La celebrazione della Giornata della protezione dei dati, proclamata per il 28 gennaio di ogni anno dal Consiglio d’Europa, offre lo spunto per una breve riflessione in materia di leggi sulla privacy, con uno sguardo alle differenze esistenti tra Stati Uniti e Unione Europea in vista del GDPR.
Come rileva Michael Magrath, Director, Global Regulations & Standards – Vasco Data Security, a chi appartenga la proprietà dei nostri dati e che possibilità abbiamo di controllarli, infatti, sono aspetti che cambiano a seconda che si sia residenti nell’una o nell’altra di queste due importanti aree del mondo.
Negli Stati Uniti le recenti violazioni a danno di larga parte dei cittadini hanno provocato un dibattito nazionale sulla sicurezza dei dati personali.
In particolare, la grave entità dell’attacco hacker che lo scorso settembre ha colpito Equifax, una delle maggiori società americane di controllo del credito dei consumatori, insieme ad altri episodi simili, hanno indotto la Commissione Commercio del Senato a tenere alcune audizioni in tema di “Protezione dei consumatori nell’era delle gravi violazioni dei dati”. L’ultima si è svolta l’8 novembre scorso. Tra i testimoni figuravano il CEO ad interim di Equifax, Paulino do Rego Barros Jr, l’ex CEO di Equifax, Richard Smith, e l’ex CEO di Yahoo, Marissa Mayer.
Secondo Magrath è stato molto eloquente lo scambio di battute avvenuto in quell’occasione tra do Rego Barros Jr. e la Senatrice Catherine Cortez Masto.
Quando la Senatrice ha chiesto per quale ragione i consumatori non possono scegliere se rinunciare alla raccolta dei dati da parte di Equifax, do Rego Barros Jr. ha affermato: “Questo fa parte del modo in cui funziona l’economia”.
“Il consumatore non ha scelta, signore – è stata la replica della Senatrice Cortez Masto -. Il consumatore non ha alcuna scelta sui dati che voi raccogliete”. Il punto di vista della Senatrice è che è Equifax a possedere tutti i dati raccolti sui consumatori
Arriva il GDPR
Lo scambio appena citato mette in mostra le differenze con i controlli sulla protezione dei dati dei consumatori come quelli previsti dall’Unione Europea con il Regolamento Generale sulla Protezione dei Dati (GDPR), che entrerà in vigore il 25 maggio 2018.
Il GDPR afferma chiaramente che il cittadino possiede i propri dati personali. L’obiettivo del Regolamento è fornire ai cittadini e ai residenti il controllo sui propri dati. Sebbene i cittadini dell’UE siano in possesso dei loro dati personali, le organizzazioni di tutto il mondo che raccolgono informazioni sui consumatori e le utilizzano per qualsiasi fine, devono adottare “misure appropriate” per proteggerli.
Password non significa sicurezza
Le società multinazionali statunitensi che gestiscono dati appartenenti a clienti residenti nell’UE dovranno quindi rispettare il GDPR o, altrimenti, affrontare severe sanzioni finanziarie e si può essere certi che i revisori non saranno teneri con le organizzazioni che “proteggono” i dati con le password.
Il “Data Breach Investigations Report 2017” di Verizon, infatti, afferma che l’81% delle violazioni correlate a episodi di hacking ha fatto leva su password rubate e/o deboli.
Tuttavia, secondo lo “State of Authentication Report” pubblicato nello stesso anno da Javelin Strategy & Research, il 100% delle imprese continua a utilizzare password. Questi risultati fanno pensare a un’arguta definizione di follia: fare sempre la stessa cosa attendendosi risultati diversi.
Ciò può sembrare divertente, ma non quando si tratta di proteggere i dati personali posseduti dai cittadini (quindi non di proprietà di una centrale rischi, di un fornitore di servizi Internet, di una società di telecomunicazioni, di una banca o di una qualsiasi altra impresa).
Regolamenti come il GDPR probabilmente apriranno la strada alla strong authentication tramite biometria o tramite autenticatori software o hardware. Dal momento che così tante organizzazioni statunitensi devono conformarsi, la strong authentication, poiché riguarda la sicurezza di dati personali codificati in una miriade di leggi sulla privacy, potrebbe proprio diventare la norma.
