Privacy: un 2021 all’insegna del cybercrime

Relazione annuale Garante Privacy: un 2021 "particolarmente impegnativo"

Il 7 luglio 2022, l'Autorità Garante per la protezione dei dati personali ha presentato la relazione sull'attività svolta nel 2021, anno complesso come emerge fin dalle premesse del documento che lo definisce "particolarmente impegnativo".
La Relazione illustra i diversi fronti sui quali il Garante della Privacy è stato occupato, in un anno caratterizzato, come quello precedente, dall’impatto dell’emergenza sanitaria su tutti i settori della vita nazionale e dal ricorso massiccio alle piattaforme online. Con due necessità che si confermano con forza:

• assicurare un funzionale trattamento dei dati, con particolare attenzione a quelli sulla salute;
• garantire il rispetto dei diritti delle persone.

Queste due esigenze hanno visto l'Autorità impegnarsi in una costante opera di bilanciamento al momento di fornire pareri o di indicare misure di garanzia per tutelare i diritti della persona.
Il tutto nel costante impegno per finalizzare l’adeguamento al Regolamento UE da parte dei soggetti pubblici e privati.

Gli interventi del Garante della Privacy nel 2021

Numerosi gli interventi dell'Autorità Garante per la protezione dei dati personali, nel corso del 2021, e ampio lo spettro d'azione. Segnaliamo qui le principali aree di intervento:

• Tutela online dei minori. Azione di vigilanza sull’età di iscrizione ai social e l'imposizione di misure per tenere fuori dalle piattaforme gli utenti giovanissimi sotto i tredici anni;
• Dati biometrici e riconoscimento facciale. Sanzioni e divieti per uso improprio dei dati biometrici e monitoraggio dei cittadini.
• Sistemi di riconoscimento facciale a fini di sicurezza pubblica. Opposizione a sistemi privi delle necessarie garanzie a tutela della libertà delle persone e non conforme alla normativa sulla protezione dei dati.
• Cyberbullismo. Lavoro di sensibilizzazione per il contrasto al fenomeno.
• Revenge porn. Il legislatore ha affidato al Garante il compito di intervenire anche preventivamente per contrastare il fenomeno, legittimando anche le persone maggiori di 14 anni a presentare istanza al Garante.
• Protezione dei dati online. Lavoro sui possibili rischi connessi all’uso degli assistenti digitali e sull’uso dei droni a fini privati o di sicurezza pubblica.
• Profilazione online. L’Autorità ha approvato le nuove Linee guida in materia di informativa e consenso per l’uso dei cookie.
• Sanità. Intensa attività per fornire chiarimenti e prescrizioni a medici, strutture sanitarie e soggetti privati, sul corretto trattamento dei dati dei pazienti e cotribuire alla definizione di precise garanzie per l’utilizzo del green pass.
• Pubblica amministrazione. Richiamati Ministeri, Enti locali e Regioni ad evitare diffusioni illecite di dati personali e a contemperare obblighi di pubblicità degli atti e dignità delle persone. Forniti parerei sull’App IO, sullo SPID ai minori, sulle Anagrafi delle istruzioni, sulla piattaforma digitale per la notifica degli atti.
• Fiscalità. Chieste maggiori garanzie per la memorizzazione dei dati dei contribuenti contenuti nelle fatture elettroniche e fornite indicazioni per migliorare gli standard di esattezza e qualità dei dati trattati a fini fiscali.
• Privacy dei consumatori. Siglata una convenzione con il Mise nell’ambito della quale si stanno portando avanti una serie di importanti iniziative.
• Informativa privacy. Azione di semplificazione, attraverso icone, dei modelli di informativa privacy e realizzazione di esempi chiari e sintetici messi a disposizione dei soggetti pubblici e privati che vogliano adottarli.

Cybercrime e cybersecurity: le sfide per Garante e sistema economico

Veniamo poi ad un tema che desta preoccupazioni sempre maggiori, per via dell'aumento dell'intensità dei danni causati: il cybercrime.
Al crescere degli attacchi informatici nel corso degli ultimi anni, funestati anche dalla pandemia globale che ha trasferito online gran parte delle attività economiche, il Garante ha richiamato l’attenzione di pubbliche amministrazioni e imprese sulla necessità di investire in sicurezza e ha fornito indicazioni, in particolare, su come difendersi dai ransomware, quei software che si appropriano da remoto di un dispositivo elettronico per poi "liberarlo" a fronte del pagamento di somme di denaro. Una tipologia di reato digitale particolarmente diffuso in Italia.
E a proposito di attacchi informatici, il Garante comunica che il numero dei data breach notificati nel 2021 da parte di soggetti pubblici e privati ha raggiunto quota 2.071, con l'impressionante aumento del 50% rispetto al 2020. Molti degli attacchi peraltro relativi alla diffusione di dati sanitari, portando anche a sanzioni. Interventi dell’Autorità hanno riguardato in questo ambito anche grandi piattaforme social come Facebook e LinkedIn.
Al fine di potenziare la sicurezza informatica a livello nazionale, il Garante ha avviato la collaborazione con la Agenzia per la cybersicurezza nazionale, con la quale è stato firmato un protocollo di intesa finalizzato allo scambio di informazioni e la promozione di buone pratiche di sicurezza cibernetica.

I numeri dell'attività del Garante della Privacy nel 2021

Nel 2021, dunque, l'attività del Garante della Privacy si è andata intensificando sia a livello qualitativo, come visto, sia dal punto di vista quantitativo. L'Autorità nella Relazione annuale fornisce infatti una serie di dati, a partire dai 448 provvedimenti collegiali adottati nel 2021, con un aumento di oltre 56% rispetto all’anno precedente.

9.184 reclami e segnalazioni a cui è stato dato riscontro e che hanno riguardato principalmente:

• marketing e le reti telematiche;
• dati online delle pubbliche amministrazioni;
• sanità;
• sicurezza informatica;
• settore bancario e finanziario;
• lavoro.

72 i pareri resi dal Collegio su atti normativi e amministrativi, riguardanti sanità, fisco, giustizia, istruzione, digitalizzazione della PA, funzioni di interesse pubblico.

7 invece i pareri su norme di rango primario. In particolare, riguardo a:

• digitalizzazione della PA;
• giustizia;
• open data.

12 le comunicazioni di notizie di reato all’autorità giudiziaria, riguardanti violazioni in materia di:

• controllo a distanza dei lavoratori;
• accessi abusivi a sistemi informatici o telematici;
• trattamento illecito dei dati;
• falsità nelle dichiarazioni;
• inosservanza dei provvedimenti del Garante.

388 i provvedimenti correttivi e sanzionatori, con sanzioni riscosse per circa 13,5 milioni di euro.

49 le ispezioni effettuate nel 2021, limitate dall’impatto dell’emergenza pandemica. Accertamenti, svolti anche con il contributo del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, che hanno riguardato diversi settori, sia nell’ambito pubblico che privato. In particolare:

• fatturazione elettronica;
• fornitori di banche dati;
• videosorveglianza domestica;
• banche dati reputazionali;
• marketing e profilazione;
• data breach;
• food delivery.

Nell’attività di relazione con il pubblico l'Autorità ha dato riscontro a oltre 18.700 quesiti, che hanno riguardato, in maniera preponderante:

• adempimenti connessi all’applicazione del Regolamento UE;
• telemarketing indesiderato;
• rapporto di lavoro pubblico e privato;
• attività dei Responsabili del trattamento.

Privacy e GDPR: come tutelarsi tra organizzazione e assicurazione

La Relazione mostra dati che pongono l'accento su tutte le questioni legate alla privacy e all'applicazione della GDPR, in un contesto come l'attuale in cui gli attacchi informatici si fanno più numerosi ed intensi. Dunque le imprese devono adeguarsi alla normativa e alla sua evoluzione, per proteggere il proprio business e la sua continuità, ma anche per evitare di incorrere in accessi del Garante, richiami e sanzioni, anche molto pesanti dal punto di vista finanziario.

La normativa richiede che le aziende affrontino un percorso di adeguamento, facendo particolare attenzione a:

• processi interni di gestione dei dati trattati;
• rispetto dei diritti dei soggetti interessati;
• rafforzamento delle misure organizzative e tecniche (soprattutto informatiche) per la protezione dei dati personali;
• monitoraggio e manutenzione del sistema di gestione e protezione dei dati per garantire il mantenimento del livello di efficacia raggiunto.

La cyber security diviene quindi un elemento chiave sia per il successo delle organizzazioni che per l’adeguamento ai requisiti della legislazione europea e nazionale.
Assiteca su questo fronte affianca i clienti con un approccio pragmatico volto a minimizzare l’impatto della normativa e degli adempimenti, cogliendo al contempo le opportunità legate al miglioramento del livello di sicurezza dei sistemi aziendali. Il tutto attraverso un percorso con il cliente è progressivo e modulare:

• assessment integrato su processi, aspetti legali e cyber security, in grado di dare all'azienda una visione sintetica della propria situazione e di indicare con precisione le attività da svolgere per restare allineati ai requisiti del GDPR e della normativa nazionale vigente;
• implementazione del piano di adeguamento, in termini organizzativi, legali e tecnologici;
• formazione necessaria per i ruoli coinvolti nelle attività di protezione dei dati personali, e sul trasferimento dei rischi non mitigabili al mercato assicurativo;
• supporto nelle attività periodiche di monitoraggio e controllo, volte a verificare la tenuta nel tempo delle strutture di protezione dei dati.