Nella corsa alla protezione della privacy online, l'Italia si sta dimostrando uno dei corridoi più lenti.
Sono, infatti, poche le aziende che hanno dato il via ad un progetto per rispettare la scadenza di maggio 2018, data in cui entrerà in vigore a tutti gli effetti la General Data
Protection Regulation, un nuovo insieme di regole pensato
per armonizzare la protezione dei dati negli stati membri dell'Unione Europea e che coinvolgerà direttamente le aziende sia dentro che fuori l'Europa.
Eppure, stando ai risultati che stanno emergendo da studi attualmente in corso, sembrerebbe che le imprese stentino ancora a mettere a fuoco la tematica, rivelando una certa difficoltà perfino a distinguere la differenza sostanziale tra la conformità alla normativa sulla protezione dei dati personali e la security, ramo dell'informatica che si occupa invece delle analisi delle minacce, delle vulnerabilità e dei rischi connessi agli asset informatici al fine di proteggere i dati dai potenziali attacchi.
Nel nostro Paese la figura del Privacy Officer risulta quindi essere ancora agli albori, nonostante in altre nazioni esista
già da diversi anni e rappresenti un ruolo ampiamente riconosciuto e affermato. Il ritardo nell'adozione di tale figura strategica, dipende probabilmente dalla difficoltà ad adattarsi e conformarsi ad una visione più ampia della privacy, in una prospettiva più attiva e dinamica, fondamentale per lo sviluppo del sistema Italia.
In Italia la privacy e la data protection è stata considerata, per diverso tempo, un mero e fastidioso adempimento burocratico, e la stessa cultura della sicurezza informatica è ad oggi ancora poco radicata. Ancora poco diffusa è anche la consapevolezza che l’asset più importante di ogni attività di impresa è riconducile ai propri dati, senza pensare peraltro, che in altri Paesi, la figura del Privacy Officer è stata prevista non per un obbligo di legge, bensì per decisioni puramente strategiche e per necessità derivate dai forti rischi che incombono sui dati nell'era dell'informatizzazione nonché l'enorme valore che i dati hanno assunto nel mercato globale.
In Austria e in Germania la figura del DPO è stata introdotta nei rispettivi quadri giuridici già da tempo. In Germania è fissato un preciso vincolo di obbligatorietà: almeno 9 incaricati al trattamento digitale dei dati personali e almeno
20 in caso di trattamento non automatizzato. Probabilmente saranno limiti anche poco condivisibili, ma almeno due certezze sono assicurate: elevata diffusione di standard certamente adeguati di conformità e, almeno per una volta, anche se non l’unica, a differenza del pensiero comune, un Paese diverso dall’Italia si è dotato di una norma più stringente della nostra.
Il primo presidente dell'Authority per la Privacy, Stefano Rodotà, ha dichiarato che “i dati personali degli oltre 500 milioni di abitanti dei 27 Paesi dell'Unione Europea nel 2020 avranno un valore commerciale stimato attorno ai 1.000 miliardi di euro, l'8% del Pil europeo”.93
L'andamento della quasi totalità delle imprese italiane è stato quello di conformarsi alla normativa privacy con il solo fine di evitare le sanzioni previste dal Garante, generando un adeguamento apparente e superficiale alle regole sulla protezione dei dati vigenti nel nostro Paese, allo scopo di ridurre il più possibile i “costi superflui” e dotandosi pertanto di professionisti poco preparati in materia di data protection.
Un ulteriore campanello d'allarme che evidenzia l'ancora 93 Genova24.it, articolo n. 48925 del 28 marzo 2013.
basso livello di interesse riconosciuto nel nostro Paese alla privacy e al Privacy Officer, è sicuramente il modo di intendere gli incarichi aziendali riferiti alla sicurezza e alla protezione dei dati: la nomina del responsabile del trattamento o dell'amministratore di sistema viene fatta meramente per assolvere formalmente a una prescrizione di legge o per evitare una pena pecuniaria, malgrado il Codice della Privacy, richieda esplicitamente che tali soggetti debbano essere scelti “per esperienza, capacità ed affidabilità,94 per fornire idonea garanzia del pieno rispetto
delle vigenti disposizioni in materia”.
Non sono infatti poche le società italiane che affidano l'incarico di data protection officer ad una risorsa del proprio reparto IT, oppure quelle che nel processo di selezione del DPO cercano prevalentemente le competenze informatiche, trascurando d'altra parte le conoscenze giuridiche, indispensabili per districarsi tra i meandri della normativa.
Tuttavia come ha chiarito più volte il Garante della Privacy, in caso di insorgenza di problemi derivanti da “incauta o inidonea designazione” di un responsabile o amministratore di sistema, l'azienda titolare del trattamento sarà chiamata 94 Si veda art. 29, comma 2, d.lgs. n. 196/2003.
a rispondere delle proprie leggerezze con il pericolo di sanzioni e pesanti risarcimenti che con il nuovo Regolamento Europeo potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo dei trasgressori.
Secondo quanto emerge dai risultati della ricerca dell'Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano,95 il
mercato delle soluzioni di information security in Italia nel 2016 raggiunge i 972 milioni di Euro, con una spesa concentrata tra le grandi imprese (74% del totale), suddivisa tra tecnologia (28%), servizi di integrazione IT e consulenza (29%), software (28%) e managed service (15%). Nonostante cresca la consapevolezza, di fronte alle nuove sfide poste dallo sviluppo delle tecnologie come cloud,96 Big data,97
Internet of Kingston,98 mobile e social, non è ancora diffuso
95 Gli Osservatori Digital Innovation della School of Management del Politecnico di Milano nascono nel 1999 con l’obiettivo di fare cultura in tutti i principali ambiti di Innovazione Digitale. Oggi sono un punto di riferimento qualificato sull’Innovazione Digitale in Italia che integra attività di Ricerca, Comunicazione e Formazione.
96 Wikipedia- Cloud computing
97 Con il termine Big data ci si riferisce sia allo svilupparsi di server sempre più capaci di conservare e processare una quantità sterminata di dati, sia alla capacità di ottenere dal trattamento di questi dati, grazie ad algoritmi che sappiano interrogare la macchina in modo da avere da essa la risposta voluta o la informazione ricercata, una quantità sempre più sterminata di nuovi dati, che consentano nuove conoscenze e analisi relative ai fenomeni naturali e ai comportamenti umani. 98 Con l’espressione Internet delle cose o meglio Internet of Things (IOT), si intende un net- work tra oggetti fisici connessi attraverso sistemi elettronici, software e sensori, accessibile in modo che
un approccio di lungo periodo alla gestione della sicurezza e della privacy, con una chiara struttura di governo: solo il 39% delle grandi imprese ha un piano di investimento con orizzonte pluriennale e solo il 46% ha in organico in modo formalizzato la figura del Data protection officer, nel 12% è presente ma non formalizzata, nel 9% è prevista l'introduzione nei prossimi dodici mesi. Nei restanti casi non esiste una figura ed il presidio dell’information security è demandato direttamente a consulenze esterne o risorse interne adattate.
Alessandro Piva, Direttore dell'Osservatorio Information Security & Privacy, ha evidenziato come vi sia ancora in Italia la necessità di un cambio di mentalità nel modo di approcciarsi alla privacy: “Nel contesto attuale servono da remoto il sistema possa essere avviato, corretto, orientato. In sostanza, un insieme di device basati sulla infrastruttura dell’International Telecommunication Union’s Global standards Initiative. Il sistema opera una interconnessione fra oggetti fisici e sistemi computer-based che ha come scopo di aumentare l’efficienza, la qualità e l’economicità dell’attività svolta dalle cose tra loro interconnesse. Il termine è stato coniato dall’impresario inglese Kevin Ashton nel 1999 e oggi la realtà va già oltre le interconnessioni “machine to machine”, M2M, per estendersi a una grande varietà di protocolli, domini e applicazioni. Ovviamente, nel periodo più recente l’Internet delle cose sta evolvendo anche verso sistemi detti “intelligenti” perché capaci di autocontrollo senza bisogno di ricevere istruzioni attraverso la rete. Grazie a questi sistemi e a quelli in corso di sperimentazione, si parla spesso anche di Intelligenza Artificiale. Secondo studi recenti l’Internet delle cose potrebbe connettere già oggi da 50 a 100 trilioni di oggetti, mantenendo la capacità di controllo di tutte le interconnessioni che collegano una così sterminata quantità di terminali operanti nell’ambito di una non meno sterminata quantità di sistemi. Tutto questo sta ponendo nuovi e complicati problemi, anche relativi alla privacy e alla protezione dei dati.
modelli di governance più maturi e trasversali, assicurando il corretto mix di competenze per gestire tecnologie sempre più pervasive. Ed è necessario da una parte progettare sistemi in grado di predire i possibili attacchi, dall'altra sviluppare programmi di sensibilizzazione per gli utenti, al fine di promuovere comportamenti responsabili”.
Dal momento che con l'avvicinarsi del prossimo