Protezione dati e privacy

Privacy: dopo il GDPR arrivano nuove regole e sanzioni

Il rischio privacy sarà un nodo focale per le aziende nel 2022. Dall’inasprimento dei controlli sull’uso dei dati alla necessità di adozione di nuove tecnologie nella profilazione degli utenti, ecco cosa cambia e come tutelarsi. 

Due anni di pandemia hanno messo a dura prova le precedenti regolamentazioni sulla privacy, in particolare quelle contenute nel GDPR, e il 2022 si conferma come un anno fondamentale facendo da crocevia a una serie di questioni di importanza vitale, soprattutto per le aziende.
Queste ultime, infatti, avranno bisogno di prendere urgenti misure per fronteggiare il rischio privacy e i cambiamenti che avverranno nel medio-breve periodo: dall’impiego di figure specializzate nel trattamento dei dati o nel legal-tech all’utilizzo di strumenti digitali per proteggersi dai cyber attack, oggi sempre più frequenti.
Se molte imprese italiane si stanno già muovendo in questo senso, spinte soprattutto dal processo di digitalizzazione, notevolmente accelerato negli ultimi tempi, le sfide che nei prossimi anni quest’ultime dovranno fronteggiare sono innumerevoli e complesse. Vediamone alcune:

Privacy: le regolamentazioni

A più di tre anni dall’approvazione del Regolamento Ue 679 del 2016 noto come General Data Protection Regulation (GDPR) l’attività normativa europea in materia di privacy non sembra arrestarsi. Le istituzioni europee si sono impegnate nell’introdurre una serie di nuovi atti normativi in risposta al periodo instabile, soprattutto nella data protection. Impegno che si è principalmente concretizzato in quattro proposte di regolamento presentate nell’arco di pochi mesi:

• Il Data Governance Act;
• il Digital Services Act;
• il Digital Markets Act;
• l’Artificial Intelligence Act

Ognuna di queste proposte è volta a regolamentare uno specifico ambito nello scenario della data economy, inoltre se approvati, questi provvedimenti affiancheranno le normative più specifiche contenute nel GDPR per la salvaguardia della privacy e dei dati.
Oltre alle varie regolamentazioni, nel 2022 si è assistito alla redazione di numerose linee guida da parte dell’European Data Protection Board, volte ad approfondire il testo del GDPR e a completarlo con maggiori informazioni di taglio pratico.
Queste linee guida non hanno valore normativo, ma sono comunque una summa di informazioni utili a imprese e specialisti nel settore per approcciarsi nel modo migliore ai cambiamenti voluti dalle recenti regolamentazioni. Inoltre, esse costituiranno elemento di valutazione nella fase di accertamento della violazione del GDPR da parte delle Autorità Garanti.
Nel 2022 sarà sicuramente oggetto di attenzione da parte dell’EDPB il tema legato alla corretta applicazione del GDPR in materia di protezione dei dati personali nella ricerca scientifica.
Infatti, le rigide regolamentazioni contenute nel suddetto regolamento europeo sull’accesso e sull’utilizzo dei dati sanitari a scopi di ricerca si scontra con la crescente necessità del mondo scientifico di studiare le propagazioni dei virus e gli andamenti delle epidemie.

Stretta nella trasmissione dei dati personali da paese a paese

Un’ulteriore questione che sarà sicuramente rilevante nel 2022 è quella della trasmissione di dati personali tra i vari paesi, che subirà delle ulteriori restrizioni.
Se, infatti, il GDPR è già molto restrittivo su queste attività, si prevede in futuro un’applicazione più severa delle regolamentazioni e una declinazione più specifica di esse all’interno dei confini dei vari paesi.
L’impegno nella regolamentazione della trasmissione dei dati, inoltre, non è solo europeo. La maggior parte dei paesi del mondo sta applicando delle regole più restrittive a questa pratica, è il caso, per esempio, della Cina, dove dallo scorso novembre è in vigore la Legge Cinese sulla Protezione delle Informazioni personali (PIPL).
Questione fondamentale, quindi, per le imprese che operano su scala globale che dovranno adeguarsi a misure non solo molto restrittive ma diverse da paese a paese, in questo senso sarà importante avvalersi di esperti legal-tech.

Inasprimento delle attività di controllo dell’utilizzo dei dati

Non è un mistero che il 2021 sia stato un anno denso di provvedimenti da parte delle autorità europee nei confronti delle società digitali. È eclatante il caso di Amazon, multato per 746 milioni di euro dall’Autorità del Lussemburgo, oppure quello della sanzione erogata dal Garante Irlandese a Whatsapp, che ammonta a 225 milioni. Multe elargite sia per l’utilizzo improprio dei dati degli utenti, sia per non aver reso conto opportunamente dell’uso di questi ultimi ai fruitori delle piattaforme.
Anche l’Italia non si è risparmiata dal comminare sanzioni, arrivando ad inserirsi nella top ten europea dei Paesi che hanno multato di più per violazione delle norme del GDPR. In particolare, alcune delle sanzioni di maggior spessore sono quelle comminate nel settore telco al gruppo Tim (27,8 milioni di euro), a WindTre (16,7 milioni) e a Vodafone Italia (12,25 milioni). Inoltre, ha avuto grande risonanza la multa di 26 milioni di euro elargita dal Garante della Privacy a Enel Italia per telemarketing aggressivo e utilizzo dei dati dei consumatori senza consenso.
Perciò, per il 2022 si prevedono ulteriori provvedimenti nell’applicazione di regolamentazioni del GDPR riguardo l’uso dei dati personali, con particolare rilevanza alla protezione dei dati dei minori, alla limitazione dell’uso dei dati sanitari e finanziari sensibili e alla regolamentazione del marketing digitale.

Maggiore controllo sulla profilazione degli utenti e sulla Data Monetization

Oltre all’inasprimento delle sanzioni per le realtà che utilizzano dati personali impropriamente o non informano adeguatamente il soggetto del loro utilizzo, i controlli si rafforzano anche per le aziende che forniscono servizi sulla base di Adtech, particolare tecnologia in grado di tracciare e profilare gli utenti online a fine pubblicitari, che dal 2022 dovranno trovare modi per adeguare le loro attività alle sempre più stringenti normative sulla privacy. Per fare ciò, avranno bisogno di adottare nuove tecnologie appena nate (ad esempio blockchain o tokenization) progettate per diminuire la quantità di dati personali che raccolgono e trasmettono.
Se la raccolta dei dati degli utenti è sempre più una sfida, a preoccupare queste realtà è anche il maggior controllo da parte delle istituzioni sulle attività di monetizzazione di questi ultimi, tema molto dibattuto ma regolamentato dall’Unione Europea e, successivamente dall’Italia, solo negli ultimi anni.
Infatti, nel nostro paese, la normativa che regola lo scambio dei propri dati personali con beni o servizi è datata 4 novembre 2021 (D. Lgs. n. 173) e, attuando la Direttiva (UE) 2019/770, ha aggiunto al Codice del Consumo il nuovo articolo 135-ocites, il quale regola i casi in cui «il professionista fornisce o si obbliga a fornire un contenuto digitale o un servizio digitale al consumatore e il consumatore fornisce o si obbliga a fornire dati personali al professionista».
Questa recente svolta legislativa porta le aziende a preoccuparsi di adoperare nuovi modelli di business sempre basati sulla monetizzazione dei dati, ma che prevedono approfondite verifiche preliminari di conformità e interazione tecnologica/legale.

Maggiore impegno dei governi nel combattere i reati informatici

Il 2022 porterà con sé sicuramente un impegno da parte dei governi per affrontare la sempre più problematica questione dei cyber attacchi.
In particolare, verrà prestata particolare attenzione alle questioni relative al sempre più crescente fenomeno degli attacchi attraverso Ransomware (un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto) e alle problematiche connesse ai pagamenti dei riscatti.
Si discuterà sulla necessità di cooperazione con le forze dell’ordine prima di effettuare il pagamento del riscatto; per molti non sarebbe irragionevole l’idea portata avanti dagli Stati Uniti, ovvero quella di imporre sanzioni commerciali alle imprese che decideranno di pagare, disincentivando, così, questo tipo di attività criminali.
Ulteriore questione è la necessità di stringere collaborazioni tra governi per combattere le associazioni criminali che operano su scala globale attraverso ransomware.
In questo panorama è importante per le imprese proteggersi nel modo adeguato, sia impiegando esperti nel settore che sappiano creare sistemi di protezione, sia preparandosi ad affrontare la crisi derivante da un ipotetico attacco. Per questo diventa fondamentale scegliere la polizza cyber più adatta alle proprie esigenze e più in linea con i nuovi rischi del settore informatico.

La Privacy in Italia: i propositi per il 2022

Se il tema della privacy e della protezione dei dati è una questione calda per la maggior parte dei paesi, in Italia il dibattito si fa sempre più incalzante, portato in auge soprattutto dalle misure adoperate per il controllo dei green pass nei luoghi lavorativi.
In particolare, il tema più scottante per i titolari delle aziende è proprio quello del controllo del green pass dei propri lavoratori e la conseguente stesura di un’informativa sul trattamento dei dati per gli interessati. Le continue modifiche apportate dal governo sul tipo di certificazione e sulle modalità di controllo, inoltre, non facilitano il lavoro, dal momento in cui i tipi di dati coinvolti cambiano conseguentemente a queste rettifiche.
Una delle questioni più ostiche da risolvere, per esempio, è la possibilità da parte dei lavoratori di consegnare al datore di lavoro una copia della certificazione verde, come previsto dalla legge del 19 novembre 2021, n. 165.
Questa norma, introdotta per dare la possibilità di semplificare le operazioni di controllo, comporta una serie di problematiche sulla quantità di dati aggiuntivi di cui il titolare viene a conoscenza e, in aggiunta, sulla conservazione di questi ultimi. Ciò comporta per il datore di lavoro un aggiornamento notevole dell’informativa sui dati.
Le problematiche di utilizzo dei dati relative al controllo del green pass si vanno a sommare a numerose altre questioni sulla privacy emerse in questi anni di pandemia, periodo che, come ha ribadito durante un’intervista rilasciata alla testata Agenda Digitale, il Dott. Guido Scorza, Componente del Garante per la protezione dei dati personali, è, per il diritto alla privacy “uno stress test senza precedenti”.

 

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI