GDPR, Privacy e Sicurezza /

Protezione dati e cybersicurezza sono intimamente collegate

Protezione dati e cybersicurezza sono intimamente collegate

20 Novembre 2018 Redazione SoloTablet
SoloTablet
Redazione SoloTablet
share
Il framework normativo del GDPR, nei suoi punti principali, è abbastanza chiaro. Non bisogna confondere la complessità con assenza di chiarezza.

 

Realtà e leggende del GDPR applicato

Superata la scadenza del 25 maggio 2018, i dubbi legati alla complessità di applicazione del GDPR non sono ancora tutti chiariti, i tanti timori diffusi sono ancora da provare come fondati. Nel frattempo leggende e narrazioni fantasiose continuano a proliferare, complice la scarsa conoscenza della materia da parte dei media e le loro imprecise e inadeguate, ma anche la percezione diffusa sulla necessità e obbligatorietà di una sua osservanza così come l'assenza di interventi tempestivi per negarne la consistenza o adeguatezza da parte di legislatori e autorità istituzionali.

SoloTablet ospita da sempre contenuti e contributi legati a tematiche tecnologiche con effetti reali sulla vita individuale e sociale delle persone. Il 2018 sarà ricordato per l’applicabilità del GDPR e l’insorgere di numerose problematiche, riflessioni e iniziative ad esso collegate. L’implementazione del GDPR in Italia ha evidenziato numerosi aspetti ed elementi di criticità. Tutti associati alla tutela, alla riservatezza del dato e al diritto alla privacy del cittadino europeo. Elementi relativi alla sicurezza e alla privacy ma anche all'implementazione della normativa in azienda, non ancora perfettamente compresi, così come non sempre opportunamente e attentamente valutati, da parte di aziende e organizzazioni, private e pubbliche.

Con l'intenzione di verificare se e quanto questa percezione sia veritiera e valida abbiamo deciso di intervistare alcuni dei protagonisti del GDPR italiani: DPO (Data Protection Officer), consulenti, CIO, studi legali, ecc.

Questa intervista vede la partecipazione di Matteo Navacci, DPO e Consulente Data protection, che ringraziamo per avere accettato la proposta di SoloTablet per una riflessione condivisa sul GDPR.


Buongiorno Dott. Navacci, ci può raccontare qualcosa di lei e della sua proposizione in ambito GDPR?

Grazie per avermi concesso l’opportunità di raccontare il mio punto di vista su un tema che mi sta a cuore. Lavoro come consulente data protection e faccio parte del team DPO presso Net Patrol Italia, una società con sede a Milano che si occupa di consulenza manageriale in materia di data protection e cybersecurity.

Inoltre sono co-fondatore di Privacy Network, una rete di professionisti della data protection diffusa sul territorio italiano, che si occupa di consulenza manageriale, divulgazione ed è occasione di confronto tra professionisti.

Ho una laurea in Giurisprudenza e sono da sempre appassionato di tecnologia e privacy. Nel privato faccio quello che posso per diffondere la cultura della privacy, anche attraverso il mio blog personale ed i social networks.

Il mio lavoro mi permette di confrontarmi ogni giorno con realtà aziendali molto eterogenee: dalla microimpresa alla multinazionale con sedi in tutto il mondo. Per questo penso di avere un quadro abbastanza chiaro della situazione attuale in ambito GDPR.

 

A pochi mesi dall'applicabilità del GDPR in Italia ci potrebbe raccontare quale è stato il percorso che secondo lei ha caratterizzato la sua implementazione in Italia? L'impressione che ne abbiamo derivato la possiamo riassumere in ritardi dettati da scarsa conoscenza e assenza di senso dell'urgenza, in ampi spazi di deroga lasciati al legislatore nazionale che hanno legittimato i ritardi e limitato gli interventi ufficiali e in molta confusione che persiste ancora ora. Lei cosa ne pensa?

Nonostante il GDPR sia entrato in vigore nel 2016, il processo di adeguamento si può considerare ancora agli albori. L’assenza di senso di urgenza è dovuta al fatto che la protezione dei dati personali fino al 25 maggio era relegata ad un ambito molto marginale dei processi aziendali; un mero adempimento formale. Adesso le cose sono cambiate, e sono destinate a cambiare ancora, ma è una rivoluzione culturale che richiederà tempo.

Le grandi realtà sono già a buon punto nel processo di adeguamento al GDPR, mentre le PMI navigano ancora in alto mare. La Pubblica Amministrazione è un capitolo a parte, ma possiamo dire che naviga nelle stesse acque delle PMI.

Sicuramente l’attività del legislatore italiano non ha aiutato nel recepire correttamente il GDPR: il recente D.Lgs 101/2018 risulta eccessivamente convoluto in molte sue parti, a causa della tecnica normativa “taglia e cuci”. Le numerose disposizioni transitorie, che attribuiscono peraltro poteri di soft law al Garante, non fanno altro che aumentare le incertezze, che dureranno almeno fino a Marzo 2019. Non bisogna dimenticare inoltre che il D.Lgs 101/2018 ha introdotto una serie di disposizioni ulteriori rispetto a quelle di abrogazione e modifica del Codice, che vanno ad aggiungersi al Codice stesso ed al GDPR.

 

 

Le molteplici interpretazioni del GDPR obbligano a fare chiarezza su molti aspetti di una normativa, curata e puntigliosa ma anche complessa e aperta a possibili letture fuorvianti o sbagliate.  In particolare maggiore chiarezza sarebbe necessaria su quali siano i destinatari aziendali di alcune norme rispetto ad esempio alle nomine dei Data Protection Officer. Secondo lei quali sono gli ambiti sui quali una maggiore chiarezza potrebbe ancora essere fatta? A chi potrebbe essere utile?

In realtà ritengo che il framework normativo del GDPR, nei suoi punti principali, sia abbastanza chiaro. Non bisogna confondere la complessità con assenza di chiarezza.

Il GDPR è soltanto un tassello nel panorama della Data protection Europea. Le Opinion del Working Party 29 (ora EDPB), i provvedimenti delle Autorità Garanti, le sentenze della Corte di Giustizia dell’Unione Europea, gli standard in materia di sicurezza delle informazioni e dei sistemi informativi, gli standard in materia di cybersecurity, costituiscono un unicum normativo che va affrontato come tale. La materia è indubbiamente molto complessa e va studiata a fondo, ma se non ci si limita al superficiale si scoprirà che le risposte esistono, bisogna solo essere in grado di trovarle ed applicarle al caso concreto.

Per quanto riguarda il DPO: è vero che i criteri di “larga scala”, e “monitoraggio regolare e sistematico” sono suscettibili di interpretazione, ma è pur vero che il principio fondamentale del GDPR è quello della responsabilizzazione. Se in azienda si trattano grandi quantità di dati personali o di categorie particolari di dati personali; se si utilizzano soluzioni automatizzate o semi-automatizzate per il trattamento (ad esempio per la performance review dei dipendenti o per la selezione di personale) o ancora se si eseguono attività di profilazione… secondo me sarebbe opportuno dotarsi di DPO, a prescindere dall’obbligatorietà.

Penso che ogni azienda orientata verso il futuro abbia bisogno di una o più persone che si occupano di supervisionare il trattamento di dati personali ed i rischi annessi, soprattutto nel momento in cui si vogliono iniziare nuovi progetti che coinvolgono tecnologie innovative. L’adeguamento al GDPR non può essere relegato agli uffici legal e compliance, perché non è di quello che parla il Regolamento.

 

Dalla lettura del regolamento europeo si evince che molte delle formulazioni sono condizionate a scelte che devono essere fatte a livello nazionale. E' come se il legislatore europeo avesse deciso di evitare l'imposizione di precetti o ordini precisi pur avendo definito un framework di riferimento stringente e a suo modo vincolante. Secondo lei quanto è vincolante il GDPR a livello nazionale e quali spazi di manovra hanno i legislatori locali e le realtà che devono implementarlo?

Gli spazi di manovra dei legislatori nazionali sono ben definiti dal Regolamento, che indica pedissequamente i campi in cui il legislatore può intervenire con misure più specifiche rispetto a quanto previsto, che poi è quello che è stato fatto col D.Lgs 101/2018. Chiaramente non bisogna dimenticare che ciò che veramente importa ai fini dell’applicazione del GDPR sono i principi in esso definiti, che permeano ogni ambito in cui ci sia un trattamento di dati personali.

È proprio notizia di questi giorni l’intervento del Garante in materia di fatturazione elettronica.

I principi applicabili ai trattamenti delineati nel GDPR sono parametro di legittimità di qualsiasi trattamento di dati personali, a prescindere dal settore, ed il legislatore in questo deve semplicemente adeguarsi, senza spazi di manovra. È forse la prima volta nella storia dell’Unione Europea che un ambito del diritto così importante è regolato in modo uniforme tra tutti gli Stati Membri.

 

 

Il 25 maggio 2018 ha marcato l’applicabilità del GDPR ma ha anche riempito di email le caselle postali di milioni di cittadini europei alla ricerca del consenso sull'uso dei dati e della reimpostazione della privacy individuale. Il consenso richiesto su tutti i dati è però una forzatura del GDPR che non impone vincoli su tutti i trattamenti. Quali sono i dati che vanno legati al consenso e in che modo si intersecano con quello che in giurisprudenza è chiamato legittimo interesse? Quali sono le vulnerabilità del GDPR in merito alla gestione del consenso, ad esempio riferito all'utilizzo dei cookies?

Il consenso è sicuramente ancora rilevante per alcuni trattamenti particolari come la profilazione ed il marketing, ma è pur vero che ormai è considerato una condizione di liceità residuale rispetto alle altre ipotesi previste dall’art. 6 del Regolamento. Nello spazio che ha lasciato il consenso si è inserito il legittimo interesse, che col GDPR ha ritrovato importante linfa vitale ed è ormai la base giuridica di riferimento per le pratiche di c.d. soft spam, cioè tutti quei casi di advertising verso clienti che hanno precedentemente acquistato un prodotto o servizio del titolare.

Un produttore di beni o servizi non ha bisogno del consenso per inviare comunicazioni pubblicitarie ai clienti che hanno già acquistato presso di lui beni o servizi, - a patto che le comunicazioni pubblicitarie siano analoghe ai prodotti acquistati. Attenzione però a non abusare del legittimo interesse: è una base giuridica che necessità di una valutazione preliminare di bilanciamento fra interessi contrapposti prima di poter essere utilizzata. Non basta scrivere in informativa che un trattamento è effettuato sulla base del legittimo interesse del titolare per essere a posto.

Per i cookies il discorso è più complesso. È vero che dovrebbe chiedersi il consenso dell’utente prima di attivare cookies di profilazione e marketing, ma è pur vero che ogni nostra azione sul web viene tracciata a prescindere dal nostro consenso. In questo il GDPR ha avuto, purtroppo, scarso impatto. Spero che il Regolamento ePrivacy contribuirà positivamente in questo senso, anche se temo che sarà difficile. Probabilmente in questo senso aiutano di più le c.d. Privacy Enhancing Technologies, cioè quei software in grado di limitare le attività di monitoraggio online, una sorta di opt-out preventivo ai tentativi di tracking.

 

I media non sembrano avere dato troppa attenzione alla scadenza del 25 maggio 2018. Lo hanno fatto per una sottovalutazione del GDPR o perché tutto è filato liscio e non ci sono stati fatti di cronaca meritevoli di prime pagine? Eppure il panico poteva essere una conseguenza e una causa di cattive esperienze. Quello che è certo è che come il Millennium Bug anche il GDPR non ha marcato alcuna fine del mondo ma solo l'inizio di una nuova era. Secondo lei quante sono le realtà che hanno travalicato il 25 maggio senza essere pronte e cosa possono fare, ad esempio collaborando con aziende partner, per porvi rimedio? In fondo anche la stessa Commissione Europea è in ritardo su molte adempienze e tanto meno il legislatore nazionale!

Nessuno era pronto il 25 maggio. Le realtà più grandi hanno cominciato a muoversi prima del 25 maggio, ma il processo di adeguamento al GDPR è talmente complesso che c’è ancora molto da fare. Non parlo chiaramente degli adempimenti formali come l’aggiornamento delle informative o l’elaborazione del registro delle attività di trattamento, ma del nocciolo duro del GDPR, ciò che veramente conta: processi, procedure, e risk management.

Le PMI e la Pubblica Amministrazione sono ancora alla fase formale del GDPR, e probabilmente ci vorranno almeno un paio d’anni prima che il livello di adeguamento possa essere considerato accettabile. Purtroppo c’è ancora tanto rumore e confusione, e molti imprenditori e professionisti italiani non hanno ancora avuto modo di comprendere il nuovo Regolamento.

 

Cosa dovrebbe fare un'azienda che non ha ancora implementato il GDPR? Dovrebbe accelerare per farlo per timore delle sanzioni o darsi tutto il tempo che serve per comprenderne l'essenza in termini di come devono essere trattati i dati e soluzioni utili e/o necessarie per la loro protezione ma anche per gestire le criticità organizzative e operative?

Sicuramente le aziende, tutte, devono iniziare il più presto possibile un percorso di adeguamento.

Questo non lo dico per interesse personale, ma perché il GDPR impone una catena virtuosa che parte dalle realtà più grandi e coinvolge tutti, anche le microimprese e liberi professionisti. I titolari del trattamento hanno la responsabilità di scegliere fornitori che siano in grado di garantire trattamenti conformi al regolamento e che possano garantire la tutela dei diritti dell’interessato. Significa, in buona sostanza, che chi vorrà continuare a lavorare con grandi realtà o con la pubblica amministrazione, dovrà dimostrare il proprio adeguamento al GDPR, stimolando così una catena virtuosa che parte dal più grande fino ad arrivare al più piccolo.

D’altronde la Data protection è intimamente legata al tema della cybersecurity, che condivide lo stesso concetto di fondo: tutti coloro che concorrono nella “cyber supply chain” devono assumere misure tecniche ed organizzative adeguate al rischio, dal più grande al più piccolo. Il fallimento di un anello della catena rischia di coinvolgere tutti gli altri. È quello che è successo nel 2017 con il malware WannaCry in Gran Bretagna: l’errore di qualcuno ha messo in ginocchio tutta la catena di ospedali collegati, che a causa dell’attacco non sono stati in grado di elargire le cure necessarie ai loro pazienti fino al ripristino dei sistemi.

 

Infine un'ultima domanda. Su molti media americani si è parlato di GDPR come killer della democrazia di Internet per i numerosi vincoli che pone all'uso dei dati e per avere causato la messa offline di numerose testate o risorse web. Il GDPR sembra essere percepito come clava nei confronti dei produttori americani di piattaforme tecnologiche e come tale capace di mettere in crisi la Rete. Lei cosa ne pensa? Non è la difesa della privacy e la ricerca del consenso la dimostrazione di una democrazia migliore o quanto meno della sua interpretazione europea?

Il GDPR è forse la prima vera misura politica a difesa della democrazia del 21esimo secolo. Viviamo in un periodo in cui l’asimmetria informativa tra le grandi corporazioni ed i consumatori è ai massimi storici. Siamo tutti costantemente monitorati e profilati, anche a prescindere dal nostro consenso. Il GDPR non è certo la soluzione definitiva ma è un buon punto di partenza per cercare di limitare gli effetti catastrofici che possono derivare da una tale concentrazione di potere economico e sociale nelle mani di pochi. Spero che negli anni gli effetti virtuosi del GDPR possano portare ad una trasparenza maggiore e quindi una consapevolezza maggiore degli utenti rispetto alle conseguenze della condivisione dei loro dati personali.

È fondamentale comunque capire che il GDPR è una legge che parla di protezione dei dati personali, non di privacy. Sono due concetti ben distinti. Per alcuni parlare di privacy non ha più senso. Per me invece è fondamentale, oggi più che mai. La privacy, il nostro diritto alla riservatezza, il nostro diritto di scegliere con chi condividere pezzi della nostra vita, va difesa con i denti e con le unghie, o rischiamo di perderla per sempre.

Per concludere ci può raccontare la sua proposizione sul GDPR e sui servizi che compongono il portafoglio d'offerta della sua azienda/consulenza?

Io credo molto nel GDPR come opportunità di elevarsi al di sopra della media, anche oltre l’aspetto della protezione dei dati personali. Il GDPR racconta una metodologia basata sul risk management; un approccio che spesso manca nella cultura imprenditoriale italiana, ed è il motivo per cui servirà del tempo prima che al GDPR sia data una reale attuazione. La valutazione dei rischi però è applicabile in ogni campo umano, ed è alla base di qualsiasi scelta ponderata. Usare il GDPR come pretesto per introdurre questa metodologia nella propria azienda mi sembra un’ottima occasione per rimanere competitivi nel mercato digitale.

Inoltre, il GDPR impone una presa di coscienza anche in ambito cybersecurity, l’altra grande sfida in cui siamo tutti coinvolti. Non è un tema per nerd: cybersecurity non significa soltanto sicurezza informatica, ma significa anche sicurezza delle persone, delle nostre vite. Un attacco informatico può impattare enormemente sulla nostra vita sia dal punto di vista sociale che economico, così come può mettere in ginocchio infrastrutture critiche a cui tutti noi facciamo affidamento ogni giorno della nostra vita. Solo nel 2016 si stima che le aziende italiane abbiano avuto danni per quasi 10 miliardi di euro (fonte: Rapporto Clusit 2018), un numero che nel 2018 sarà probabilmente di molto superiore. Inoltre bisogna tenere in considerazione il danno reputazionale che deriva dal subire un attacco informatico. Io stesso ho deciso di non viaggiare con compagnie aeree che nell’ultimo periodo hanno subito data breach con diffusione di dati personali dei loro clienti. Gli attacchi dimostrano che queste compagnie hanno fallito nell’adottare anche i più basilari standard di sicurezza, come limitare i dati delle carte di credito al minimo necessario, uno dei principali controlli dello standard PCI DSS ed uno dei principi fondamentali del GDPR. Significa che non hanno a cuore la tutela dei consumatori che si affidano a loro per viaggiare.

Infine, man mano che i consumatori e gli utenti aumenteranno la propria consapevolezza, sarà necessario essere in grado di dimostrare di poter trattare dati personali in modo adeguato. È un po’ come l’etichettatura dei prodotti alimentari. Ormai tutti si aspettano etichette chiare, trasparenti, e la tracciabilità del prodotto. Con i dati personali sarà la stessa cosa: informative chiare, trasparenti, e che forniscano tutte le informazioni necessarie per capire effettivamente cosa succede dietro le quinte e quali sono le conseguenze che possono derivare dal trattamento dei nostri dati personali. Chi non sarà in grado di soddisfare questi requisiti sarà escluso dal mercato. Non oggi, non domani, ma fra qualche anno sarà sicuramente così. Per essere competitivi nel futuro occorre però iniziare a lavorare già da oggi.

Net Patrol Italia e Privacy Network offrono ai propri clienti un approccio olistico al GDPR, improntato alla trasparenza ed efficienza delle soluzioni proposte. Siamo fermamente convinti che il GDPR sia un passo importante per acquisire competitività nel mercato, e per questo crediamo che le aziende debbano essere aiutate e messe in grado di acquisire le competenze necessarie per affrontare il mercato, non limitarsi ad eseguire un progetto di compliance meramente formale e fine a sé stesso, che non aiuta né le aziende né le persone.

Oltre alla data protection seguiamo i nostri clienti anche per quanto riguarda la cybersecurity. D’altronde è lo sbocco naturale del GDPR. La sicurezza dei dati è di primaria importanza e lo sarà sempre più, anche in vista delle future certificazioni ai sensi dell’art. 42 del Regolamento. Poter dimostrare ai propri clienti, con un bollino di certificazione, di essere in grado di garantire trattamenti di dati personali corretti, trasparenti e sicuri sarà un importante biglietto da visita nei prossimi anni.

comments powered by Disqus

Sei alla ricerca di uno sviluppatore?

Cerca nel nostro database


Engitel

Engitel è una digital company che si occupa di Web e Mobile sin dal 1995. Realizza...

Vai al profilo

Aidilab srl

Nata nel 2010 come startup dell’Interaction Design Lab (IDA) dell’Università di...

Vai al profilo

RAD Solutions S.R.L

Distributore GeneXus per Italia e Svizzera

Vai al profilo

Minitec2

Specialista in reti e sicurezza sistemi Windows Linux mac tablet, assistenza tecnica...

Vai al profilo