Gdpr, l'awareness sui dati sia la bussola di aziende e PA - CorCom

LE NUOVE REGOLE

Gdpr, l’awareness sui dati sia la bussola di aziende e PA

Il nuovo regolamento impone l’incremento delle misure di sicurezza informatica. Ma non basta: solo potenziando la cultura degli internauti e la consapevolezza sulla pubblicazione online di informazioni personali si potranno mantenere integre le libertà di tutti e contrastare i reati informatici. La rubrica di Rocco Panetta

16 Set 2016

Rocco Panetta, avvocato esperto di Internet e privacy

Che Internet assieme alle sue straordinarie potenzialità di conoscenza, informazione, socializzazione e comunicazione, porti con sé anche taluni rischi, è fatto assodato e non contestato da nessuno. Quale sia invece la reale portata e profondità di tali rischi è cosa nota a pochi addetti ai lavori e comunque la sua misura resta sfuggente. Tra i rischi che contano il maggior numero di descrizioni nella narrativa dell’ambiente Internet, risiedono senza dubbio i problemi legati all’hate speech, declinato generalmente come sintesi di ogni forma di aggressività in rete, cosi come quelli connessi al proselitismo terroristico e a ogni altra forma di discriminazione e prevaricazione attraverso il mezzo Internet.

Di altrettanto significativo impatto mediatico sono quei rischi connessi alla sicurezza dei sistemi informatici in senso stretto, e che vanno dall’hackeraggio diretto o indiretto di piattaforme istituzionali o di singoli siti web, con annessi account di posta elettronica, sino alle tecniche mirate di captazione di credenziali di accesso (user id e password) di conti correnti, clonazione e violazione di carte di credito e debito, acquisti on-line non autorizzati e via discorrendo. In tali casi, qualora oggetto della violazione sia una piattaforma istituzionale – si pensi all’hackeraggio del sito Internet del Pentagono e delle relative banche dati ad esso connesse – ovvero se vengano messi in piedi meccanismi di phishing volti a penetrare virtuali forzieri bancari, allora la notizia desta l’attenzione che merita e la coscienza di noi internauti viene toccata e scossa; nel caso in cui, invece, ad essere violate siano, ad esempio, “solo” le credenziali di accesso a piattaforme web di un social network, l’indifferenza è la principale reazione. Invece qualcosa di prezioso è stato violato. Nel rendere disponibile a chi non ne abbia titolo nostri dati personali anche di base, perdiamo pezzi via via più significativi di libertà fondamentali. Giuridicamente il fenomeno è già disciplinato e contrastato in Europa ed in Italia dall’istituto del data breach, tradotto in italiano come violazione di dati personali.

WHITEPAPER
Quali sono stati i casi di cybercrime più aggressivi degli ultimi anni? Scoprilo nel white paper
Cybersecurity

Recentemente, dopo Linkedin, anche Dropbox ha subito il destino di una massiccia violazione di dati personali, che ha prudentemente indotto la società ha sollecitare un immediato ed indiscriminato cambio di credenziali di accesso. La riforma della normativa sulla privacy, c.d. GDPR o Regolamento europeo sulla protezione dei dati personali, che diventerà pienamente operativa a fine maggio 2018, ha di molto irrigidito le norme sul data breach e più in generale sulla c.d. cybersecurity, introducendo obblighi di notificazione all’autorità Garante per la privacy e a tutti i soggetti interessati entro un termine piuttosto ristretto di 72 ore e intensificando fortemente la pressione che il sistema sanzionatorio previgente già faceva sentire sui titolari del trattamento dei dati.

Si passerà dall’attuale massimo cumulato di sanzioni fino a 2 milioni di euro – in verità finora mai irrogata in tale misura – ad un massimo calcolabile fino al 4% del fatturato annuo globale della società responsabile del trattamento. Credo sia evidente in primis alle aziende e alle PA come non possano essere rimandate azioni volte a mappare e perimetrare adeguatamente i rischi connessi al trattamento dei dati online, ma anche offline, quantomeno in ragione dei mutati obblighi e delle nuove e significative sanzioni che potranno essere irrogate dal Garante privacy. In tal senso, tuttavia, unitamente a un incremento delle misure di sicurezza informatica e magari anche alla nascita di un’adeguata offerta assicurativa – cosa che, ad esempio in Gran Bretagna, è stato già posto in essere – ciò che deve fortemente crescere è la cultura e la consapevolezza dei rischi, assieme alle opportunità, della circolazione dei dati personali in rete. Solo incrementando la cultura degli internauti e l’awarness rispetto a cosa significhi esporre informazioni personali su Internet, si potrà sperare in uno sviluppo della rete forte e veloce, mantenendo integre le libertà di tutti e contrastando adeguatamente i reati informatici e le discriminazioni online.

Argomenti trattati

Approfondimenti

C
cybersecurity
G
garante
G
GDPR
P
pa
P
privacy