Non potevano che esserci i dati al centro della relazione annuale dell’Autorità Garante per la protezione dei dati personali, presentata ieri a Roma dal suo presidente Antonello Soro.
Entrata ormai nel suo ventesimo anno di attività, la Commissione ha posto al centro della relazione le attività in materia di lotta al terrorismo, di raccolta massiva di dati, di crimine informatico, di profilazione on line, di social media, arrivando poi alla trasparenza della Pa on line e alla tutela della riservatezza dei contribuenti.
Lo scorso anno, vale a dire nel periodo cui si riferisce la relazione, è stata data risposta a 5.000 tra quesiti, reclami e segnalazioni inerenti marketing telefonico, credito al consumo, videosorveglianza, credito, assicurazioni, Internet, giornalismo, sanità e servizi di assistenza sociale.
Focus su IoT
In tutto questo scenario, è interessante osservare come l’Internet delle Cose sia entrato a pieno titolo nella sfera di intervento del Garante.
Nella relazione, consultabile online a questo indirizzo, l’Autorità precisa di aver avviato nel mese di marzo 2015 una consultazione pubblica su IoT, chiusa lo scorso mese di novembre e ora in fase di elaborazione, proprio in merito all’Internet delle Cose, per valutare i “rischi per la protezione dei dati che derivano dall’impiego sempre più generalizzato di tecniche che consentono l’interazione e l’interconnessione di oggetti e sistemi diversi”.
L’Autorità riconosce i vantaggi per l’utente finale di sistemi che consentono il monitoraggio da remoto degli impianti domestici, il controllo dei passeggeri al fine di ottimizzare i servizi di trasporto pubblico, il controllo dei parametri vitali così che il medico curante abbia costanti aggiornamenti sullo stato di salute dei suoi pazienti, tuttavia questi stessi sistemi “comportano la raccolta, la registrazione e l’elaborazione di una grande quantità di informazioni relative a utenti spesso inconsapevoli. Questi dati consentono non solo di costruire profili dettagliati delle persone, basati sui loro comportamenti, abitudini, gusti e perfino sullo stato di salute, ma di effettuare anche un monitoraggio particolarmente invasivo sulla loro vita privata e di mettere in atto potenziali condizionamenti della loro libertà”.
La consultazione pubblica ha l’obiettivo di definire le misure più idonee per assicurare agli utenti la massima trasparenza nell’uso dei loro dati personali e per tutelarli contro possibili abusi.
Il punto nodale su cui si sofferma l’autorità è quello dell’acquisizione del consenso: non è escluso che venga richiesto agli operatori di adottare soluzioni tecnologiche che garantiscano la privacy degli utenti fin dalla fase progettuale.
Il Garante parla di privacy by design e pensa a una metodologia progettuale che possa prevedere ad esempio l’implementazione di tecniche di cifratura e anonimizzazione delle informazioni.
Cosa è Privacy by Design
Riconosciuta e accettata internazionalmente, privacy by design è una metodologia che prevede che ogni progetto venga realizzato tenendo in considerazione la riservatezza e la protezione dei dati personali.
Privacy by Design si applica a tre ambiti specifici:
- Sistemi IT
- Pratiche commerciali corrette
- Progettazione Strutturale e Infrastrutture di rete
e prevede il rispetto di 7 principi:
- Proattivo non reattivo – prevenire non correggere
- Privacy come impostazione di default
- Privacy incorporata nella progettazione
- Massima funzionalità − Valore positivo, non valore zero
- Sicurezza fino alla fine − Piena protezione del ciclo vitale
- Visibilità e trasparenza − Mantenere la trasparenza
- Rispetto per la privacy dell’utente − Centralità dell’utente
Il cybercrime fa paura
L’altra tematica al centro delle parole di Soro è stata la sicurezza informatica.
Il Garante ha definito il fenomeno di “dimensioni inquietanti”, sottolineando come il peso attuale del cybercrime sull’economia mondiale sia stimato in 500 miliardi di euro all’anno.
“L’Italia nel 2015 ha subito un incremento del 30% dei crimini informatici, (+50% phishing, +135% ransomware) particolarmente rilevanti nel settore delle imprese”, ha continuato Soro, che non ha mancato di evidenziare come le tecniche di attacco utilizzate sfruttino l’inadeguatezza delle misure di sicurezza adottate.
Nonostante vi sia consapevolezza dei rischi, non si riscontra una maggiore attenzione verso serie politiche di protezione dei dati e dei sistemi, visto che le denunce di data breach sono quasi raddoppiate nel corso del 2015, è il rimprovero di Soro, che vorrebbe la sicurezza digitale inserita tra gli asset strategici di un’impresa e come fattore di vantaggio competitivo.
La questione non è meramente economica, ma la vulnerabilità dei sistemi ha portate alla crescita di fenomeni estorsivi, fondati sul possesso di informazioni personali della vittima.
Soro domanda non solo una maggiore consapevolezza, ma richiama a un “comune sforzo di tutti gli operatori della rete, anche oltre i confini della giurisdizione e la coercitività del diritto: importante, in questo senso, il codice di condotta concordato nel maggio scorso tra la Commissione Ue e i principali social network per il contrasto dell’hate speech”.
