Nel corso del 2020 i temi della corretta gestione dei dati e del rispetto del loro trattamento, in relazione a privacy e sicurezza, sono diventati centrali per i responsabili IT e per il management delle organizzazioni, anche in relazione ad un sensibile innalzamento dell’attenzione da parte degli organismi di vigilanza dell’Unione Europea.
Non solo, il 2020 ha evidenziato come nella digitalizzazione dei processi non sia possibile evitare di considerare il valore intrinseco della data security e della data privacy separatamente, e sia richiesto alle aziende un impegno ulteriore in questa direzione, non solo per via dei regolamenti vigenti (il Gdpr su tutti), ma anche in relazione ai rischi legati alla brand reputation, in caso di data breach, o di mancanza di trasparenza nel trattamento dei dati nei confronti dei propri clienti.
Sfide chiave anche per il 2021, tanto più considerato come, in questi mesi, a tratti è sembrato che il cybercrime fosse in grado di anticipare gli sforzi per proteggere le informazioni, come documentano le ricerche più recenti.
Protezione dei dati e privacy, a che punto siamo
I dati sono moneta corrente, la capacità di gestirli, anonimizzarli, proteggerli e valorizzarli dovrebbe rappresentare la prima preoccupazione per aziende e PA. Questi i temi cardine anche dell’incontro Protezione dei dati: Cosa Abbiamo Imparato nel 2020 e i Trend del 2021, ben inquadrato, dal punto di vista dei temi tecnologici da Ramses Gallego, International chief technology officer, Micro Focus. “Quella per la data protection è una battaglia che si gioca su tre campi: la protezione e la gestione delle identità, dei dati, e delle applicazioni – spiega Gallego –. Nel primo ambito è inevitabile oggi attingere alle potenzialità delle tecnologie di autenticazione multifattoriale (Mfa), ma si deve essere in grado di gestire e proteggere in questo modo anche gli accessi ai servizi”.
Proteggere le identità è il primo passo per riuscire a proteggere i dati, “attraverso la crittografia end-to-end e la tokenizzazione, perché l’utilizzo delle informazioni su diversi cloud (privati, ibridi e pubblici), ha esteso il perimetro della sfida”.
Ecco allora che proprio perché oggi è centrale valorizzare non solo i dati strutturati ma anche quelli destrutturati “serve una vera e propria disciplina nei processi di data discovery, data tagging, data masking e data scrambling, che non può prescindere però dallo sviluppo “sicuro” delle applicazioni”. L’idea di Gallego è quella di pensare alla cybersecurity dei processi legati alla gestione dei dati come ad una sorta di “circle of trust”.
Serve quindi una visione olistica on-premise come in cloud e la capacità di “comprendere” classificazione e gestione di dati strutturati e non all’interno dello stesso cerchio. “Si può pensare alla sicurezza, senza la privacy, ma è impossibile pensare alla privacy senza la sicurezza – conclude Gallego -. Per cui serve la piena visibilità su dati, applicazioni e network, ed un approccio quindi di ecosistema, “per il quale automazione e orchestrazione di sistemi, cloud e app – con l’utilizzo dell’AI e del suo subset, il ML – sono fondamentali”. E nel 2021 si dovrà essere capacità di “intendere la cybersecurity come cyberesiliency, ovvero avere la capacità di modellare l’azione in modo da anticipare, rispondere, recuperare ed evolvere in relazione alle sfide che si devono affrontare”.
Data privacy, le sfide per il 2021
Se il 2020 ha visto impegnate diverse categorie di aziende in relazione alle sfide poste nel trattamento dei dati dall’emergenza sanitaria, secondo Joerg Thomas, director of Data Protection Office di Huawei, “le sfide per il 2021 sono destinate ad essere ancora più impegnative”, anche in relazione ai passi avanti compiuti dalla Comunità Europea in relazione al tema del trasferimento dei dati al di fuori dei confini nazionali e dell’Unione. Data Protection Authority (Dpa) e Data Protection Impact Assessment (Dpia) sono stati “modellati” da Huawei sull’emergenza Covid in velocità, sulla scorta del possibile doppio orientamento europeo (liberale o restrittivo). Ora l’azienda rinnova il suo impegno per quanto riguarda la trasparenza (su localizzazione puntuale dei dati e relativi spostamenti), e sulle pratiche cosiddette di “data minimization” con un approccio volto a garantire la privacy by default, in linea con l’evoluzione e le priorità dei regolamenti.
Con Schrems II, infatti, torna al centro dell’attenzione – e sarà destinato a influenzare il tema della protezione dei dati e della privacy nel corso del 2021 – il problema relativo al trasferimento dei dati presso Paesi “terzi”, che è particolarmente critico, soprattutto per le multinazionali che sono presenti in Paesi non UE e si devono adeguare a diverse giurisdizioni, e che quest’anno riguarda quindi riguarda anche UK, dopo la Brexit
In questi casi, spiega Thomas, “identificare e mappare tutti gli spostamenti di informazioni e dati verso altri Paesi, e quindi anche i relativi cambiamenti nelle giurisdizioni, richiede uno sforzo di assessment continuo e una serie di misure supplementari; un aspetto che impatta anche su tutta la letteratura contrattuale”.
Per entrare nei dettagli e spiegare meglio, ricordiamo che Schrems è il cognome del cittadino austriaco iscritto su Facebook dal 2008 che presentò una denuncia volta a vietare e ritenere illegittimi i trasferimenti dei suoi dati personali sui server Facebook negli Usa, in relazione ad una giurisdizione che non sarebbe stata adeguata, negli Usa, a favorire le medesime tutele garantite dall’Europa. Questa richiesta, dopo una serie di passaggi, a luglio 2020, ha visto la Corte di giustizia dell’Unione europea pronunciarsi in merito alla legittimità della stessa, in quella che oggi appunto è riconosciuta come la “sentenza” Schrems II.
La Corte considera, anzitutto, che il diritto dell’Unione, e segnatamente il Gdpr, si applica ad un “trasferimento di dati personali effettuato a fini commerciali da un operatore economico stabilito in uno Stato membro verso un operatore economico stabilito in un Paese terzo anche se, durante o dopo detto trasferimento, tali dati possono essere soggetti a trattamento a fini di sicurezza pubblica, di difesa e di sicurezza dello Stato ad opera delle autorità del Paese terzo considerato”.
Per quanto riguarda il livello di protezione richiesto nell’ambito di un trasferimento di questo tipo, la Corte ha dichiarato che i requisiti al trattamento “devono essere interpretati nel senso che le persone i cui dati personali sono trasferiti verso un Paese terzo sulla base di clausole tipo di protezione dei dati devono godere di un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione da detto regolamento”. In tale contesto la Corte precisa inoltre che “la valutazione del suddetto livello di protezione deve prendere in considerazione tanto ciò che è stipulato contrattualmente tra l’esportatore dei dati stabilito nell’Unione e il destinatario del trasferimento stabilito nel Paese terzo considerato quanto, per quel che riguarda un eventuale accesso da parte delle pubbliche autorità di tale Paese terzo ai dati così trasferiti, gli elementi pertinenti del sistema giuridico di quest’ultimo“.
Con un ultimo importante dettaglio: la Corte infatti ha anche stabilito un obbligo per l’esportatore dei dati e il destinatario del trasferimento di “verificare, preliminarmente, che il livello di protezione adeguato sia rispettato nel Paese terzo considerato, e inoltre che la decisione impone al suddetto destinatario di informare l’esportatore dei dati della sua eventuale impossibilità di conformarsi alle clausole tipo di protezione, con l’onere, in tal caso, per quest’ultimo di sospendere il trasferimento di dati e/o di risolvere il contratto concluso con il primo”.
Sono aspetti importanti che hanno sancito di fatto la rottura del cosiddetto Privacy Shield, o scudo UE-Usa per gli scambi transatlantici di dati personali a scopo commerciale tra Unione europea e Stati Uniti d’America, di fatto dichiarato invalido dalla Corte di giustizia dell’UE, proprio con la sentenza Schrems II.
Ora gli esperti sono chiamati a dover valutare una serie di difficoltà per quanto riguarda l’effettiva possibilità di implementare nella prassi pratiche di trasferimento internazionale dei dati al di fuori del Sistema Economico Europeo, a valutare gli opportuni adeguamenti contrattuali e l’implementazione di una serie di soluzioni tecniche (come appunto crittografia, pseudonimizzazione e anonimizzazione), volte a consentire comunque l’utilizzo del dato, ma allo stesso tempo anche a garantire la privacy degli utenti.
Difficile, certo, pensare per il 2021 alla prosecuzione di modelli di business che non tengano conto delle valutazioni di Schrems II e all’attento aggiornamento quindi di policy e contratti secondo le priorità evidenziate dal board europeo responsabile della protezione dei dati (Edpb).
© RIPRODUZIONE RISERVATA
