Relazione annuale del Garante

Stamani il Presidente Soro, della Autorità per la protezione dei dati personali, ha relazionato sulla trascorsa attività annuale, che conclude il settennato dell’attuale Collegio.

Il Dott. Soro, nel suo emozionato ed emozionante intervento, ha parlato di centralità della persona e di come sia essenziale il presidio della tutela dei dati personali a garanzia della democrazia, dello smarrimento del senso del limite della tecnologia e della necessità di eticità e sostenibilità quali caratteristiche imprescindibili della stessa, del valore della protezione dei dati personali a tutela della dignità dell’uomo, della necessità di essere consapevoli della rilevanza dei propri dati, dei rischi inerenti l’adozione di processi automatici e predittivi a supporto di decizioni aventi effetti rilevanti sugli individui.

Nel suo discorso ha toccato moltissimi temi, da IA, machine learning, duopolio USA – Cina, regimi digitali, rischi dei grandi dataset, cyberwars, centralità del GDPR e della politica europea, datagate Snowden, dataretention, captatori di stato, trattamenti in ambito giudiziario, cyberbullismo, diritto all’oblio e deindicizzazione e tutela della dignità della persona, revenge porno, digitalizzazione amministrativa, fatturazione elettronica, sicurezza infrastrutture e sicurezza nazionale, cloud, 5G, ecosistema digitale, cyberguerriglia permanente; rilevante incremente di attacchi informatici, malasanità e protezione dati necessaria per la qualità della cura, eccessi informativi, aumento banche dati e sistemi di profilazione di soggetti privati, crescita esponenziale di profili personali, misurazione rating reputazionale, valutazione discrezionali automatiche, telemarketing e abusi, diritto del lavoratore e tutela diritti fondamentali, voto elettronico e 5stelle, nuova idea di cittadinanza, cultura del diritto di libertà, tema delle intercettazioni e “giornalismo di trascrizione”.

Questo Collegio lascia una preziosa eredità alla Autority, purtroppo sempre in deficit di risorse; auguro l’elezione di nuovi componenti dai profili specifici ed altamente competenti, capace di governare le sfide – prevedo ciclopiche – che interverranno nei prossimi sette anni.

Modello di valutazione del rischio da Data Breach

Come sappiamo, qualora occorra un Data Breach, il nuovo Regolamento UE 679/2016 prescrive, a carico del Titolare del Trattamento (ma anche del Responsabile esterno qualora la violazione avvenga presso di esso) degli obblighi stringenti, relativi alla comunicazione alla autorità di controllo e talvolta ai soggetti interessati dalla violazione.

Non sempre la comunicazione al Garante (e quindi di conseguenza la comunicazione agli interessati) è obbligatoria; non si deve fare nei casi in cui sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

Occorre quindi stabilire il livello di rischio che la violazione dei dati personali induce (può indurre) a carico delle persone che sono state oggetto della violazione; una violazione dei dati personali può determinarsi da una molteplicità di eventi avversi, dalla perdita di un dispositivo mobile, dal furto di un asset IT, dalla penetrazione di una rete o di un servizio IT, dalla perdita di confidenzialità dei dati, da un incendio o allagamento che ha interessato un archivio o datacenter, sino al server o PC colpito da malware.

Data la molteplicità degli eventi avversi e le loro caratteristiche “mutevoli” a seconda del contesto, è molto complesso definire in modo appropriato e dimostrabile il reale livello di rischio. A tale scopo, ho predisposto un modello analitico di valutazione del rischio determinatosi a seguito di una violazione di dati personali.

Lo adotto sempre in ogni tipologia di data-breach, quando sono chiamato a valutare il singolo evento avverso.

Ricordo che ogni azienda deve aver gia predisposto le corrette procedure di gestione del data-breach, e (specialmente nelle organizzazioni più strutturate) definito una unità di crisi.

72 ore senza sapere cosa fare trascorrono molto velocemente.