanno una probabilità significativa di compromettere le attività operative relative al business e di minacciare la sicurezza delle informazioni (2.78)”

E’ rilevante che per il GDPR, limitatamente al trattamento di una violazione dei dati personali, si consideri solo l’impatto in termini on / off, nero o bianco, cioè se la violazione c’è stata o non c’è stata, se ha compromesso o se non ha compromess, se ha provocato o non ha provocato. Mentre secondo le 27000, vanno trattati gli eventi che hanno una probabilità significativa di compromettere, ciò che richiede una scala di valutazione. [D’altra parte lo stesso GDPR richiede in capo al titolare del trattamento (Art. 24), relativamente alla protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (Art. 25) e relativamente alla sicurezza (Art. 32) che siano  considerati i rischi del trattamento per i diritti e le libertà delle persone, prendendo le relative contromisure. Ndr]

Si rileva quindi l’opportunità di considerare un data breach anche a livello di prevenzione e, per questo, c’è la necessità del monitoraggio degli eventi, da un “malfunzionamento dei controlli” ad una “situazione mai osservata in precedenza”, con la cosiddetta “analisi dei segnali deboli”, quali indicatori di un cambiamento o di un problema emergente, che potrebbe diventare significativo.

Smaltire i dispositivi elettronici non è un’operazione banale

Segue un estratto dall’articolo La dismissione dei componenti hardware a norma di Gdpr.

I supporti elettronici, indipendentemente dalla presenza di dati, devono essere smaltiti secondo il D.Lgs 491/14, modificato dal D.Lgs 118/2020.

La necessità di terminare il ciclo di vita di questi dispositivi può derivare da

  • necessità di dispositivi più performanti
  • impossibilità di aggiornamento dell’hw in modo adeguato all’identificazione di nuove minacce e vulnerabilità
  • [guasto dei dispositivi, ndr].

Quindi devono essere stabiliti processi, procedurati, per lo smaltimento sicuro dei supporti elettronici attraverso specifiche misure quali le seguenti:

  • misure dirette (che impattano direttamente sui processi), ad esempio misure che coprono l’intero ciclo di vita, dall’acquisto dei dispositivi alla loro dismissione, inclusa la migrazione dei dati contenuti;
  • misure indirette (relative ai processi di supporto), ad esempio i criteri di scelta e qualifica dei fornitori dello smaltimento.

Occorre ricordare la necessità di nominare un responsabile dello smaltimento dell’hw e che questo deve essere smaltito secondo le normative per la gestione dei rifiuti elettronici.

Gli asset da considerare non sono solo quelli in uso presso l’organizzazione ed i propri dipendenti, ma anche quelli eventualmente affidati a collaboratori esterni, clienti e fornitori.

Le varie tipologie di hw (server, computer, memorie esterne, dispositivi multifunzione, supporti di backup, ecc) possono comportare procedure diverse.

Devono essere documentati i luoghi o posti di stoccaggio dell’hw da dismettere, i periodi di conservazione ed eventuali criteri di ispezione.

Devono essere previste le modalità di cancellazione degli archivi (sw di cancellazione, specie in caso di cessione ad altri soggetti, quali dipendenti o le società di noleggio o leasing, oppure distruzione fisica delle memorie).

Nel caso di utilizzo di parti elettroniche di ricambio si dovrebbero effettuare controlli anticontraffazione.

Prima della dismissione, si dovrebbe eliminare qualsiasi etichetta o altra informazione che possa far risalire al proprietario e all’utilizzo originale delle apparecchiature.

Anche i fornitori dei servizi di noleggio hw e di riparazione dovrebbero essere soggetti a procedura di validazione, con rivalutazione periodica.

Alla dismissione dei dispositivi deve corrispondere l’aggiornamento dell’inventario (anche in caso di furto) e questo vale anche per le licenze del sw presente (inclusa eventuale comunicazione ai fornitori, se necessaria).

Nel caso di necessità di migrazione dei dati, devono essere disponibili procedure che garantiscano la disponibilità e l’integrità dei dati.

Nel caso di smaltimento di hw di proprietà di terzi (es. clienti) si dovranno considerare accordi, contratti e normative applicabili e documentare il processo eseguito.

Nel caso di smaltimento degli apparati o di un’intera sala server è necessario un piano mirato, che diviene ancor più complesso nel caso di smantellamento di un data center.

La “dimensione” dello smaltimento può richiedere un’analisi di impatto ad hoc sull’intero sistema informativo.

Le misure da intraprendere saranno pur sempre proporzionate alla tipologia di dati presenti nelle memorie. Nei casi più critici diventa opportuna la gestione della catena di custodia [dove vanno a finire, e sotto la responsabilità di chi, sia l’hw che il sw e i dati contenuti nei dispositivi dal momento della decisione di smaltimento al conferimento e alla migrazione o completa eliminazione; ndr].

[Giova ricordare che, fatti salvi tutti i principi di protezione dei dati insiti nella soprastante sintesi dell’articolo, il conferimento fisico dei dispositivi elettronici (denominati rifiuti RAEE) professionali, cioè non domestici, non può essere fatto in tutte le isole ecologiche (centri di raccolta comunali), bensì nei solo nei centri autorizzati al trattamento dei RAEE, secondo procedure fissate da diverse leggi e regolamenti, che includono la tenuta di un formulario di identificazione dei rifiuti. Ciò può far decidere di utilizzare un servizio esterno del settore. Da un punto di vista amministrativo, inoltre, la dismissione di beni di imprese e professionisti deve seguire un preciso iter, al fine di evitare la presunzione fiscale di cessione, con aggiornamento del libro dei cespiti, o libro dei beni ammortizzabili, se ivi elencati (dipende dal valore dei beni stessi). Ndr]

Le informazioni verbali: come proteggerle secondo la norma 27002 e non solo

L’articolo Tutela della riservatezza delle informazioni aziendali e ISO 27002:2022: le misure di sicurezza per i trattamenti di dati personali verbali prende in esame i trattamenti verbali dei dati, in quanto anch’essi regolati dal controllo 5.14 “Information transfer control” [provvedimento per la sicurezza dei dati nel trasferimento delle informazioni, ndr] della nuova ISO/IEC 27002:2022. Si tratta di un controllo di tipo “preventivo”, volto a tutelare dalla perdita di integrità, riservatezza e disponibilità, ed afferisce ai domini di sicurezza “difesa e “protezione”. Esso prevede che vi siano procedure a proteggere i dati in transito da e per tutte le parti interessate, in modo coerente con l’etichettatura delle informazioni (controllo 5.13 “Labeling of information”) e la loro classificazione (controllo 5.12 “Classification of information”).

E’ prevista la protezione delle informazioni in ogni possibilità d’uso e transito (Controllo 5.10 “Acceptable use of information and other associated assets”), inclusa l’autenticazione dei destinatari. I trasferimenti possono avvenire in modalità elettronica, attraverso supporti fisici e mediante comunicazione verbale.

Le misure per la protezione del trasferimento verbale delle informazioni sono quasi tutte di natura organizzativa:

  • evitare conversazioni riservate in luoghi pubblici o attraverso canali facilmente accessibili a non autorizzati,
  • evitare messaggi riservati tramite messaggistica istantanea [telecomunicazione in tempo reale tramite internet o rete locale; ndr], segreterie telefoniche e assistenti vocali,
  • proteggere il locale in cui avviene la comunicazione (porte chiuse, pareti sufficientemente insonorizzate),
  • informare i partecipanti sul livello di riservatezza, sulle responsabilità, sulle misure da intraprendere in relazione alla conversazione che deve avere luogo.

Tra le altre azioni consigliate dall’autore dell’articolo:

  • spegnere i cellulari [e aggiungiamo: trasferire altrove qualsiasi assistente vocale; ndr],
  • durante interlocuzione con terzi, porre attenzione all’attuazione di tecniche manipolatorie (social engineering) finalizzate a carpire informazioni,
  • prestare attenzione anche ai segnali para-verbali dell’interlocutore [possono dare indicazioni ulteriori rispetto alla comunicazione verbale; ndr].

Questo processo di protezione delle informazioni verbali deve essere inserito in una procedura, quale le istruzioni per gli autorizzati al trattamento (Art. 29 del GDR) e deve prevedere la formazione e la consapevolezza del personale.

L’articolo fornisce inoltre strategie generali per effettuare una formazione incisiva e coinvolgente:

  • l’ascolto attivo richiede, oltre al prestare molta attenzione a ciò che viene detto, di mantenere un contatto visivo con l’interlocutore, mantenersi rivolti ad esso ma non di fronte, evitare di agitarsi,
  • comunicare le regole da seguire durante la formazione o ancor meglio definirle con i partecipanti,
  • esporre esempi riconducibili al contesto aziendale.

 

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Per l’utilizzo dell’intelligenza artificiale con dati personali è necessaria un’adeguata valutazione di impatto

L’oggetto dell’articolo Protezione dati personali e Intelligenza Artificiale: sempre più complessa e difficile l’attività dei Data Protection Officer è il pronunciamento, e la pesante sanzione, da parte dell’Autorità Garante ungherese, contro una banca la quale, in sintesi, ha utilizzato l’intelligenza artificiale per rilevare stati di emotività dei clienti nelle telefonate alla banca (preventivamente registrate), con lo scopo finale di farli ricontattare da personale adeguato a scongiurare il rischio di disaffezione. Sono risultate mancanti la valutazione di impatto e misure a tutela degli interessati e l’informativa fornita non era affatto sufficiente a far comprendere agli utenti quali trattamenti venissero effettuati.

Ciò che è da notare, con valenza generale, è che le tecnologie di intelligenza artificiale, anche per il fatto che non vi è certezza assoluta sui risultati che producono, difficilmente si sviluppano con modalità trasparenti e immediatamente intuibili dagli interessati, per cui sono necessarie misure di salvaguardia rafforzate, a partire dalla informativa. Ed è facile che l’utilizzo effettivo e finale dell’intelligenza artificiale, con riuso dei dati, comprenda finalità inizialmente non previste all’atto della raccolta dei dati stessi.

L’autore enfatizza infine che il DPO dovrebbe essere esperto anche di queste tecnologie o affiancato da persone competenti in merito, in modo da mettere i titolari al riparo da provvedimenti e sanzioni.

L’utilizzo della realtà virtuale necessita del rispetto delle regole del GDPR, inclusa la valutazione di impatto

Senza entrare nelle casistiche applicative elencate dall’articolo Sempre più diffuse le tecniche di realtà virtuale, ma occorre cautela sul trattamento dei dati personali, si coglie l’occasione per riportare la definizione di realtà virtuale e le implicazioni relative alla protezione dei dati personali.

<< Con il termine realtà virtuale (Rv) si intende una situazione simulata mediante uso di computer e dispositivo. Tale situazione è percepita allo stesso modo della realtà fisica e, quindi, con una immersione totale della persona nella simulazione. Nella pratica occorre indossare un visore, che proietta le immagini che prendono il posto dell’ambiente fisico reale. Come è stato efficacemente descritto «la realtà virtuale coincide con una dimensione digitale che si sostituisce integralmente al mondo reale e in questa dimensione la persona vive un’esperienza in un mondo creato al computer, abbandonando qualsiasi contatto con la realtà vera. Indossando un visore si è catapultati in un mondo interamente digitale, dove è possibile interagire con un ambiente tridimensionale.» >>

Tutti i sistemi di realtà virtuale implicano un trattamento di dati personali e la tecnologia deve allinearsi alle regole giuridiche di garanzie per le persone, a partire dal GDPR. I sistemi consentono, in effetti, di raccogliere una quantità enorme di dati sugli individui che ne fanno uso e di stilare di questi ultimi uno o più profili soggettivi e comportamentali. Le potenzialità invasive sono enormi così come i possibili abusi e le eventuali discriminazioni. E’ necessario, quindi, rispettare la privacy delle persone, definire chi è il titolare del trattamento, quale finalità persegue e su quali basi giuridiche e redigere, prima di iniziare qualsiasi progetto, una valutazione di impatto sui dati con il dettaglio delle misure di protezione.

La realtà tangibile, aumentata e virtuale: in una parola il metaverso. Benefici e rischi

L’articolo Metaverso: gli impatti per la privacy, tra interrogativi e possibili scenari esprime le apprensioni dell’autore circa i diritti e doveri per la privacy, sicurezza dei dati e altri aspetti giuridici, relativamente al metaverso, intravedendone un rapido sviluppo. [Si coglie l’occasione per introdurre una definizione, sebbene non l’unica, di questa nuova realtà: Il Metaverso è la prossima evoluzione di internet, che supporta ambienti virtuali 3D online permanenti: al suo interno, esperienze virtuali globalmente accessibili, contenuti 3D in tempo reale e altri media correlati sono costantemente collegati e consultabili tramite realtà aumentata e virtuale, ma anche attraverso dispositivi come PC o cellulari. Ndr]

Secondo l’autore, il metaverso è una realtà ibrida tra quella digitale e quella aumentata dove, entro i prossimi dieci o quindici anni secondo le previsioni, i nostri avatar si muoveranno e interagiranno. Il metaverso si presta ad ospitare esperienze di moda, architettura, design, arte e spettacolo in generale fino al gaming. Il metaverso potrebbe sostituire, in certi casi, l’intera attività di ufficio che abbiamo vissuto sino a prima della pandemia.

Poiché gli avatar che popolano il mondo digitale rappresentano l’identità delle persone, essi sono soggetti agli stessi diritti e responsabilità degli esseri umani. La sfida è di regolamentare questa nuova forma digitale. L’Unione Europea si sta muovendo attraverso proposte di regolamenti, tra cui, il più concreto sinora, quello relativo a regole armonizzate sull’intelligenza artificiale (AI). 

La conformità delle piattaforme dovrà passare attraverso la tutela dell’identità, la libertà di espressione, l’individuazione e condanna dei reati e dei comportamenti scorretti degli utenti fino al furto di dati personali. E specificamente riguardo alla privacy dovrà rispettare requisiti quali il principio di minimizzazione dei dati, l’informativa circa il trattamento, la raccolta dei consensi così come la possibilità di revoca degli stessi.

 

RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Sostenibilità e Privacy

L’articolo Privacy & Sostenibilità: gli impatti dell’Agenda 2030 sulla protezione dei dati personali informa che l’Agenda ONU 2030 e 17 obiettivi di sviluppo sostenibile promuovono lo Sviluppo Sostenibile per le persone, il pianeta e la prosperità. Vengono proposti 240 indicatori per la verifica dello stato di raggiungimento di tali obiettivi.

La sostenibilità può essere definita attraverso i fattori ESG:

  • Ambiente (inquinamento, emissioni, consumo di risorse) – Environmental (E) 
  • Sociale – Social (S) 
    • Socialità (diritti umani e prassi di lavoro)
    • Business ethics (corrette pratiche commerciali e nel rapporto col consumatore/cliente).
    • Salute e sicurezza sui luoghi di lavoro
  • Governance (G)

Purtroppo pare manchi un preciso riferimento alla connettività ed a politiche di protezione dei dati personali, anche se questa traspare da alcuni degli obiettivi. Tantomeno sono esaminati gli impatti che le stesse azioni da effettuare per il perseguimento della sostenibilità hanno sui dati personali stessi, mentre questi impatti possono essere conseguenti sia alle azioni che alla determinazione degli indicatori per lo sviluppo della sostenibilità. [Le gestione dei rischi in merito resta quindi a carico delle organizzazioni che intendono conformarsi all’Agenda 2030; ndr]

Accessibilità ai dati personali e trasparenza

L’articolo Il concetto di accessibilità come base imprescindibile per l’esercizio dei diritti sulla privacy ci ricorda che l’accessibilità ai propri dati è uno dei diritti degli interessati ed appartiene all’ambito, più vasto, della trasparenza.

Ma non è sufficiente rendere conoscibili all’interessato le informazioni che lo riguardano: è necessario che le modalità di accesso siano facili da utilizzare.In pratica, gli interessati non dovrebbero essere costretti a scrivere una email o peggio una PEC, ma, per opporsi al trattamento o revocare un consenso, usufruire possibilmente di un link a fondo pagina di una email ricevuta, oppure di un semplice form in una pagina web.

L’impostazione by design di un processo di trattamento dei dati personali dovrebbe prevedere già agevoli modalità di esercizio dei propri diritti da parte degli interessati. L’utente non dovrebbe dover ricorrere a più di un paio di click o alla lettura di più di 5 righe e si dovrebbe tener conto anche del livello medio degli interlocutori, a maggior ragione se appartenessero a categorie particolarmente vulnerabili.

Nel marzo 2021 la Commissione europea ha adottato la “strategia sui diritti delle persone con disabilità 2021-2030”, la quale ha l’obiettivo di garantire che tutti in Europa possano godere dei loro diritti umani, avere pari opportunità e parità di accesso alla società e all’economia, essere in grado di decidere dove, come e con chi vivere, circolare liberamente nell’UE indipendentemente dalle loro esigenze di assistenza, non essere più vittime di discriminazioni. Anche l’aspetto relativo all’accessibilità ai propri dati personali rientra in questo ambito.

Per il principio della trasparenza, deve essere chiaro come l’interessato raccoglierà, utilizzerà e condividerà i dati personali.

Secondo le Linee guida n.4 2019 sulla “Protezione dei dati fin dalla progettazione e per impostazione predefinita”, pubblicate dall’European Data Protection Board (EDPB), il principio di trasparenza deve includere [quanto segue è riportato integralmente dall’articolo corrente; ndt]:

  • chiarezza – le informazioni sono fornite in un linguaggio chiaro e semplice, conciso e comprensibile;
  • semantica – la comunicazione deve avere un significato chiaro per il pubblico a cui è rivolta;
  • accessibilità – le informazioni sono facilmente accessibili per l’interessato;
  • contestualità – le informazioni devono essere fornite al momento opportuno e nella forma adeguata;
  • pertinenza – le informazioni devono essere pertinenti e applicabili all’interessato specifico;
  • progettazione universale – le informazioni sono accessibili a tutti gli interessati, compreso l’utilizzo di linguaggi leggibili da una macchina per agevolare e automatizzare la leggibilità e la chiarezza;
  • comprensibilità – gli interessati devono avere una buona comprensione di ciò che possono aspettarsi dal trattamento dei loro dati personali, in particolare quando si tratti di minori o di soggetti appartenenti ad altre categorie vulnerabili;
  • multicanalità – le informazioni dovrebbero essere fornite attraverso canali e mezzi di comunicazione diversi, non solo quelli testuali, per aumentare la probabilità che raggiungano efficacemente l’interessato;
  • approccio multilivello – le informazioni devono essere fornite secondo un approccio multilivello, in modo da garantire un equilibrio tra completezza e comprensibilità, rispecchiando le ragionevoli aspettative degli interessati.

Infine, devono essere assolutamente evitati i Dark Patterns, cioè le interfacce che inducono gli utenti a prendere decisioni non volute, involontarie e potenzialmente dannose riguardo ai loro dati personali.

I cookie Google Analytics sono un problema

L’articolo Le criticità su Google Analytics ci sono, ma prima di rimuoverlo seguendo le minacce degli hacker è opportuno fare valutazioni caso per caso riepiloga la situazione del trasferimento dei dati personali in USA, prendendo spunto da una pec, indirizzata da un gruppo hacker a società pubbliche, con la quale si invitavano gli enti a rimuovere i cookie Google Analytics in favore di Web Analytics Italia, minacciando una segnalazione al Garante.

Nel luglio 2020, con la cosiddetta sentenza Schrems, la Corte di giustizia europea ha dichiarato non valido l’ “US- EU Privacy Shield”, che legittimava lo scambio di dati personali tra USA e Unione Europea. La possibilità di ottenere l’accesso ai dati personali, da parte del “Foreign Intelligence Surveillance Act (FISA) e di altre organizzazioni per la sicurezza nazionale americana, viola le regole sui trasferimenti internazionali di dati nel GDPR.

In riferimento a tale sentenza, nel dicembre 2021 il Garante austriaco ha dichiarato illegale l’uso di Google Analytics, in quanto esportano negli USA gli indirizzi IP e gli ID univoci dei naviganti dei siti web che adottano questi cookie. Le misure di protezione impiegate da Google (quali le Clausole Contrattuali Standard) non sono state considerate sufficienti. Nel febbraio 2022 anche il Garante francese si è allineato a tale pronunciamento [e nel mese di giugno 2022 il Garante italiano ha emesso un provvedimento indirizzato, di fatto, a vietare l’uso dei cookie di Google Analytics; ndr].

La soluzione non potrà che essere politica magari attraverso il “varo” del Trans-Atlantic Data Privacy Framework, il nuovo accordo tra Unione Europea e USA annunciato lo scorso marzo durante la visita del presidente USa in Europa. Il relativo comunicato prospetta quanto segue:

  1. nuove regole e garanzie statunitensi per limitare l’accesso ai dati da parte delle agenzie di intelligence, in modo che esso rispetti il criterio di “proporzionalità” (tra scopo/necessità e trattamento);
  2. un sistema di ricorso (contro il trattamento) da parte dei cittadini europei, che prevede il coinvolgimento di un’apposita Corte di Riesame;
  3. l’obbligo per le aziende, che trattano i dati provenienti dalla UE, di autocertificare la propria adesione ai Principi formulati dal Dipartimento del commercio degli Stati Uniti;
  4. Particolari meccanismi di monitoraggio e revisione dell’accordo.

L’autore dell’articolo conclude comunque che difficilmente, a suo giudizio, gli USA rinunceranno alla completa salvaguardia della propria sicurezza nazionale.

Il Data Governance Act riguarda dati personali e non, con un parallelismo rispetto al GDPR

L’articolo Data Governance Act: una nuova sfida per la tutela dei dati personali ripropone l’atto sulla governance dei dati (Data Governance Act – DGA), approvato dal Parlamento europeo e dal Consiglio dell’UE. Questo atto legislativo è volto a promuovere la disponibilità di dati e a creare un ambiente affidabile per facilitare il loro uso a fini di ricerca e per la creazione di nuovi servizi e prodotti innovativi. [Il precedente articolo L’approvazione del Data Governance Act segna l’avvio di una nuova fase dell’economia europea basata sui dati dalla quale non torneremo più indietro, di cui si è data sintesi nella newsletter di giugno, parla già diffusamente del Data Governance Act. Nel presente articolo si aggiunge quanto segue.]

Il DGA non modifica alcun requisito del GDPR ed i dati personali che saranno trattati in base al DGA dovranno rispettare tali requisiti: in caso di contrasto tra i due regolamenti, prevale il GDPR.

Peraltro il DGA introduce, per tutti i dati anche non personali, tutele analoghe a quelle del GDPR, quali le tutele per i dati detenuti da enti pubblici, i servizi di intermediazione dei dati e le organizzazioni per l’altruismo dei dati al fine di proteggerli dal trasferimento internazionale illecito o dall’accesso governativo illecito [trasferimento verso paesi terzi; ndr]. A tal fine la Commissione UE può adottare clausole contrattuali tipo per sostenere gli enti pubblici e i riutilizzatori.

 

IN BREVE, DALL’ITALIA E DAL MONDO

Sempre troppo pochi i codici di condotta per la conformità al GDPR

Dall’articolo I codici di condotta con il GDPR: la circolare di Federprivacy si rileva che il Garante della privacy ha pubblicato il Registro dei Codici di Condotta, promossi dall’art. 40 del Regolamento UE 2016/679 e finalizzati alla miglior gestione dei rischi inerenti i trattamenti di dati personali, nelle “specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese”.

Purtroppo, a 4 anni dall’entrata in vigore del GDPR, i codici di condotta emessi in Italia sono solo i seguenti:

  • Codice di condotta per il trattamento dei dati personali in materia di informazioni Commerciali; 
  • Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti; 
  • Codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica

Ancora regolamenti: il Data Governance Act (DGA)

L’articolo L’approvazione del Data Governance Act segna l’avvio di una nuova fase dell’economia europea basata sui dati dalla quale non torneremo più indietro informa che il Consiglio della UE ha recentemente approvato il Digital Governance Act che entrerà in vigore nella UE entro l’estate e dovrà essere applicato negli Stati membri entro ulteriori 12 mesi. Il suo scopo, entro una più vasta strategia, è di creare uno spazio unico europeo dei dati che ne consenta anche la condivisione, dando fiducia agli utenti dei servizi digitali a fronte di regole coerenti coi diritti fondamentali della UE.

Il Digital Governance Act si inquadra dunque nella logica del GDPR, il cui fine principale non è tanto quello di rafforzare la protezione dei dati personali in generale, ma di consolidare la libera circolazione dei dati personali stabilendo regole di tutela.

L’oggetto e l’ambito di applicazione del DGA (Art. 1) sono:

  • le condizioni per il riutilizzo all’interno dell’Unione di determinate categorie di dati detenuti da enti pubblici;
  • un quadro di notifica e controllo per la fornitura di servizi di intermediazione dei dati;
  • un quadro per la registrazione volontaria delle entità che raccolgono e trattano i dati messi a disposizione a fini altruistici;
  • un quadro per l’istituzione di un comitato europeo per l’innovazione in materia di dati.

In base all’architettura dell’ “altruismo dei dati”, la condivisione è sempre una scelta o dei singoli enti pubblici o del diritto nazionale, non un’imposizione, e la condivisione dei dati non deve avere alla base la vendita dei dati stessi. Agli Stati membri resta un amplissimo spazio discrezionale circa l’estensione di questa condivisione, tenendo presente l’interesse di consentire lo sviluppo delle proprie economie nazionali, a fronte della condivisione dei dati tra tutti i sistemi all’interno dell’Unione, e le necessità di tutela della sicurezza nazionale.

Le varie clausole del DGA comportano che ogni stato istituisca un apposito ente competente a ricevere le richieste di informazione e di condivisione e riutilizzo dei dati. Le PMI dovrebbero essere agevolate da uno specifico canale informativo. Dovrà essere reso disponibile un un registro consultabile dei dati che possono essere richiesti. Dovrà esserci un’Autorità nazionale per svolgere i compiti di monitoraggio e eventuale notifica e sanzione per i servizi di intermediazione dei dati.

Lo stesso autore dell’articolo afferma che il GDA potrebbe porre in essere un complesso apparato burocratico, fonte di costi economici e giuridico-organizzativi non indifferenti.

 

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Il Garante della Privacy ha sanzionato l’Inail per tre data breach che hanno comportato l’accesso non autorizzato ai dati sulla salute di alcuni lavoratori: tutti gli enti pubblici devono adottare adeguate misure tecniche e organizzative per evitare violazioni dei dati personali.
  • Videosorveglianza: nel 92% dei casi le telecamere violano normativa sulla privacy: oltre 4 milioni di euro il valore delle sanzioni per violazioni del GDPR dovuto a non conformità delle telecamere installate; il primato alla Spagna.
  • L’autorità per la protezione dei dati personali francese ha intimato a 22 comuni di nominare un DPO entro quattro mesi, cosa prevista dal GDPR come obbligatoria per tutte le pubbliche amministrazioni.
  • Il Monte dei Paschi di Siena ha dato notizia, secondo l’Art. 34 del GDPR, di un attacco informatico subìto, che ha riguardato gli indirizzi email di un numero imprecisato di clienti
  • Il Garante ha sanzionato di 500 mila Euro una ditta, per l’utilizzo, illegittimo, di elenchi telefonici non estratti dal Data Base Unico (DBU), cioè dall’archivio elettronico unico che raccoglie i numeri telefonici e i dati dei clienti di tutti gli Operatori nazionali di telefonia diffusi tramite elenchi pubblici.
  • Dalla relazione annuale dell’Autorità Garante per la Privacy: nel 2021 oltre il 50 % di provvedimenti in più dell’anno prima, di cui la maggior parte sanzionati, per un valore complessivo di 13,5 milioni di € riscossi. Stesso incremento è stato registrato per i data-breach, spesso sfociati in diffusione di dati personali, per cui Il Garante ha anche sollecitato a mettere in atto misure contro il ransomware. [E’ da notare il divario tra le sanzioni riscosse e quelle comminate perché solo relativamente al controllo a distanza, al telemarketing e all’uso di dati biometrici le sanzioni sono state di 5, 38 e 20 milioni di € rispettivamente. Ndr]. Le ispezioni sono state solo 49, nonostante l’intervento anche dell’apposito nucleo della Guardia di Finanza e il basso numero è stato giustificato dalla pandemia. Le ispezioni hanno comunque abbracciato diversi campi, tra cui la fornitura di banche dati, la videosorveglianza, i data-breach, la profilazione e il marketing.
  • Un hacker ha dichiarato di avere sottratto informazioni personali di un miliardo di cittadini cinesi, da un database della polizia di Shanghai, ed ha messo in vendita i dati. Si tratta probabilmente del più grande data-breach mondiale avvenuto sinora.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys