Il Gdpr ha modificato in modo sostanziale il modo in cui le aziende sono chiamate a gestire i dati. E’ trascorso più di un anno dall’entrata in vigore anche di tutti i suoi effetti.
Le aziende si sono dovute adeguare e chi non lo ha fatto già oggi potrebbe rispondere delle conseguenze e prepararsi alle relative sanzioni. Ma qual è stato il reale impatto, come le aziende stanno gestendo oggi il Gdpr e quali saranno i prossimi passi? Ne parliamo con Hannes Saarinen, privacy officer di F-Secure, e Erik Andersen, Vp global practice leader, che lavora a stretto contatto con le aziende proprio su questo tema.
“Nel proteggere e garantire i diritti dei cittadini il Gdpr ha avuto abbastanza successo – così esordisce Andersen, e prosegue – personalmente ho ricevuto numerose comunicazioni sulla privacy in cui veniva chiesto il mio consenso in generale come consumatore e come privato. Trovo che le comunicazioni e le informazioni diffuse siano state nel complesso rilevanti e corrette, a volte anche un po’ troppe”.
Secondo Andersen le aziende hanno davvero iniziato a preoccuparsi della protezione dei dati personali. La consapevolezza è aumentata e molto. Soprattutto, spiega Andersen: “Molte organizzazioni stanno ancora investendo per migliorare la protezione dei dati e la gestione dei diritti degli interessati. C’è grande attenzione su chi controlla i big data, il che certamente aiuta ad accrescere la consapevolezza. E poi gli incidenti accaduti a Google e Facebook e altri grandi player. Anche l’incidente della British Airways dello scorso autunno è qualcosa che ha ricevuto molta attenzione e questo aiuta a mantenere alta la consapevolezza”.
Gli fa eco Saarinen che conferma: “Sì, è così. Sicuramente possiamo vedere la differenza tra ciò che non succedeva nel 2018 e che cosa sta accadendo oggi. Come ha sottolineato Eric, c’è una sorta di spam relativamente al Gdpr, ma questo indica quanto le aziende stessero informando poco i loro clienti sul tipo di dati che stavano effettivamente raccogliendo. Inoltre possiamo vedere tutto ciò che riguarda le perdite di dati, quante ne stanno accadendo e come le aziende stanno cercando di reagire. Ciò ci dice molto delle capacità di rilevarle o meno”.
Piuttosto qualche dubbio riguarda l’effettiva efficacia del Gdpr nel creare un nuovo modo di trattare i dati per stabilire una base da cui partire per generare più valore dai dati personali, condividendone ancora di più.
Su questo punto Andersen ha qualche dubbio in più: “Se il Gdpr avrà successo da questo punto di vista è ancora tutto da vedere. Le persone cominceranno a sentirsi più sicure? I cittadini europei vedranno un trattamento più equo sull’uso dei loro dati? Se ciò dovesse accadere, penso che avremo ottenuto tutto sommato un buon successo”.
Un’osservazione legata a filo doppio proprio con il vero spirito del Regolamento.
La domanda infatti porta direttamente a una riflessione. Le aziende stanno cercando semplicemente di soddisfare i requisiti di base o sono entrate nello spirito giusto del Gdpr rispetto la conformità di tutti i suoi aspetti?
Saarinen raccoglie volentieri lo spunto: “Direi che ciò non sta ancora accadendo. Le grandi aziende stanno ancora completando i loro progetti Gdpr e sono solo nel mezzo del passaggio da una fase progettuale a una fase attuativa. E si può vedere dalla nostra collaborazione con le aziende, come alcune di loro stiano ancora lavorando su elementi di base e altre abbiano già iniziato lentamente gli audit di terze parti, i trasferimenti internazionali e un trattamento dei dati più complesso ed elaborato. Quindi il viaggio non è ancora finito”.
Mentre Andersen precisa: “Sì, sono d’accordo. Direi che sono stati fatti molti sforzi per soddisfare i requisiti formali, i diritti delle persone interessate a essere informati, il diritto a esprimere il consenso, e per stabilire accordi per l’elaborazione dei dati, per registrare le attività di trattamento, nominando un Dpo, per esempio. Su questo tipo di requisiti, la maggior parte delle aziende è a buon punto. E penso che anche la consapevolezza sia migliorata molto”.
Gdpr, non mancano le sfide
Molto è stato fatto, ma non tutto e soprattutto non mancano le sfide anche a livello tecnico.
Le sottolinea Andersen: “Abbiamo visto alcune gravi violazioni di dati personali che avrebbero potuto essere evitate con uno sforzo nemmeno troppo grande. Negli attacchi di massa e attacchi casuali sappiamo che le vulnerabilità e i metodi di attacco sono davvero basilari. Quel tipo di attacchi potrebbe facilmente essere evitato. Quindi questo è un problema tecnico che non ha ancora ottenuto l’attenzione che meriterebbe. E penso anche che una delle sfide è che molti sistemi, in particolare i sistemi legacy, non sono progettati per la privacy e non sono facilmente configurabili per minimizzare l’accesso ai dati. E questo richiederà forse una o due generazioni di sistemi prima di vedere un cambiamento”.
Con alcune precisazioni, Saarinen: “Per trovare un lato positivo per ciò che concerne l’aspetto tecnico, le organizzazioni che si occupano di privacy hanno misurato il livello di difficoltà che occorre affrontare per tradurre i requisiti posti dal Gdpr in tecnologia, e tutte queste metriche puntano principalmente verso il basso. Ciò significa che anche con la relativa insufficienza di professionisti della privacy, tuttavia, le aziende stanno effettivamente risolvendo quegli aspetti tecnici per conformarsi al Gdpr”. Quindi, anche se non si può ancora dire che sia “facile”, ciò nonostante sembra più semplice andare avanti.
Tra le criticità evidenziate, Andersen aveva evidenziato in tempi non sospetti come il requisito che prevedeva di dover fornire adeguata protezione al dato stava generando confusione, perché le aziende non sapevano quanta fosse la protezione sufficiente. Su questo aspetto si possono leggere luci e ombre.
Chiediamo ad Andersen di entrare nel dettaglio: “Verissimo – attacca Andersen – non è migliorata l’intelligence delle minacce, ma è migliorata di molto la comprensione su dove risiedono i loro dati. Molte organizzazioni hanno fatto data stream analysis e data flow analysis. Quindi ora sanno quali dati risiedono nei differenti sistemi sulle varie reti e a cosa si può accedere dai vari endpoint, ecc. In questo si sono visti molti miglioramenti”.
La threat intelligence quindi rappresenta ancora una sfida.
Prosegue Andersen: “C’è la percezione per cui se acquisti, per esempio, un servizio di monitoraggio o di detection, allora acquisti anche la threat intelligence perché il fornitore di servizi di detection dovrebbe anche conoscere le minacce. Ma questa è una semplificazione eccessiva. In base alla mia esperienza, e a quella delle organizzazioni con cui lavoro, si tratta di qualcosa che deve essere migliorato. Occorre comprendere le minacce e usarle per focalizzare la protezione dove è più importante”.
E per quanto riguarda la capacità delle aziende di rilevarle, si sono munite di tecnologie e risorse per metterle in atto?
Andersen sottolinea il già fatto tanto quanto quello che manca ancora: “Alcuni dei sistemi esistenti di rilevazione e gestione dei log usati dalle organizzazioni non sono molto efficaci nel prevenire le violazioni di dati. Se, per esempio, si riceve un allarme che informa che qualcuno ha avuto accesso ai dati in un’applicazione, allora è già troppo tardi, significa che il danno è già stato fatto. Le aziende dovrebbero quindi pensare più a come prevenire le violazioni prima che diventino veri e propri data breach. Questo sta cambiando il focus, che si sta spostando più sul monitoraggio di ciò che accade nell’infrastruttura, in modo che si possa evitare che un attaccante raggiunga il tuo sistema o faccia breccia nei sistemi dove risiedono i tuoi dati”.
Il Gdpr ha fissato anche paletti certi sui termini della comunicazione delle violazioni. Secondo Andersen, i requisiti di notifica sono stati piuttosto ben compresi. Le organizzazioni sanno che non devono fare un’investigazione completa entro le 72 ore. È sufficiente fare una notifica sulla base di ciò che sai nel momento in cui sei venuto a conoscenza della violazione, e poi aggiungere man mano informazioni nel momento in cui scopri di più su ciò che è accaduto.
Saarinen si sente di commentare il punto specifico: “Questa deadline è stata creata dai legislatori in un panorama in cui nessuno diceva a qualcuno di aver subito o di avere in corso una violazione, il che significava anche che nessuno degli individui i cui dati erano stati violati poteva reagire. Quindi, il fatto che si fornisca una notifica di violazione in 50 ore o in 80 ore, non importa, perché significa che quelle informazioni sul data breach diventano ora disponibili in un tempo ragionevole in modo che le persone possano effettivamente reagire. Quindi, indipendentemente dal fatto se le aziende soddisfino realmente il requisito delle 72 ore, la cosa buona è che la società sta beneficiando in larga misura del fatto che ora abbiamo queste notifiche di avvenuta violazione”.
Non solo, una volta informate le autorità ci si aspetta che l’azienda indagherà sulla violazione. Ora si può quindi essere certi che le organizzazioni risponderanno effettivamente alle violazioni, poiché dopo aver notificato la violazione sono obbligate a farlo. Quindi non è solo la notifica in sé che ha importanza, ma anche tutto ciò che ne segue. Le azioni e le risposte che le organizzazioni devono adottare. È su questo che otteniamo i maggiori benefici.
Gli utenti finali che ricevono la notifica che comunica che le informazioni sono state violate possono attivare misure di attenuazione. Sono passaggi sempre necessari?
Saarinen: “In effetti no. Ciò accade solo nel caso in cui vi sia una violazione ad alto rischio, per così dire. La notifica all’autorità per la protezione dei dati è la priorità numero uno; il secondo passo, se il rischio è di alto impatto, è notificare l’utente come individuo. Ciò significa che non necessariamente si riceve sempre una notifica. Ovviamente se l’azienda colpita sta operando diligentemente, fornirà tale notifica. Ora che la gente inizia a vedere che si verificano violazioni dei dati anche in Europa, e non solo negli Stati Uniti (dove è richiesto l’obbligo di notifica), non si creerà più quel fattore di imbarazzo per l’azienda che sta notificando i propri clienti”.
Tante violazioni, poche sanzioni. Perché?
Un’indagine Dla Piper registra però che nonostante 59mila violazioni di dati personali notificate all’Ue solo 91 sono state sanzionate, non è un fallimento? Saarinen commenta così il dato: “Due sono le ragioni. Dobbiamo ricordare che, anche se può sembrare così, una violazione non equivale al fallimento del Gdpr. Come sanno i professionisti della sicurezza informatica, è del tutto possibile che siano state messe in campo misure di sicurezza sufficienti e tuttavia si venga violati semplicemente perché l’hacker utilizza tecnologie ancora più avanzate di quelle che hai potuto usare per la protezione della tua azienda.
La seconda ragione è semplicemente che le autorità per la protezione dei dati non hanno abbastanza tempo e risorse per dare seguito a una violazione. Hanno una così grande quantità di violazioni di dati che devono capire quali di queste siano davvero rilevanti e in quali di questi casi il responsabile del trattamento o chi doveva controllare è stato negligente nel proteggere i dati personali. E una volta che hanno scelto i casi rilevanti hanno poi il problema che serve un’enorme quantità di risorse per portare avanti effettivamente un caso di accusa in piena regola. Se vogliono andare contro grandi realtà come le multinazionali statunitensi, allora avranno davvero bisogno di avere a disposizione una notevole quantità di risorse per farcela”.
Cadere vittime di un attacco informatico, nonostante gli sforzi, è nel conto, ma allo stesso tempo davvero può sembrare che se 59mila violazioni sono effettivamente accadute e siano solo 91 i casi sanzionati forse nel bilancio qualcosa non funziona.
Raccoglie la provocazione Andersen, che risponde sulla scorta della propria esperienza: “Nelle 59.000 violazioni complessive, tra cui molti data breach, ho sentito parlare anche di casi di perdita di un documento che è stato mandato in stampa, e cose del genere. Quindi si va davvero da piccole violazioni a violazioni molto grandi. E so per certo che nel mio Paese, in Danimarca, per esempio, i comuni hanno inviato molte notifiche. Devo dire che hanno riportato molte violazioni che si trovano però nella fascia più bassa per gravità. Quindi sarebbe interessante sapere qual è la natura di queste 59.000 violazioni”.
Non solo, il fatto che solo 91 abbiano ricevuto sanzioni, non significa che solo 91 riceveranno sanzioni. E man mano che si risolvono sempre più casi, le sanzioni saranno più veloci, perché allora avremo alcuni esempi su cui potersi basare per emettere le sanzioni. C’è quindi una sorta di “giurisprudenza” in fieri che può essere utilizzata per l’emissione di sanzioni.
Specifica Saarinen: “Dobbiamo ricordare che le autorità stanno anche creando l’intera procedura per sanzionare le aziende, anche per pene minori. Ricordiamo che le ammende non sono l’unico strumento che le Dpa , autorità per la protezione dei dati, hanno a disposizione. Inviano avvertimenti, rimproveri, magari commentano pubblicamente o, addirittura peggio delle multe, proibiscono semplicemente all’azienda di elaborare altri dati. Quindi non dovremmo guardare solo le multe quando misuriamo l’impatto”.
Nel corso di quest’anno si vedranno multe più pesanti e altre forme di rincari. Cosa stanno facendo i Paesi Ue per fare in modo che tutto funzioni e sia disponibile effettivamente personale sufficiente per la protezione dei dati?
Prosegue Saarinen: “In verità al momento l’unico Paese che non rispetta questa legge è la Repubblica Ceca. È ancora bloccata da qualche parte nei processi parlamentari, ma tutti gli altri paesi dell’UE ora hanno questa legge, che è anche la legge che conferisce i diritti di responsabilizzazione alle autorità di protezione dei dati”.
La Brexit nel Regno Unito rappresenta però un problema, Saarinen: “Il problema è che il Dpa del Regno Unito è la migliore autorità di produzione di database, con la maggior quantità di personale. Quindi, le persone che si occupano di privacy sperano che la Brexit non si verifichi (e che quindi il Regno Unito non esca dall’Europa) perché porterebbe a una grave mancanza di risorse e di documentazione e guide. E in realtà, anche se occasionalmente noi, come aziende, ci lamentiamo delle regolamentazioni pubbliche, tuttavia vogliamo che ci siano autorità competenti in materia di tecnologia che ci dicano come fare queste cose, e l’Ico è una specie di gold standard al momento”.
Non mancano le criticità: “Direi che dal punto di vista legale e dei requisiti formali, le autorità di supervisione dei dati sono davvero migliorate e hanno ora più personale, ma per quanto riguarda le capacità tecniche per comprendere i rischi e le minacce, quando si parla di protezione dei dati la strada da percorrere è ancora lunga per un bel po’ delle autorità di vigilanza, ad eccezione dell’Ico. Quindi abbiamo ancora un divario tra le autorità di vigilanza sul lato tecnico”.
E al di fuori dell’UE? Saarinen: “Le aziende, soprattutto le multinazionali, nella maggior parte dei casi vogliono avere pratiche da adottare a livello globale. In molti casi non ha senso per loro avere una procedura specifica per l’Europa, e poi fare altro in tutti gli altri Paesi. Conosco le aziende statunitensi che fanno affari nell’UE, e hanno davvero speso soldi per conformarsi al Gdpr. Questo non vuol dire che sono tutti conformi, ma almeno hanno fatto uno sforzo autentico in tal senso”. Il Gdpr quindi ha rappresentato in un certo senso un “prodotto di esportazione europeo”.
Effetti “collaterali” del Gdpr? Saarinen: “Direi l’attività di compliance un po’ troppo severa con il database Whois… qualcuno ha deciso che l’accesso al database Whois si sarebbe dovuto limitare Si è valutato l’intero utilizzo del database Whois sulla base delle implicazioni sulla privacy delle persone che sono elencate in quel sito, e si sono dimenticati i benefici sociali che si hanno dal fatto di avere questo tipo di directory internet. Questo è anche qualcosa che a volte si vede nelle aziende o altre entità che applicano il Gdpr, ossia che guardano solo al lato della privacy delle cose e poi dimenticano gli altri aspetti che potrebbero effettivamente giustificare un po’ di più”.
“Piuttosto – riprende Saarinen – nel tempo le autorità per la protezione dei dati hanno ottenuto più potere per dare più indicazioni. Quindi abbiamo un po’ più di linee guida. Quello che è una spiacevole sorpresa è che gran parte di queste linee guida sono anche molto conservatrici e molto severe. Quindi, se vuoi essere pienamente conforme, in alcuni casi, devi davvero impegnarti molto”.
Anche per Andersen è andata così: “Penso anche che i legislatori e le autorità di vigilanza vogliano giocare facile e in modo sicuro. Non vogliono sembrare quelli che si stanno ammorbidendo. Quindi è comprensibile che l’orientamento che proviene da un’autorità di vigilanza sia rigoroso. Penso che anche se è rigoroso, è comunque utile perché rimuove alcune incertezze. Rende più facile capire cosa fare. E penso che ci siano stati molti buoni contributi da parte delle autorità di vigilanza, da semplici consigli, suggerimenti, esempi e persino strumenti. L’autorità di vigilanza francese, ad esempio, ha creato uno strumento open source per fare Dpia . E ora ci sono molti modelli che è possibile scaricare, esempi di accordi sull’elaborazione dei dati e come devi descrivere l’ambiente di protezione dei dati e così via. Quindi direi tutto sommato, ora ci sono molte indicazioni da reperire sui siti web delle autorità di vigilanza”.
Le linee guida… Si può non essere d’accordo con qualcuna di esse, ma averle toglie ogni scusa per non conformarsi, perché oggi ci sono molte indicazioni e informazioni, non su tutti gli argomenti ma su alcuni sì.
Mentre, per quanto riguarda le certificazioni, serve un buon mix di comprensione del business, comprensione dei processi, comprensione dei requisiti e delle prassi legali. Molta attenzione va a come si gestisce il consenso, come si gestisce la privacy in un’azienda, e quali sono le misure tecniche e le misure organizzative che si possono adottare per gestire il rischio. Si pensi per esempio al Cipp e al Cipm e al Cipt per l’UE. In ogni caso serve davvero saper padroneggiare non poco materiale.
Saarinen: “Le certificazioni personali sono sicuramente utili per educare i nuovi professionisti della privacy. Se pensiamo alle certificazioni dal punto di vista aziendale, allora il mio atteggiamento è un po’ negativo al momento. Voglio dire, sappiamo già che il Gdpr ha un modello in atto in cui il Consiglio europeo per la protezione dei dati, o Commissione europea, non ricordo quale, è in grado di produrre nuove certificazioni a livello europeo che non esistono ancora, il che significa che tutte quelle certificazioni che stai conseguendo prima del framework ufficiale di certificazione dell’Unione europea, come quelle di Ico e tutti i tipi di certificazioni rilasciate dalle società di consulenza, perderanno di valore quando finalmente avremo quello”.
Andersen: “Il Gdpr è un esempio a cui il resto del mondo sta guardando per adottarne i principi nel proprio regolamento sulla privacy e penso che dal punto di vista della certificazione forse potremmo fare lo stesso in EU, proprio nel senso contrario. L’Europa ha tradizionalmente gestito lo sviluppo di standard tramite le autorità o le organizzazioni responsabili degli standard Iso e così via. Mentre negli Stati Uniti, ad esempio, esiste una tradizione per lo sviluppo di standard nelle industrie. E in realtà ne abbiamo un esempio nel settore delle carte di pagamento, dove esiste uno standard per proteggere i dati personali delle carte di credito. C’è anche l’intera industria sanitaria e la Hipaa, da cui potremmo effettivamente adottare alcuni degli schemi di certificazione. Analogamente, quando guardiamo ad altri paesi al di fuori dell’UE, ci sono alcuni framework e standard sviluppati dal settore che, con modifiche e adattamenti minori al Gdpr, potrebbero essere un primo passo verso l’ottenimento di più standard e certificazioni”.
Prossimo step per le aziende?
Andersen: “Se sono conformi al Gdpr, dovrebbero concentrarsi sul continuare ad esserlo in modo più efficiente. Se non sono ancora conformi, se hanno ancora problemi, dovrebbero certamente dare la priorità a questi aspetti, chiudere i gap e in seguito potranno concentrarsi sul miglioramento. Quindi direi per tutte le organizzazioni che occorre condividere esperienze, condividere strumenti, utilizzare le organizzazioni del settore se serve un aiuto. Ho visto che le associazioni che rappresentano le varie industrie lo hanno preso molto sul serio e hanno creato buoni consigli e modelli che possono essere utilizzati dai loro membri. Quindi tutto sta maturando ora. Anche gli strumenti sul mercato per aiutare a gestire la conformità stanno migliorando sempre di più”.
Ricordiamo anche che la precedente legislazione, la direttiva sulla protezione dei dati dell’Unione europea, è in vigore da 20 anni mentre siamo solo al primo anno del Gdpr. Quindi abbiamo ancora parecchie strada da percorrere prima che il Gdpr diventi qualcosa di assodato. Ma le aziende stanno già andando in quella direzione.
Arriva anche il commento sulla multa a Google per circa 50 milioni di euro. Saarinen: “Secondo l’ammenda del Cnil, l’autorità francese per la protezione dei dati, Google non era trasparente nel modo in cui trattava i dati personali e non aveva l’opt-in. Non aveva un valido consenso per la raccolta di quei dati. Ora, questo è interessante anche perché quanto l’elaborazione dei dati di Google differisce davvero dalle pratiche dei cookie della maggior parte delle aziende? Molte aziende sono ancora in questa fase di rifiuto affermando che non devono apportare modifiche sostanziali alle pratiche dei cookie perché è solo nel quadro della normativa sulla privacy e anche se, di fatto, i dati che elaborano i loro cookie sono già impattati per la maggior parte anche dal Gdpr, allora al momento c’è questo conflitto legislativo che renderebbe un po’ più difficile creare pratiche di cookie fattibili. Quindi Google è stata multata, soprattutto su quel fronte in cui anche molte aziende stanno mancando al momento. Ed è per questo che il caso Google è un buon precedente, perché è una sorta di campanello d’allarme per le aziende che non hanno ancora implementato la gestione dei cookie”.
Le limitazioni sui dati impediscono di addestrare l’AI?
Con questa ultima domanda si conclude l’intervista a Saarinen e Andersen. Che così commentano. “Di default il Gdpr è neutro – attacca Saarinen – dal punto di vista tecnologico e se hai già una logica per elaborare determinati dati, è piuttosto banale apportare le modifiche necessarie che puoi utilizzare anche per lo stesso apprendimento automatico. Detto questo, se ci confrontiamo, ad esempio, con la cultura in Cina e negli Stati Uniti, ad esempio, dove ci sono pochissime limitazioni su come raccogliere i dati, sì, per impostazione predefinita il Gdpr sta mettendo l’Europa in svantaggio da quel punto di vista. Ma come sottolineato dai legislatori, se limitiamo troppo la protezione della privacy in nome del vantaggio economico, di un potenziale vantaggio economico nel regno dell’IA, allora è una specie di corsa verso il basso”.
Chiosa in ultimo Andersen: “Sono certamente d’accordo con te sul fatto che questa potrebbe essere una restrizione, ma il Gdpr non vuole limitare l’IA in quanto tale. Il punto che il Gdpr vuole far emergere è che devi capire il rischio quando raccogli grandi quantità di dati e fai l’intelligenza artificiale: quali sono le implicazioni per gli interessati? Vediamo i rischi a cui sono esposti i dati? E in base a ciò, è giusto andare avanti? Direi che puoi persino paragonarlo un po’ al modo in cui creiamo oggi una medicina. Abbiamo requisiti molto severi sui test e sull’attestare che sono stati fatti test su quella medicina prima di metterla sul mercato. E ciò non limita lo sviluppo della medicina.
L’intero scopo del Gdpr non è limitare l’uso dei dati personali. In realtà, è di farlo in modo controllato in modo che la società, i cittadini e le aziende possano essere soddisfatti. Quindi fornisce una buona base e trasparenza e fornisce agli interessati il diritto di recedere se non si sentono sicuri o a proprio agio con il modo in cui vengono utilizzati i loro dati. Questo porta a una base migliore per l’utilizzo dei dati personali.
Ultime battute: “Spero davvero che in futuro vedremo le persone saranno più sicure, che il trattamento e la protezione dei dati saranno più sicuri, in modo da poter ottenere pieno valore dai dati personali. In questo modo potremo fornire una migliore assistenza sanitaria, migliori servizi ovunque, siano essi servizi sociali o forniti da un’organizzazione privata”.
Non perdere tutti gli approfondimenti della Criminal Room
© RIPRODUZIONE RISERVATA
