GDPR, un anno dopo
Il Regolamento Generale per la Protezione dei Dati (GDPR) dell’EU è entrato in vigore un anno fa modificando sostanzialmente il modo in cui le aziende gestiscono i dati. Il GDPR ha costretto le aziende a conformarsi o ad affrontare le conseguenze e le relative sanzioni. Un anno dopo, è tempo di chiedersi qual è stato l’impatto del GDPR, come le aziende lo stanno gestendo e quali saranno i prossimi passi.
Nell’episodio n. 24 della serie di podcast Cyber Security Sauna, Hannes Saarinen, privacy officer di F-Secure, e Eric Andersen, che lavora a stretto contatto con le aziende sul GDPR, affrontano insieme questi temi. Ne avevano già discusso nel Maggio 2018 ma ora offrono un aggiornamento su ciò che è accaduto in un anno di GDPR.
Puoi ascoltare il podcast o leggere qui la trascrizione in italiano. E non dimenticare di iscriverti alla serie di podcast, di ascoltarli e di votarli!
TUTTI GLI EPISODI DI CYBER SAUNA | SEGUICI SU TWITTER
Janne: Bentornati al nostro show!
Hannes: Grazie, Janne. È sempre un piacere essere qui.
Erik: Grazie.
Qual è stato l’impatto del GDPR? Sta ottenendo ciò per cui è stato pensato, ossia la protezione dei dati personali dei cittadini europei?
Erik: Nel proteggere e garantire i diritti dei cittadini, direi che ha avuto abbastanza successo. Personalmente ho ricevuto numerose comunicazioni sulla privacy in cui veniva chiesto il mio consenso in generale come consumatore e come privato. Trovo che le comunicazioni e le informazioni diffuse siano state nel complesso rilevanti e corrette, a volte anche un po’ troppe.
Credo inoltre che le aziende abbiano davvero iniziato a preoccuparsi della protezione dei dati personali. La consapevolezza è aumentata molto. Tutti parlano di come proteggono i dati all’interno delle organizzazioni. E vedo molte organizzazioni che stanno ancora investendo per migliorare la protezione dei dati e la gestione dei diritti degli interessati. Quindi direi di sì, per questi aspetti è stato un successo. C’è anche grande attenzione su chi controlla i big data, il che certamente ha aiutato ad accrescere la consapevolezza. E poi gli incidenti accaduti a Google e Facebook e altri grandi player. Anche l’incidente della British Airways dello scorso autunno è qualcosa che ha ricevuto molta attenzione e questo aiuta a mantenere alta la consapevolezza.
Sì, assolutamente. E tu Hannes, stai vedendo il tipo di cose che volevi vedere?
Hannes: Sì. Sicuramente possiamo vedere la differenza tra ciò che non succedeva nel 2018 e che cosa sta accadendo oggi. Come ha sottolineato Eric, c’è una sorta di spam relativamente al GDPR, ma questo indica quanto le aziende stessero informando poco i loro clienti sul tipo di dati che stavano effettivamente raccogliendo. Inoltre possiamo vedere tutto ciò che riguarda le perdite di dati, quante ne stanno accadendo e come le aziende stanno cercando di reagire. Ciò ci dice molto delle capacità di rilevarle o meno.
Erik: Con il GDPR si voleva anche creare un nuovo modo di trattare i dati per stabilire una base da cui partire per generare più valore dai dati personali, condividendone ancora di più. Se il GDPR avrà successo da questo punto di vista è ancora tutto da vedere. Le persone cominceranno a sentirsi più sicure? I cittadini europei vedranno un trattamento più equo sull’uso dei loro dati? Se ciò dovesse accadere, penso che avremo ottenuto tutto sommato un buon successo.
A proposito di valore, come vedete le aziende oggi? Stanno solo cercando di soddisfare i requisiti di base? O stanno entrando nello spirito giusto, rispettando la conformità in tutti i suoi aspetti, ottenendo davvero tutto dal GDPR?
Hannes: In breve direi che ciò non sta ancora accadendo. Le grandi aziende stanno ancora completando i loro progetti GDPR e sono solo nel mezzo del passaggio da una fase progettuale a una fase attuativa. E si può vedere dalla nostra collaborazione con le aziende, come alcune di loro stiano ancora lavorando su elementi di base e altre abbiano già iniziato lentamente gli audit di terze parti, i trasferimenti internazionali e un trattamento dei dati più complesso ed elaborato. Quindi il viaggio non è ancora finito.
Erik: Sì, sono d’accordo. Direi che sono stati fatti molti sforzi per soddisfare i requisiti formali, i diritti delle persone interessate a essere informati, il diritto a esprimere il consenso, e per stabilire accordi per l’elaborazione dei dati, per registrare le attività di trattamento, nominando un DPO, ad esempio. Su questo tipo di requisiti, la maggior parte delle aziende è a buon punto. E penso che anche la consapevolezza sia migliorata molto.
Ma abbiamo ancora molte sfide soprattutto a livello tecnico. Abbiamo visto alcune gravi violazioni di dati personali che avrebbero potuto essere evitate con uno sforzo nemmeno troppo grande. Negli attacchi di massa e attacchi casuali sappiamo che le vulnerabilità e i metodi di attacco sono davvero basilari. Quel tipo di attacchi potrebbe facilmente essere evitato. Quindi questo è un problema tecnico che non ha ancora ottenuto l’attenzione che meriterebbe. E penso anche che una delle sfide è che molti sistemi, in particolare i sistemi legacy, non sono progettati per la privacy e non sono facilmente configurabili per minimizzare l’accesso ai dati. E questo richiederà forse una o due generazioni di sistemi prima di vedere un cambiamento.
Hannes: Per trovare un lato positivo per ciò che concerne l’aspetto tecnico, le organizzazioni che si occupano di privacy hanno misurato il livello di difficoltà che occorre affrontare per tradurre i requisiti posti dal GDPR in tecnologia, e tutte queste metriche puntano principalmente verso il basso. Ciò significa che anche con la relativa insufficienza di professionisti della privacy, tuttavia, le aziende stanno effettivamente risolvendo quegli aspetti tecnici per conformarsi al GDPR che inizialmente erano considerati molto difficili e complessi da implementare. Quindi, anche se non si può ancora dire che sia “facile”, ciò nonostante sarà più semplice andare avanti.
Erik: Bene, questa è una notizia positiva.
L’altra volta, Erik, avevi dichiarato che il requisito che prevede di dover fornire adeguata protezione dei dati personali stava causando confusione e che le aziende non sempre sanno quanta protezione sia sufficiente. Non hanno una comprensione adeguata del rischio e delle minacce per le loro attività e la loro threat intelligence è piuttosto bassa. Hai osservato qualche miglioramento in questo nello scorso anno, le aziende conoscono meglio quali sono i rischi e le minacce che possono riguardarle?
Erik: Non è migliorata l’intelligence delle minacce, ma è migliorata di molto la comprensione su dove risiedono i loro dati. Molte organizzazioni hanno fatto data stream analysis e data flow analysis. Quindi ora sanno quali dati risiedono nei differenti sistemi sulle varie reti e a cosa si può accedere dai vari endpoint, ecc. In questo si sono visti molti miglioramenti.
Direi che la threat intelligence rappresenta ancora una sfida. C’è la percezione per cui se acquisti, per esempio, un servizio di monitoraggio o di detection, allora acquisti anche la threat intelligence perché il fornitore di servizi di detection dovrebbe anche conoscere le minacce. Ma questa è una semplificazione eccessiva. In base alla mia esperienza, e a quella delle organizzazioni con cui lavoro, si tratta di qualcosa che deve essere migliorato. Occorre comprendere le minacce e usarle per focalizzare la protezione dove è più importante.
Cosa mi dite del mio requisito preferito per cui le aziende dovrebbero avere capacità di rilevazione? Come si stanno comportando le aziende, si sono munite delle giuste tecnologie e risorse per metterle in atto?
Erik: In una certa misura, sì. Credo ci sia ancora molto da fare. Alcuni dei sistemi esistenti di rilevazione e gestione dei log usati dalle organizzazioni non sono molto efficaci nel prevenire le violazioni di dati. Se, per esempio, ricevi un allarme che informa che qualcuno ha avuto accesso ai tuoi dati in un’applicazione, allora è già troppo tardi, significa che il danno è già stato fatto. Le aziende dovrebbero quindi pensare più a come prevenire le violazioni prima che diventino veri e propri data breach. Questo sta cambiando il focus, che si sta spostando più sul monitoraggio di ciò che accade nell’infrastruttura, in modo che si possa evitare che un attaccante raggiunga il tuo sistema o faccia breccia nei sistemi dove risiedono i tuoi dati.
C’è anche una deadline temporale entro cui occorre denunciare una violazione e se non hai capacità di rilevamento sarai preso alla sprovvista. Come si stanno comportando le aziende con la necessità di comunicare le violazioni entro un certo termine?
Erik: Dal mio punto di vista direi che si stanno comportando abbastanza bene. Non è sempre un compito facile. Direi in generale che i requisiti di notifica sono piuttosto ben compresi. Le organizzazioni sanno che non devono fare un’investigazione completa entro le 72 ore. È sufficiente fare una notifica sulla base di ciò che sai nel momento in cui sei venuto a conoscenza della violazione, e poi aggiungere man mano informazioni nel momento in cui scopri di più su ciò che è accaduto. Non ho quindi visto grandi sfide in questo.
Hannes: Guardiamo alle 72 ore dal punto di vista sociale: questa deadline è stata creata dai legislatori in un panorama in cui nessuno diceva a qualcuno “abbiamo una violazione in corso”, il che significava anche che nessuno degli individui i cui dati erano stati violati poteva reagire. Quindi, il fatto che si fornisca una notifica di violazione in 50 ore o in 80 ore, non importa, perché significa comunque che quelle informazioni sul data breach diventano ora disponibili in un tempo ragionevole in modo che le persone possano effettivamente reagire. Quindi, indipendentemente dal fatto se le aziende soddisfino realmente il requisito delle 72 ore, la cosa buona è che la società sta beneficiando in larga misura del fatto che ora abbiamo queste notifiche di avvenuta violazione.
Erik: Sì. E c’è un’altra conseguenza nel dover informare le autorità, e cioè che una volta fatto ci si aspetta che la tale organizzazione indagherà sulla violazione. Quindi ora puoi essere certo che le organizzazioni risponderanno effettivamente alle violazioni, poiché dopo aver notificato la violazione sono obbligate a farlo. Quindi non è solo la notifica in sé che ha importanza, ma anche tutto ciò che ne segue. Le azioni e le risposte che le organizzazioni devono adottare. È su questo che otteniamo i maggiori benefici.
Hannes: Questo è un ottimo punto, Eric. Questo è uno degli aspetti positivi del GDPR, in cui non abbiamo solo un elenco di requisiti isolati, ma in realtà si crea un cerchio che porta le aziende necessariamente a migliorare l’intera privacy e il quadro di sicurezza.
Ma la notifica entro le 72 ore, significa anche che io come utente di questi servizi ricevo una notifica che le mie informazioni sono state violate e posso attivare misure di attenuazione, come cambiare le mie password, o magari ottenere un blocco delle carte di credito o altre cose simili.
Hannes: Tieni presente che ciò accade solo nel caso in cui vi sia una violazione ad alto rischio, per così dire. La notifica all’autorità per la protezione dei dati è la priorità numero uno; il secondo passo, se il rischio è di alto impatto, è notificare l’utente come individuo. Ciò significa che non necessariamente ricevi sempre una notifica. Ovviamente se l’azienda colpita sta operando diligentemente, fornirà tale notifica. Ora che la gente inizia a vedere che si verificano violazioni dei dati anche in Europa, e non solo negli Stati Uniti (dove è richiesto l’obbligo di notifica), non si creerà più quel fattore di imbarazzo per l’azienda che sta notificando i propri clienti.
Un’indagine di DLA Piper evidenzia che ci sono state 59.000 violazioni di dati personali che sono state notificate all’EU da quando il GDPR è entrato in vigore, ma solo 91 hanno ricevuto delle sanzioni. Perché ci sono così poche sanzioni?
Hannes: Bene, ci sono due ragioni principali. Per prima cosa, dobbiamo ricordare che, anche se può sembrare così, una violazione non equivale al fallimento del GDPR. Come sanno i professionisti della sicurezza informatica, è del tutto possibile che siano state messe in campo misure di sicurezza sufficienti e tuttavia si venga violati semplicemente perché l’hacker utilizza tecnologie ancora più avanzate di quelle che hai potuto usare per la protezione della tua azienda.
La seconda ragione è semplicemente che le autorità per la protezione dei dati non hanno abbastanza tempo e risorse per dare seguito a una violazione. Hanno una così grande quantità di violazioni di dati che devono capire quali di queste siano davvero rilevanti e in quali di questi casi il responsabile del trattamento o chi doveva controllare è stato negligente nel proteggere i dati personali. E una volta che hanno scelto i casi rilevanti hanno poi il problema che serve un’enorme quantità di risorse per portare avanti effettivamente un caso di accusa in piena regola. Se vogliono andare contro grandi realtà come le multinazionali statunitensi, allora avranno davvero bisogno di avere a disposizione una notevole quantità di risorse per farcela.
Avete toccato un buon punto poco fa, ossia che qualche volta nonostante tu abbia fatto ogni cosa nel modo corretto cadi lo stesso vittima di uno di questi attacchi informatici. Ma francamente molti degli attacchi che vediamo e molte delle violazioni di cui sentiamo parlare non rientrano in questo caso. E a me sembra che 91 casi sanzionati su 59.000 violazioni siano davvero un numero molto basso. Si tratta veramente di un problema di risorse in gioco? Pensate che le autorità siano rimaste sorprese dal numero di violazioni che stanno accadendo?
Erik: Posso parlare principalmente per le autorità danesi, ma direi che nelle 59.000 violazioni, tra cui molti data breach, ho sentito parlare anche di casi di perdita di un documento che è stato mandato in stampa, e cose del genere. Quindi si va davvero da piccole violazioni a violazioni molto grandi. E so per certo che qui in Danimarca, ad esempio, i comuni hanno inviato molte notifiche. Devo dire che hanno riportato molte violazioni che si trovano però nella fascia più bassa per gravità. Quindi sarebbe interessante sapere qual è la natura di queste 59.000 violazioni.
So anche che in Danimarca che non c’è abbastanza “capacità” per elaborare tutto ciò. Quindi il fatto che solo 91 abbiano ricevuto sanzioni, non significa che solo 91 riceveranno sanzioni. E man mano che si risolvono sempre più casi, le sanzioni saranno più veloci, perché allora avremo alcuni esempi su cui potersi basare per emettere le sanzioni. C’è quindi una sorta di “giurisprudenza” in fieri che può essere utilizzata per l’emissione di sanzioni.
Hannes: Questo è un ottimo punto Eric. Dobbiamo ricordare che le autorità stanno anche creando l’intera procedura per sanzionare le aziende, anche per pene minori. Ricordiamo che le ammende non sono l’unico strumento che le DPA, autorità per la protezione dei dati, hanno a disposizione. Inviano avvertimenti, rimproveri, magari commentano pubblicamente o, addirittura peggio delle multe, proibiscono semplicemente all’azienda di elaborare altri dati. Quindi non dovremmo guardare solo le multe quando misuriamo l’impatto.
Stavi dicendo che non abbiamo visto sanzioni per tutti gli incidenti che sono stati segnalati finora. Pensi che dovremmo aspettarci di vedere multe molto più pesanti o altre forme di rincari nel 2019?
Hannes: Vedremo di più. Prendiamo per esempio l’autorità finlandese per la protezione dei dati. La legge attuale che ha conferito il potere di imporre tutte queste multe è entrata in vigore il primo gennaio. Quindi meno di cinque mesi fa.
L’ultima volta hai detto che la maggior parte dei Paesi non era pronta per il GDPR. Come stavi dicendo tu, Hannes, anche in Finlandia la legislazione in merito è entrata in vigore solo a gennaio. Inoltre, non si dispone di personale delle autorità per la protezione dei dati sufficiente. Cosa stanno facendo gli Stati membri dell’UE in questo senso?
Hannes: La situazione va discretamente bene. L’unico Paese che non rispetta questa legge è la Repubblica Ceca. È ancora bloccata da qualche parte nei processi parlamentari, ma tutti gli altri paesi dell’UE ora hanno questa legge, che è anche la legge che conferisce i diritti di responsabilizzazione alle autorità di protezione dei dati.
In termini di gestione della forza lavoro delle stesse autorità, attirerò qui l’attenzione sulla Brexit, che io e probabilmente tutta la community della privacy stiamo osservando con occhi preoccupati. Il problema è che il DPA del Regno Unito è la migliore autorità di produzione di database, con la maggior quantità di personale. Quindi, le persone che si occupano di privacy sperano fortemente che la Brexit non si verifichi (e che quindi il Regno Unito non esca dall’Europa) perché porterebbe a una grave mancanza di risorse e di documentazione e guide. E in realtà, anche se occasionalmente noi, come aziende, ci lamentiamo delle regolamentazioni pubbliche, tuttavia vogliamo che ci siano autorità competenti in materia di tecnologia che ci dicano come fare queste cose, e l’ICO è una specie di gold standard al momento.
Erik: Sì, direi che dal punto di vista legale e dei requisiti formali, le autorità di supervisione dei dati sono davvero migliorate e hanno ora più personale, ma per quanto riguarda le capacità tecniche per comprendere i rischi e le minacce, quando si parla di protezione dei dati la strada da percorrere è ancora lunga per un bel po’ delle autorità di vigilanza, ad eccezione dell’ICO. Quindi abbiamo ancora un divario tra le autorità di vigilanza sul lato tecnico.
Quindi che dire delle aziende al di fuori dell’UE? Come hanno gestito il nuovo regolamento? Il GDPR ha un impatto positivo sulla privacy delle persone al di fuori della giurisdizione?
Hannes: Direi di sì, perché le aziende, soprattutto le multinazionali, nella maggior parte dei casi vogliono avere pratiche da adottare a livello globale. In molti casi non ha senso per loro avere una procedura specifica per l’Europa, e poi fare altro in tutti gli altri Paesi. Conosco le aziende statunitensi che fanno affari nell’UE, e hanno davvero speso soldi per conformarsi al GDPR. Questo non vuol dire che sono tutti conformi, ma almeno hanno fatto uno sforzo autentico in tal senso.
E su questo noi europei possiamo essere piuttosto orgogliosi. Voglio dire, il GDPR in particolare è un prodotto di esportazione europeo. Al momento, è il modello per molte altre centinaia di leggi sulla privacy in tutto il mondo. Stiamo quindi influenzando il modo in cui i dati personali vengono percepiti ed elaborati in tutto il mondo.
Ci sono state conseguenze non intenzionali del GDPR? Cose che sono successe che non facevano parte del piano originale?
Hannes: Se vuoi che scelga per forza una cosa, che probabilmente è stata una conseguenza non voluta, direi l’attività di compliance un po’ troppo severa con il database Whois… qualcuno ha deciso che “Ok, questo è contro il GDPR. Dobbiamo limitare l’accesso al database Whois.” Si è valutato l’intero utilizzo del database Whois sulla base delle implicazioni sulla privacy delle persone che sono elencate in quel sito, e si sono dimenticati i benefici sociali che si hanno dal fatto di avere questo tipo di directory internet. Questo è anche qualcosa che a volte si vede nelle aziende o altre entità che applicano il GDPR, ossia che guardano solo al lato della privacy delle cose e poi dimenticano gli altri aspetti che potrebbero effettivamente giustificare un po’ di più.
Ci sono stati cambiamenti sulle linee guida e l’interpretazione del regolamento?
Hannes: Le autorità per la protezione dei dati hanno ottenuto più potere per dare più indicazioni. Quindi abbiamo un po’ più di linee guida. Quello che è una spiacevole sorpresa è che gran parte di queste linee guida sono anche molto conservatrici e molto severe. Quindi, se vuoi essere pienamente conforme, in alcuni casi, devi davvero impegnarti molto.
Erik: Sì, sono d’accordo. Penso anche che i legislatori e le autorità di vigilanza vogliano giocare facile e in modo sicuro. Non vogliono sembrare quelli che si stanno ammorbidendo. Quindi è comprensibile che l’orientamento che proviene da un’autorità di vigilanza sia rigoroso. Penso che anche se è rigoroso, è comunque utile perché rimuove alcune incertezze. Rende più facile capire cosa fare. E penso che ci siano stati molti buoni contributi da parte delle autorità di vigilanza, da semplici consigli, suggerimenti, esempi e persino strumenti. L’autorità di vigilanza francese, ad esempio, ha creato uno strumento open source per fare DPIA. E ora ci sono molti modelli che è possibile scaricare, esempi di accordi sull’elaborazione dei dati e come devi descrivere l’ambiente di protezione dei dati e così via. Quindi direi tutto sommato, ora ci sono molte indicazioni da reperire sui siti web delle autorità di vigilanza.
Hannes: Devo dire che anche se non sono d’accordo con alcune delle linee guida, ciononostante ora hai una guida che consente di far decadere le scuse di chi sostiene che sia troppo complesso conformarsi. Non ci sono più scuse per le aziende per non conformarsi, perché oggi ci sono molte indicazioni e informazioni, non su tutti gli argomenti ma su alcuni sì.
Ci sono le linee guida delle autorità, ma c’è anche tutto il settore della consulenza in materia di GDPR con consulenti che aiutano a capire come essere conformi al GDPR. Cosa ne pensate delle certificazioni GDPR che stanno spuntando?
Erik: Penso che siano di qualità abbastanza buona. Non è stato così nel primo anno, ma è migliorato molto. E in generale, penso che si debba saper padroneggiare parecchio materiale. Serve un buon mix di comprensione del business, comprensione dei processi, comprensione dei requisiti e delle prassi legali. Molta attenzione va a come gestisci il consenso, come gestisci la privacy in un’azienda, e quali sono le misure tecniche e le misure organizzative che puoi adottare per gestire il rischio. Penso che ora abbiamo un buon insieme di certificazioni. E penso principalmente al CIPP e al CIPM e al CIPT per l’UE.
Hannes: Quindi Eric, stai parlando di certificazioni personali?
Erik: Sì.
Hannes: Sì, potrebbero essere utili soprattutto per educare i nuovi professionisti della privacy. Se pensiamo alle certificazioni dal punto di vista aziendale, allora il mio atteggiamento è un po’ negativo al momento. Voglio dire, sappiamo già che il GDPR ha un modello in atto in cui il Consiglio europeo per la protezione dei dati, o Commissione europea, non ricordo quale, è in grado di produrre nuove certificazioni a livello europeo che non esistono ancora, il che significa che tutte quelle certificazioni che stai conseguendo prima del framework ufficiale di certificazione dell’Unione europea, come quelle di ICO e tutti i tipi di certificazioni rilasciate dalle società di consulenza, perderanno di valore quando finalmente avremo quello.
Quindi potresti voler ottenere queste certificazioni allo scopo di avere almeno un po’ di carta da mostrare per dire “Ehi, sto facendo bene le mie cose.” Oppure puoi farlo come un banco di prova, perché molto probabilmente non sarà del tutto vano quando finalmente avremo la certificazione di livello europeo in vigore. Ma l’impatto a livello aziendale delle certificazioni è, direi, minore in questo momento.
Erik: Sì, penso che tu abbia ragione su questo. E tu hai detto prima che il GDPR è un esempio a cui il resto del mondo sta guardando per adottarne i principi nel proprio regolamento sulla privacy e penso che dal punto di vista della certificazione forse potremmo fare lo stesso in EU, proprio nel senso contrario. L’Europa ha tradizionalmente gestito lo sviluppo di standard tramite le autorità o le organizzazioni responsabili degli standard ISO e così via. Mentre negli Stati Uniti, ad esempio, esiste una tradizione per lo sviluppo di standard nelle industrie. E in realtà ne abbiamo un esempio nel settore delle carte di pagamento, dove esiste uno standard per proteggere i dati personali delle carte di credito. C’è anche l’intera industria sanitaria e la HIPAA, da cui potremmo effettivamente adottare alcuni degli schemi di certificazione. Analogamente, quando guardiamo ad altri paesi al di fuori dell’UE, ci sono alcuni framework e standard sviluppati dal settore che, con modifiche e adattamenti minori al GDPR, potrebbero essere un primo passo verso l’ottenimento di più standard e certificazioni.
Quindi cosa dovrebbero fare le aziende a questo punto? Voglio dire, sia le aziende che sono già in regola con il GDPR e quelle che stanno ancora cercando di conformarsi?
Erik: Se sono conformi al GDPR, dovrebbero concentrarsi sul continuare ad esserlo in modo più efficiente. Se non sono ancora conformi, se hanno ancora problemi, dovrebbero certamente dare la priorità a questi aspetti, chiudere i gap e in seguito potranno concentrarsi sul miglioramento. Quindi direi per tutte le organizzazioni che occorre condividere esperienze, condividere strumenti, utilizzare le organizzazioni del settore se serve un aiuto. Ho visto che le associazioni che rappresentano le varie industrie lo hanno preso molto sul serio e hanno creato buoni consigli e modelli che possono essere utilizzati dai loro membri. Quindi tutto sta maturando ora. Anche gli strumenti sul mercato per aiutare a gestire la conformità stanno migliorando sempre di più.
Hannes: Sì, devo ripetere le stesse cose che ha detto Eric in questo caso. Il 2019 sarà un anno più importante per il GDPR. Ricordiamo che la precedente legislazione, la direttiva sulla protezione dei dati dell’Unione europea, è in vigore da 20 anni mentre siamo solo al primo anno del GDPR. Quindi abbiamo ancora parecchie strada da percorrere prima che il GDPR diventi qualcosa di assodato. Ma le aziende stanno già andando in quella direzione.
Beh, sono sempre le grandi violazioni e le grandi multe che catturano l’attenzione e occupano i titoli dei giornali nel mondo. Quest’anno abbiamo visto Google colpito con una multa di 50 milioni di euro. Cosa possiamo dire di quell’incidente?
Hannes: Che Google è un argomento molto interessante. Secondo l’ammenda del CNIL, l’autorità francese per la protezione dei dati, Google non era trasparente nel modo in cui trattava i dati personali e non aveva l’opt-in. Non aveva un valido consenso per la raccolta di quei dati. Ora, questo è interessante anche perché quanto l’elaborazione dei dati di Google differisce davvero dalle pratiche dei cookie della maggior parte delle aziende? Molte aziende sono ancora in questa fase di rifiuto affermando che non devono apportare modifiche sostanziali alle pratiche dei cookie perché è solo nel quadro della normativa sulla privacy e anche se, di fatto, i dati che elaborano i loro cookie sono già impattati per la maggior parte anche dal GDPR, allora al momento c’è questo conflitto legislativo che renderebbe un po’ più difficile creare pratiche di cookie fattibili. Quindi Google è stata multata, soprattutto su quel fronte in cui anche molte aziende stanno mancando al momento. Ed è per questo che il caso Google è un buon precedente, perché è una sorta di campanello d’allarme per le aziende che non hanno ancora implementato la gestione dei cookie.
Limitando il modo in cui i dati possono essere raccolti e utilizzati, ci stiamo mettendo in una posizione di svantaggio nella gara per l’intelligenza artificiale, in cui servono enormi quantità di dati per addestrare l’IA. Cosa ne pensate di questo?
Hannes: Di default il GDPR è neutro dal punto di vista tecnologico e se hai già una logica per elaborare determinati dati, è piuttosto banale apportare le modifiche necessarie che puoi utilizzare anche per lo stesso apprendimento automatico. Detto questo, se ci confrontiamo, ad esempio, con la cultura in Cina e negli Stati Uniti, ad esempio, dove ci sono pochissime limitazioni su come raccogliere i dati, sì, per impostazione predefinita il GDPR sta mettendo l’Europa in svantaggio da quel punto di vista. Ma come sottolineato dai legislatori, se limitiamo troppo la protezione della privacy in nome del vantaggio economico, di un potenziale vantaggio economico nel regno dell’IA, allora è una specie di corsa verso il basso.
Erik: Sì, vorrei aggiungere questo. Sono certamente d’accordo con te sul fatto che questa potrebbe essere una restrizione, ma il GDPR non vuole limitare l’IA in quanto tale. Il punto che il GDPR vuole far emergere è che devi capire il rischio quando raccogli grandi quantità di dati e fai l’intelligenza artificiale: quali sono le implicazioni per gli interessati? Vediamo i rischi a cui sono esposti i dati? E in base a ciò, è giusto andare avanti? Direi che puoi persino paragonarlo un po’ al modo in cui creiamo oggi una medicina. Abbiamo requisiti molto severi sui test e sull’attestare che sono stati fatti test su quella medicina prima di metterla sul mercato. E ciò non limita lo sviluppo della medicina.
Vorrei anche sottolineare che l’intero scopo del GDPR non è limitare l’uso dei dati personali. In realtà, è di farlo in modo controllato in modo che la società, i cittadini e le aziende possano essere soddisfatti. Quindi fornisce una buona base e trasparenza e fornisce agli interessati il diritto di recedere se non si sentono sicuri o a proprio agio con il modo in cui vengono utilizzati i loro dati. Questo porta a una base migliore per l’utilizzo dei dati personali. E spero davvero che in futuro vedremo le persone saranno più sicure, che il trattamento e la protezione dei dati saranno più sicuri, in modo da poter ottenere pieno valore dai dati personali. In questo modo potremo fornire una migliore assistenza sanitaria, migliori servizi ovunque, siano essi servizi sociali o forniti da un’organizzazione privata.
Grazie ragazzi per averci accompagnato attraverso questo primo anno del GDPR, e grazie per essere stati qui con me in questo show.
Hannes: Grazie, è stato un piacere.
Erik: Anche per me, grazie.
Per oggi è tutto. Speriamo ti sia piaciuto. Assicurati di registrarti al podcast: puoi inviarci domande e commenti tramite l’account Twitter di F-Secure @CyberSauna. Grazie per l’ascolto.
Categorie