Il GDPR, il Garante per la protezione dei dati personali, dopo il grande numero di attacchi informatici del 2021 ha sollecitato imprese e pubbliche amministrazioni ad investire di più sulla propria sicurezza. Inoltre, ha fornito anche indicazioni su come difendersi dai ransomware, ovvero quei software che sequestrano i dati di persone e aziende, minacciando di “liberarli” soltanto dopo il pagamento di una grossa somma di denaro.
Decisamente significativo anche il numero dei data breach avvenuti lo scorso anno, notificati al Garante da parte di soggetti privati e pubblici. Si è arrivati a 2071 casi, con un aumento del 50% rispetto all’anno precedente. Gli interventi delle autorità hanno riguardato anche piattaforme social importanti, come Facebook e LinkedIn.
Che cos’è un data breach
Un data breach è una violazione della sicurezza che determina la distruzione, la modifica, la perdita, oppure la divulgazione senza autorizzazione di dati personali. Tale violazione compromette la riservatezza, la disponibilità o l’integrità dei dati.
Esempi di data breach: acquisizione o accesso ai dati da parte di persone non autorizzate; impossibilità di accedere a dati personali a causa di virus o malware.
Secondo l’art. 4 del Regolamento UE 16/679, un data breach corrisponde a «ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati».
Secondo il GDPR, i responsabili del Trattamento dei dati devono obbligatoriamente comunicare al Garante nel più breve tempo possibile ogni eventuale violazione avvenuta per mezzo di attacchi informatici, calamità naturali, accessi abusivi o incidenti. In tutti quei casi in cui esista un rischio elevato per le libertà e i diritti delle persone fisiche, il titolare del Trattamento deve notificare anche l’utente a cui si riferiscono i dati, per permettergli di adottare le dovute precauzioni.
Il lockdown ha aumentato gli attacchi informatici
Il Presidente del GDPR, Pasquale Stanzione, conferma che «proprio durante il lockdown si è registrato un incremento significativo degli attacchi informatici ai danni di enti pubblici, di catene di approvvigionamento e di reti sanitarie, secondo una tendenza che si sarebbe inevitabilmente amplificata con il conflitto russo-ucraino».
Continua: «Secondo le stime del World Economic Forum, nello scorso anno si sarebbe registrato un aumento del 151% degli attacchi ransomware. Cifra tutt’altro che marginale se si considera che ciascun incidente può determinare una perdita aziendale quantificabile addirittura, secondo il Ponemon Institute, in 4,24 milioni di dollari».
La minaccia riguarda le vite di tutti noi. «La più accentuata esposizione online delle nostre vite ha mutato, parallelamente, la stessa generale percezione della vulnerabilità informatica. Secondo uno studio del Censis, il 56,6% degli italiani teme, oggi, di subire violazioni della propria sicurezza informatica più del libero accesso alla rete da parte dei minori (34,7%), della dipendenza dal web (23,7%) e di essere vittima di hater (22%)».
L’equilibrio tra la riservatezza dei contribuenti e la lotta agli illeciti
«Un altro contesto sul quale la consultazione del Garante è stata intensa è quello fiscale, interessato ora peraltro da una delega legislativa che, nel suo sviluppo, dovrà delineare quel congruo equilibrio tra esigenze di contrasto degli illeciti e riservatezza dei contribuenti, cui alludevamo in audizione sulle politiche fiscali».
Le indicazioni del Garante, che hanno lo scopo di migliorare l’esattezza e la qualità dei dati trattati contribuiranno «ad assicurare una più corretta rappresentazione della capacità contributiva degli interessati, migliorando complessivamente l’efficacia dell’analisi del rischio fiscale su cui si fonda buona parte delle politiche di contrasto in materia».
Chiarisce il Presidente che, nello sviluppo della delega, bisognerà considerare la necessità acquisire dati in maggior quantità, ma soprattutto di miglior qualità. In questo modo, l’interoperabilità offrirà un contributo effettivo all’efficienza e alla semplificazione dell’azione amministrativa, «come si è del resto avuto modo di chiarire in relazione alla Piattaforma Digitale Nazionale Dati ma anche alla complessiva materia della sanità digitale».
La gamma dei dossier
Il 2021 ha visto molti interventi nei confronti di questioni legate alla tutela dei diritti fondamentali delle persone nell’ambito del digitale. In particolar modo, si è parlato molto delle implicazioni etiche della tecnologica, di grandi piattaforme, dell’economia fondata sui dati, sui big data, sull’intelligenza artificiale, sui sistemi di riconoscimento facciale, sulla monetizzazione delle informazioni personali e sul Revenge porn.
Nel corso dello scorso anno sono stati adottati 448 provvedimenti collegiali, più del 56% rispetto al 2020. L’Autorità ha fornito riscontro a più di 9000 segnalazioni e reclami che riguardavano le reti telematiche e il marketing, i dati delle pubbliche amministrazioni, la sicurezza informatica, il lavoro e il settore bancario.
Sono stati riscossi circa 13 milioni e 500 mila euro di sanzioni. L’attività di relazione con il pubblico ha fornito riscontro a più di 18.700 quesiti nei confronti del telemarketing indesiderato, dell’applicazione del regolamento UE, dell’attività dei Responsabili di trattamento e del rapporto di lavoro privato o pubblico.
Sono stati 5 milioni e 800 mila gli accessi al sito Web dell’Autorità. L’attività del Garante a livello internazionale non è stata meno rilevante, grazie alle 281 riunioni che si sono svolte virtualmente.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
Tutela dei minori
L’anno scorso, riguardo la tutela online dei minori, si è proseguito con la vigilanza sull’età di iscrizione degli utenti ai social. È stato imposto a TikTok di promuovere misure per tenere al di fuori della piattaforma gli utenti troppo giovani, rimuovendo tantissimi account di persone iscritte al di sotto dei tredici anni.
Riconoscimento facciale e dati biometrici
È stata posta una particolare attenzione all’utilizzo dei dati biometrici e al riconoscimento facciale. L’Autorità ha sanzionato Clearview, una società specializzata nel riconoscimento facciale, per 20 milioni di euro. Alla società è stato vietato l’utilizzo dei dati biometrici e il monitoraggio degli italiani.
L’Autorità, nei confronti dell’utilizzo dei sistemi di riconoscimento facciale per la sicurezza pubblica, si è opposta all’utilizzo del sistema Sari Real Time, privo delle garanzie che tutelano la libertà delle persone. Inoltre, ha autorizzato l’utilizzo delle body cam per le Forze di Polizia (senza uso dei dati biometrici).
Telemarketing aggressivo
Il Garante, in materia di tutela dei consumatori, è intervenuto nei confronti del telemarketing aggressivo. Sono state applicate sanzioni (complessivamente 38 milioni di euro) principalmente per l’utilizzo senza consenso dei dati degli abbonati. Le attività di accertamento hanno fatto emergere un micromondo di sub-fornitori, che spesso operano illegittimamente.
Cyberbullismo e Revenge Porn
Il legislatore lo scorso anno ha assegnato al Garante il dovere di intervenire anche preventivamente al fine di contrastare il revenge porn. In tal modo si aiutano le persone che hanno paura che vengano diffuse foto o video intimi senza il loro consenso e si legittimano anche gli ultraquattordicenni a presentare istanza al Garante.
Per le vittime del cyberbullismo l’Autorità ha assicurato delle procedure di intervento (basandosi sulla legge 71/2017) e continuerà a sensibilizzare e a contrastare il fenomeno.
——————————–
LEGGI ANCHE:
