É tempo di bilanci … anche per la privacy.
Allora proviamo a fare il punto di cosa è successo nell’anno trascorso e cosa ci aspetta in quello nuovo.
Il 2021 è stato un altro anno significativo dal punto di vista della privacy e della cybersecurity. Il rapporto del Cnaipic, Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche, dimostra che lo scorso anno ha gestito 5.434 attacchi informatici significativi, con 110.524 alert di sicurezza e una media di 15 attacchi al giorno ai danni di servizi informatici di sistemi istituzionali, infrastrutture critiche informatizzate di interesse nazionale, infrastrutture sensibili di interesse regionale, e grandi imprese.
Normativa
A giugno l’Unione europea ha adeguato il vuoto normativo lasciato dalla sentenza Scherms II aggiornando le Standard Contractual Clauses (SCC). Le due serie di clausole contrattuali standard sono una da utilizzare tra i titolari e i responsabili del trattamento e una in riferimento al trasferimento di dati personali verso paesi terzi. Questi sono strumenti che forniranno una maggiore prevedibilità giuridica alle imprese europee e aiuteranno soprattutto le PMI a garantire il rispetto dei requisiti per il trasferimento sicuro dei dati, dando nello stesso tempo la possibilità della libera circolazione dei dati oltre i confini.
https://ec.europa.eu/commission/presscorner/detail/en/ip_21_2847
Il Garante per le Protezione dei Dati Personali, a sua volta, ha emanato nuove linee guida per la gestione dei cookies seguendo, e anticipando allo stesso tempo, la bozza del nuovo regolamento ePrivacy per il quale è prevista l’approvazione nel 2022.
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9677876
Sanzioni 2021
Nello scorso anno l’Italia risulta tra i primi quattro Paesi per il valore complessivo di sanzioni applicate e la seconda per il numero totale, dietro alla Spagna.
Le principali sanzioni in base alla violazione riscontrata evidenziano le mancanze principali delle organizzazioni, ovvero informative non corrette o non coerenti rispetto alla realtà dei fatti.
https://www.enforcementtracker.com/?insights
Dall’inizio del nuovo anno le Autorità dei vari Paesi hanno già provveduto ad effettuare verifiche ed imporre sanzioni. Anche il Garante della protezione dei dati personali italiano ne ha già emesse alcune interessanti:
https://www.enforcementtracker.com/
Attacchi
Nel 2021, in Italia, i cyber attacchi sono notevolmente aumentati, tanto da porre il nostro Paese al centro dell’offensiva del cyber crimine.
Questo è lo scenario da cyber guerra che emerge dall’anticipazione del report dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, che è stato presentato il 16 febbraio.
L’Italia è al centro di un’offensiva di attacchi, dal 2018 al primo semestre 2021: sono passati da 143 nel 2018 a 233 nel 2019, per raggiungere quota 2.553 nel 2020.
Nota dolente il fatto che l’Italia si piazzi all’ultimo posto dei Paesi del G7 per investimenti in sicurezza informatica, ma una spinta arriverà dal PNRR e dall’Agenzia per la cybersicurezza nazionale italiana.
In uno scenario di attacchi critici in aumento a doppia cifra, anche secondo il Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica), a pubblico e privato è necessario consigliare una buona igiene digitale, proprio per scongiurare attacchi come quelli perpetrati attraverso phishing, frutto banalmente dell’apertura di un documento sbagliato.
Infatti, senza consapevolezza e senza formazione continua anche le migliori misure sono destinate a fallire, perché il social engineering è sempre in agguato. Permette agli attaccanti di aggirare i sistemi di controllo, sfruttando la debolezza della componente umana e anche rilasciare malware per compromettere i sistemi informatici dei loro target.
Alle aziende e alla PA conviene adottare un approccio di prevenzione alla sicurezza informatica e soluzioni capaci di valutare i comportamenti in modo dinamico, così da disinnescare minacce silenti, ma insidiose.
Attività Ispettiva 2022
Il Garante ha definito l’ambito delle attività ispettive su cui concentrerà i propri sforzi nel primo semestre di quest’anno:
- a) ad accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di:
- trattamenti di dati personali nei confronti di “fornitori di database”;
- trattamento di dati personali svolti da piattaforme e siti web in ordine alla corretta gestione dei cookies;
- trattamento di dati personali nel settore della c.d. “videosorveglianza”;
- trattamento di dati da parte di siti di incontri; operatori dell’ambito della c.d. data monetization e da parte di produttori e distributori di smart toys;
- algoritmi e intelligenza artificiale in ambito pubblico e privato;
- b) ad accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla corretta individuazione dei titolari e dei responsabili del trattamento, anche in relazione all’utilizzo di app. e altri applicativi informatici; attenzione particolare sarà riservata all’acquisizione di informazioni e dati personali da parte di app istallate sugli smartphone e alla verifica sul corretto trattamento dei dati da parte di app diverse da Verifica C19;
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9737049
Conclusioni
Nel mondo digitale del 2022 è ormai imprescindibile un’attenzione alla sicurezza informatica ed alla protezione dei dati.
Chi non tiene in considerazione questi aspetti evidentemente ignora l’impatto che può avere in caso di attacchi o verifiche da parte dell’autorità.
