E’ recente la relazione annuale alla Camera dell’Autorità Garante per la Protezione dei dati personali. Poniamo qualche domanda a Stefano Gorla, alla luce dei dati presentati dal Garante e, soprattutto, della sua esperienza quotidiana nella consulenza a studi professionali e piccole e medie imprese sul tema della privacy e del trattamento dati.
Come evidenziato dallo stesso Garante, siamo quest’anno in un contesto radicalmente nuovo, in cui per la prima volta la normativa – il Nuovo Regolamento per la Protezione dei dati personali (GDPR, General Data Protection Regulation –2016/679) entrato in vigore lo scorso 25 maggio – ci proietta in uno scenario giuridico europeo.
Dott. Gorla, il diritto si adegua “ai profondi mutamenti generati dallo sviluppo delle nuove tecnologie”; la “rivoluzione digitale” in atto viene inscritta in un sistema di regole democratiche, come sottolinea il Garante. In quale misura questo è già attuale nel mondo delle PMI/ degli studi professionali, secondo la sua esperienza quotidiana? Quanto lavoro c’è ancora da fare?
L’aspetto di “democraticità” della normativa in tema privacy e la declinazione sempre più decisa verso il digitale sono aspetti più volte affrontati dal Garante nella sua relazione alla Camera del 2018. Emerge però anche chiaramente che il GDPR introduce in realtà piccole variazioni rispetto alla normativa in vigore prima del 25 maggio, ovvero per quanto riguarda il nostro Paese, la legge 196, nota come Codice della Privacy. Gli Studi professionali e le PMI in regola con questa normativa, ora devono affrontare soltanto aggiornamenti minimi. Ma – e purtroppo nella mia esperienza quotidiana rilevo che si tratta della maggior parte dei casi – chi non era “compliant” con la legge 196, ora si trova a dover letteralmente rivoluzionare la propria organizzazione.
Nella Relazione del Garante ricorre il concetto di “centralità dell’individuo”, a fronte di un’economia – quella attuale – fondata sullo sfruttamento del dato. Quanto proteggere questa centralità può essere funzionale allo sviluppo e alla crescita di realtà quali gli studi professionali o le piccole e medie imprese? O, per questi soggetti in particolare, si tratta di una potenziale limitazione?
La centralità dell’individuo nel Nuovo Regolamento Europeo per la protezione dei dati è certamente molto forte, ed volta a tutelare i singoli clienti delle organizzazioni, ma anche i dipendenti e i collaboratori. Un’informazione personale che dovesse essere utilizzata in maniera non corretta o, peggio, trapelare in maniera fraudolenta, va a infliggere inevitabilmente un danno alla persona. Penso ai dati sensibili che, per esempio, qualsiasi datore di lavoro custodisce: le informazioni per la compilazione dei modelli 730 dei dipendenti, alcuni dati sanitari.
Il Nuovo Regolamento Europeo per la protezione dei dati stravolge il punto di vista: dice alle organizzazioni “che cosa” devono fare, a quale risultato devono arrivare, ma non “come” raggiungerlo.
E’ questa, al di là di quel che si potrebbe pensare in prima battuta, una grande innovazione, a tutto vantaggio di professionisti e i capi d’azienda poiché li responsabilizza realmente, in un’ottica imprenditoriale, lasciandoli liberi di mettere in piedi le soluzioni che ritengono migliori per la propria azienda. Certo, devono garantire il risultato. Il “mantra” del GDPR è Riservatezza, Integrità e Disponibilità del dato. Mentre la vecchia legge sulla privacy dava precise indicazioni su come gestire ciascuno di questi valori – per esempio posizionando correttamente i propri server, aggiornando gli antivirus, gestendo adeguatamente le password, etc – oggi il GDPR impone al “titolare” del trattamento (il professionista o il responsabile d’azienda) di rendere effettivi questi valori. E, ovviamente, di essere in grado di dimostrarlo.
Quanto il quadro normativo internazionale in tema di protezione dei dati potrà giovare allo sviluppo dell’offerta di studi professionali e delle aziende, in una fase storica in cui – come sottolineato dal Garante – è evidente la spinta nazionalista e divisiva degli stati europei, e la conseguente tendenza a creare barriere alla libera circolazione di beni e persone?
L’ottica della “responsabilizzazione” a cui accennavo, presenta un grande punto a favore anche in termini di competitività sui mercati, sia per le imprese che per gli sudi professionali. In generale lo è la standardizzazione delle normative, poiché permette a chi voglia investire di mettere il naso fuori dai confini nazionali sapendo già che cosa lo aspetta o affidandosi a professionisti che parlano già la “sua lingua”. Anche Alavie, che ha sempre focalizzato la propria attenzione sul territorio nazionale, sta traendo i primi benefici dal confronto con realtà sul mercati europei.
La pervasività della digitalizzazione, conseguenza dello sviluppo del cosiddetto “Internet delle cose” – l’Internet of Things – ormai realtà in qualsiasi contesto, da quello privato a quello aziendale, ci proiettano in uno scenario in cui ciascuno degli oggetti connessi può divenire potenziale veicolo di attacchi informatici. Come abbiamo già evidenziato anche nel nostro blog, il cybercrime – truffe, estorsioni, furti di denaro e dati personali – hanno colpito nel 2017 quasiun miliardo di persone nel mondo, e il trend non accenna a diminuire. Lo stesso Garante ha rivelato che gli attacchi informatici nel mese di maggio in Italia sono stati 140 al giorno. E – dato ancor più interessante – che dal 25 maggio sono aumentate di oltre il 500% le comunicazioni di data breach effettuate, come imposto dal GDPR; in particolare, dallo scorso marzo, le notifiche hanno interessato oltre 330.000 persone. Il numero è senza dubbio impressionante. Secondo la sua esperienza quotidiana, qual è il grado di preparazione e reattività delle imprese italiane a queste minacce? E degli Studi Professionali, dove i numeri sono senza dubbio più piccoli, ma la flessibilità potrebbe essere superiore?
La crescente vulnerabilità del mondo digitale è senza dubbio drammatica, dato il numero di oggetti necessariamente connessi che hanno ormai un impatto sulla nostra vita quotidiana, e questo processo è inevitabile ed irreversibile. Non c’è altra soluzione che la conoscenza: essere consapevoli del rischio è il primo passo per ognuno di noi. E intendo non solo per il professionista o per l’azienda, ma per ciascun privato cittadino. Il Nuovo Regolamento per la Protezione dei Dati va esattamente in questa direzione: consapevolizza innanzi tutto l’individuo, e lo tutela. Se io salvo sul mio telefono o sul mio PC le foto dei miei figli devo essere consapevole che le espongo potenzialmente ala mercé dei criminali informatici, che prima o poi riusciranno a penetrare nei miei device, perché magari non ho aggiornato l’ultima versione del mio antivirus. O perché ho cliccato in maniera frettolosa su un link ricevuto da un amico, senza accorgermi che in realtà proveniva da un’altra fonte.
E, anche alla luce dei dati presentati dal Garante, è evidente che dobbiamo lavorare per sfatare il mito – oggi ancora molto attuale – che “la mia realtà è piccola e nessuno la attaccherà”. Il cybercrime colpisce a livello generalizzato, e ormai industriale, sui grandi numeri. L’obiettivo non è più la singola organizzazione, lo studio e l’impresa. Si colpisce a blocchi, o ad aree geografiche, e si entra laddove si trova una porta aperta. O solo accostata. Il danno può essere anche irrilevante, in termini economici, se perpetrato ai danni di un piccolo studio. Ma enorme, da un punto di vista reputazionale, quando in gioco ci sono i dati dei clienti o dei fornitori.
Per esempio, Alavie ha recentemente seguito i casi di due studi di commercialisti i cui sistemi sono stati attaccati da cryptolocker, malware che crittografando i file presenti nei dispositivi elettronici, li rende illeggibili, bloccando l’accesso dell’organizzazione ai propri strumenti informatici. Per riattivarlo, è stato richiesto ad entrambi gli studi un riscatto in bitcoin.
In questi casi, alla criticità stessa della potenziale perdita delle informazioni, si sommano le giornate lavoro perse dall’organizzazione – o, in caso di aziende manifatturiere, il blocco delle linee produttive – per venire a capo dell’estorsione e per effettuare la denuncia del data breach al Garante (denuncia obbligatoria entro 72 ore, con l’applicazione del GDPR).
Fondamentale, nei casi seguiti da Alavie, è stato il recupero degli ultimi back up dei server.
Mi sento di dire che la flessibilità degli studi professionali e delle pmi consentirebbe loro di agire molto rapidamente per ottemperare alla normativa. Stiamo lavorando in maniera molto efficiente con le realtà di queste dimensioni che, se in possesso di tutti gli strumenti – e soprattutto della giusta consapevolezza – possono operare in piena conformità nell’arco di 15 giorni dal nostro primo intervento consulenziale.
Come possono limitare i rischi le PMI e gli Studi Professionali? Essere “compliant” con la normativa sulla protezione dei dati significa anche aver fatto tutto il possibile per ridurre il rischio di attacchi, o esistono specifiche precauzioni per quanto riguarda i sistemi dell’azienda e loro implementazione?
Come mi trovo spesso a dire, è ancora il fattore umano “l’anello debole” della catena. Per esperienza, posso dire che la vera criticità per le organizzazioni sta nel 70% dei casi tra sedia e tastiera.
E’ il fattore umano che va formato. Prima di tutto, va reso consapevole che la Privacy non è solo una seccatura, e che quindi le informative vanno lette attentamente prima di iniziare ad utilizzare servizi come le chat telefoniche, o prima di sottoscrivere l’ennesima card di fidelizzazione del negozio sotto casa. O, ancora, prima di utilizzare l’ultimo modello di smartwatch per accedere alla posta elettronica del lavoro e, quindi, alla rete aziendale.
Per fare un esempio molto concreto: nel corso dei primi sei mesi dell’anno abbiamo incontrato nei workshop Alavie dedicati alla privacy oltre 500 professionisti su tutto il territorio nazionale. A indagine puntuale, il 50% di loro ha ammesso di non effettuare mai il back up del proprio PC. E il 90% di non avere la minima percezione dei rischi che questo comporta.
La sfida della responsabilizzazione del Titolare del trattamento dei dati imposta dal nuovo Regolamento Europeo per la protezione dei dati – GDPR – è messa in luce anche dal Garante nella sua relazione. Obiettivo, a tendere, l’eliminazione di molti controlli preventivi, compensata dall’incorporazione nei trattamenti di misure di tutela del rischio. Il concetto alla base è quello di “Privacy by Design”. Che cosa ne pensa? Può davvero essere efficace e allo stesso tempo rendere efficienti aziende e studi professionali? In quale misura, secondo lei, questo concetto può realisticamente essere applicato all’interno delle organizzazioni nei prossimi mesi?
Insieme alla responsabilizzazione del Titolare dei dati, quello di “Privacy by Default” è l’altro concetto fondamentale del Nuovo Regolamento Europeo per la protezione dei dati. Ed è, contrariamente a quanto può apparire a prima vista, un concetto che semplifica in maniera immediata qualsiasi procedura in tema di trattamento dei dati sensibili e di per sé non implica lavoro aggiuntivo. Per esempio, oggi il conferimento del consenso è obbligatorio per qualsiasi cliente di uno studio professionale; pena la non trattabilità del dato e, quindi, la mancata presa in carico del cliente stesso da parte del professionista. Ovviamente, essendo un rapporto contrattuale, il consenso risulta implicito, cioè il conferimento dei dati è obbligatorio altrimenti non si può erogare il servizio, quindi un consenso esplicito non è necessario. Un volta conferito il primo consenso, non sarà più necessario attuare altre misure per qualsiasi attività inerente l’attività professionale. Diverso è, invece, il caso di attività al di fuori dello scopo del professionista, per esempio le attività di marketing, per cui andrà raccolto comunque un consenso dedicato da parte dello studio professionale.
Qual è, secondo lei, la chiave di volta per una PMI o uno studio professionale che vogliano ottenere la conformità normativa in maniera efficiente, ottimizzando gli investimenti e beneficiandone anche a livello organizzativo e di gestione dei processi?
La chiave di volta per qualsiasi organizzazione, in qualsiasi settore, è a parere mio la consapevolezza del titolare del trattamento dati. E’ cioè necessario che egli sia in grado di discernere QUALI dati ha a disposizione il suo studio o la sua azienda; DOVE li ha archiviati, COME li sta trattando. L’idea, per ribadire il concetto, che il titolare sia a tutti gli effetti un imprenditore, responsabile di un bene che a lui viene affidato. Niente di diverso dall’assicurarsi che l’archivio dove fino a qualche anno fa erano riposti i faldoni con i dati relativi a clienti e dipendenti fosse dotato di un sistema antincendio efficace. O non fosse in una cantina soggetta ad umidità o ad allagamenti.
Volete saperne di più in merito alla compliance GDPR negli studi professionali e nelle PMI? Contattateci!
