mercoledì 23 maggio 2018

Novità sul Regolamento Ue sulla privacy


Regolamento UE. "Illeciti, non soltanto sanzioni. Le reazioni saranno diverse. In un approccio graduale"
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Antonio Ciccia Messina,  "Italia Oggi", 21 maggio 2018)


Non solo sanzioni amministrative nel Regolamento Ue sulla privacy. Le reazioni possibili dell'ordinamento alle violazioni sui dati sono diverse e dovranno seguire un approccio gradualistico. A sottolinearlo è Antonello Soro, presidente dell'Autorità garante italiana, che, rispondendo a ItaliaOggi Sette a pochi giorni dal debutto del "Gdpr" (il regolamento 2016/679 sulla protezione di dati), detta le priorità per aziende ed enti alle prese con le nuove sfide poste dalla normativa europea. In cima all'agenda, la formazione del personale e la sicurezza informatica. 

Presidente Soro, il Regolamento europeo nasce in un clima di incertezza e di ansia per le imprese. Quali sono gli adempimenti ai quali si consiglia di dare priorità? 

Il Regolamento è in vigore già da due anni e sulle sue innovazioni il Garante ha promosso un'attività formativa ad amplissimo spettro, proprio al fine di promuoverne la conoscenza da parte di imprese e amministrazioni. Naturalmente, il ritardo nell'approvazione del decreto legislativo di adeguamento può ingenerare incertezza rispetto alle modifiche da apportare alla propria attività aziendale, inducendo a ripensare assetti o modalità organizzative, consolidati a volte più per inerzia che per reale utilità. Ma l'adeguamento al Regolamento si rivelerà una straordinaria opportunità, per consentire ad aziende e amministrazioni di stare al passo con l'innovazione e le nuove sfide di un'economia fondata sui dati, nonché per investire sulla protezione dati quale risorsa reputazionale essenziale e fattore di vantaggio competitivo. Adempimenti fondamentali, in questo senso, sono un'adeguata formazione del personale, modulata naturalmente sulla base delle specifiche mansioni di ciascuno, una puntuale ricognizione delle misure di sicurezza, tecniche e organizzative, che dovranno essere adeguate alle caratteristiche del trattamento, una complessiva revisione delle proprie informative per adeguarle all'impostazione più sostanzialistica del Regolamento, nonché la predisposizione delle procedure necessario ad effettuare, ove ne ricorrano i presupposti, la notifica dei data breach. Per rendere più agevole il processo di adeguamento al Regolamento, è poi opportuno, per le imprese che vi siano tenute ma anche, auspicabilmente, per le altre, nominare il DPO, che possa indirizzare le scelte aziendali nella direzione della compliance. Coloro i quali vi siano tenuti, dovranno poi provvedere ad adempimenti essenziali quali la valutazione d'impatto privacy (e, nel caso di persistenza di rischi, la consultazione preventiva del Garante) o il registro delle attività di trattamento. 

Gli enti pubblici sono generalmente molto indietro nell'applicazione del regolamento Ue. Sono in programma linee guida o interventi simili da parte del Garante e su quali argomenti?

Non abbiamo elementi per ritenere che gli enti pubblici siano indietro nell'applicazione del Regolamento; per parte nostra abbiamo organizzato, in varie regioni italiane, numerosi incontri formativi con i rappresentanti delle amministrazioni, proprio al fine di accompagnarle nell'attività di adeguamento al nuovo quadro giuridico europeo. Abbiamo pubblicato specifiche linee guida e FAQ, nonché un cospicuo materiale informativo sul Regolamento. A seguito dell'approvazione del decreto legislativo di adeguamento, che introduce norme di raccordo con l'ordinamento interno e della prima attuazione della disciplina, valuteremo gli interventi da compiere in ragione delle specifiche esigenze che si dovessero presentare.

Il Garante predisporrà regole di graduazione delle sanzioni amministrative per distinguere violazioni formali da quelle più gravi? 

Il Regolamento delinea un sistema sanzionatorio alquanto articolato. Anzitutto, configura la sanzione amministrativa come una delle possibili "reazioni" (non certo l'unica) dell'ordinamento all'illecito, da applicarsi secondo un approccio gradualistico, congiuntamente o alternativamente alle misure inibitorie e prescrittive. La scelta in ordine all'an della sanzione deve fondarsi sugli stessi parametri indicati dal Regolamento per la commisurazione infraedittale della sanzione pecuniaria (gravita dell'illecito desunta anche dal danno che ne sia derivato, elemento soggettivo, eventuale ravvedimento operoso o, al contrario, recidiva, categorie di dati interessate dalla violazione, adesione a codici di condotta o sistemi di certificazione, cooperazione con l'autorità di controllo ecc.). La norma fornisce già, dunque, elementi sufficienti per distinguere gli illeciti in ragione della loro gravita, ai fini della scelta tanto sull'an quanto sul quantum della sanzione. 

Il settore PMI è sempre in attesa di semplificazioni. Nelle more devono eseguire tutti gli adempimenti che il regolamento Ue prescrive senza distinzioni. Non sarebbe opportuno indicare in concreto e al più presto quali sono le disposizioni ufficiali per piccole e medie imprese? 

Il Regolamento già di per sé modula gli adempimenti previsti in capo al titolare in ragione, tra l'altro, della dimensione dell'impresa e, quindi, dell'ambito di incidenza del trattamento, come abbiamo chiarito anche in diversi incontri con esponenti del mondo imprenditoriale e, in particolare, associazioni di categoria. La disciplina europea, che mira a rafforzare "il clima di fiducia che consentirà lo sviluppo dell'economia digitale" nel mercato interno, coniuga la protezione dati con istanze di semplificazione, che il decreto di adeguamento peraltro valorizza, prevedendo che rispetto alle micro, piccole e medie imprese il Garante possa promuovere modalità semplificate di adempimento agli obblighi del titolare.

mercoledì 2 maggio 2018

Attacchi hacker e sicurezza


Il primo cyber attacco può essere fatto risalire al 1834, quando due speculatori finanziari francesi riuscirono a bucare la rete governativa basata sul telegrafo ottico. Da allora sono trascorsi quasi due secoli. Ora abbiamo Internet, la grande rete che ha abbattuto ogni frontiera e ha permesso a persone, imprese ed Istituzioni di entrare in immediato contatto con tutto il mondo. Tuttavia, oggi come allora, una grande opportunità di comunicazione apre anche a nuovi rischi. Internet, infatti, veicola incessantemente una mole straordinaria di dati personali e di informazioni critiche che possono divenire oggetto di furto, spionaggio e di sabotaggio.

I danni economici degli hacker
Ma gli obietti degli hacker si estendono anche alla rete elettrica, ai trasporti e, più in generale, all'insieme delle infrastrutture critiche di un Paese. Infatti, come segnala il Rapporto Clusit 2018, il 2017 si è caratterizzato come “l’anno del trionfo del malware, degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli e della definitiva discesa in campo degli Stati come attori di minaccia”.

Secondo tale rapporto per quanto riguarda gli impatti economici, i numeri parlano chiaro: nel periodo 2011-2017 i costi generati globalmente dalle sole attività cyber criminali sono quintuplicati, passando da poco più di 100 miliardi di dollari nel 2011 a oltre 500 miliardi nel 2017, anno in cui truffe, estorsioni, furti di denaro e dati personali hanno colpito quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita stimata in 180 miliardi di dollari.

La guerra delle informazioni: +24%
Inoltre, sempre secondo il Rapporto Clusit 2018, sono in netto aumento, rispetto allo scorso anno, gli attacchi sferrati con finalità di Information Warfare (la guerra delle informazioni), che segna +24%, e il Cyber Espionage (lo spionaggio con finalità geopolitiche o di tipo industriale, a cui va tra l’altro ricondotto il furto di proprietà intellettuale) che cresce del 46%. I settori più colpiti sono: Research/Education, con una crescita rispetto allo scorso anno di +29%, seguito da Software/Hardware Vendors +21%, Banking & Finance +11% e Healthcare +10%.

Per quanto riguarda, nello specifico, casa nostra, in Italia i danni ammontano a 10 miliardi. Il problema più grave e urgente per il nostro Paese rimane la cronica e drammatica insufficienza degli investimenti in cyber security, che ci pone sostanzialmente ultimi tra i paesi avanzati e rischia di condizionare seriamente lo sviluppo dell’Italia ed il benessere dei suoi cittadini nei prossimi anni.