X
x
x
x
Lx
x
x
x
X
x
x
x
X
x
xx
x
x
x
x
x |  | X
XIntervista di Breaking News
Quattro domande a Roberto Giovanni Loche
Consulente, DPO, Privacy Specialist
RL Solutions S.r.l.
X
L'emergenza Covid-19 sembra rappresentare un gigantesco banco di prova per il GDPR, il regolamento europeo sulla privacy che definisce regole molto stringenti in materia di rispetto della privacy dei cittadini e di trattamento dei dati personali. In che misura la nuova situazione ha portato o potrebbe portare – magari temporaneamente – ad un ripensamento delle regole in materia, o a variazioni nell'applicazione delle stesse? È auspicabile, o inevitabile, abbassare le pretese individuali alla privacy per ragioni contingenti di salute pubblica e di sicurezza?
Anche durante l’emergenza Covid-19 il rispetto delle norme sulle protezione dei dati personali resta un obbligo fondamentale per le Imprese.
Data l’eccezionalità del momento, le regole del GDPR non solo non devono essere accantonate ma, anzi, la disciplina di protezione dei dati personali può essere, se utilizzata correttamente, uno strumento utile nell’azione di contrasto dell’epidemia.
Come ribadisce Antonello Soro, Presidente del Garante per la protezione dei dati personali, la privacy non è né un ostacolo all’efficace azione di prevenzione e contenimento del contagio né, tantomeno, un lusso cui, secondo taluni, si dovrebbe rinunciare in tempi di emergenza.
Si può e si deve tutelare al massimo grado l’incolumità individuale, senza per questo tradire i principi fondamentali, tra cui in primo luogo il necessario equilibrio tra interessi collettivi e libertà individuali.
La privacy e’ un diritto di libertà che, come ogni altro diritto fondamentale, soggetto a bilanciamento con altri beni giuridici, modula la sua intensità e il suo contenuto in ragione dello specifico contesto in cui si esercita.
L’emergenza deve poter contemplare ogni ragionevole deroga possibile purché non irreversibile; non dev’essere, in altri termini, un punto di non ritorno ma un momento in cui modulare prudentemente il rapporto tra norma ed eccezione.
La duttilità del diritto, la sua capacità di adeguarsi al contesto contemplando le deroghe necessarie e proporzionate alle specifiche esigenze, pur senza intaccare il “nucleo duro” dei diritti fondamentali, è la più grande forza della democrazia, che ci ha consentito di superare momenti drammatici.
Caso pratico: un lavoratore risulta positivo al Covid o è sospettato di averlo contratto perché ha più di 37,5°C nella misurazione della temperatura effettuata all'ingresso. Come comportarsi per evitare di esporre all'attenzione di terzi questa delicata informazione? Ovviamente lui non può accedere agli uffici, va isolato ed è chiaro come gestire la situazione sul piano sanitario; ma, dal punto di vista della privacy, come va gestita la cosa? Come si può evitare la "mortificazione" o la “gogna” per la persona di fronte ai colleghi?
Riscontrare che un lavoratore presenta uno dei sintomi di positività al virus Covid-19 obbliga il datore di lavoro a tenere alcune condotte, tese alla tutela della salute del singolo oltre che della collettività.
Al lavoratore che sta per accedere, ma con temperatura superiore ai 37,5°, occorre dare nell’immediatezza alcune informazioni corrette su come comportarsi.
È certamente vero che lui dovrebbe già conoscere le modalità comportamentali legate ad una tale circostanza, ma è conveniente che il personale addetto all’accesso sia in grado di gestire una situazione che potrebbe portare tensione ed avere un forte impatto emotivo.
Il personale addetto dovrà quindi essere istruito per essere in grado di comunicare al lavoratore le informazioni necessarie, ricordandogli di non andare al Pronto Soccorso e di contattare nel più breve tempo possibile il proprio medico curante.
In caso di allontanamento del lavoratore o di isolamento momentaneo dovuto al superamento della soglia di temperatura, l'azienda dovrà assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore.
Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19
In occasione di questa pandemia, in aggiunta agli altri problemi, è scattato, anche in Italia, un allarme per fare molta attenzione ai cyber-attacchi. Se ne parla parecchio ma forse è il caso di aggiungere qualche dettaglio: tu come percepisci la situazione?
Un numero sempre maggiore di attacchi e di rischi informatici è legato all'emergenza coronavirus: è un "effetto secondario" che si sta sviluppando parallelamente alla crescita, esponenziale, dell'allarme sociale e nelle imprese.
Tra il 25 gennaio e il 25 marzo che sono state contate 230.000 campagne di malspam.
Sono anche in corso campagne di fake news e c'è il rischio di frodi legate alle raccolte benefiche: false pagine web o email che, traendo in inganno, sembrano riconducibili a associazioni benefiche note.
Viene segnalato un grande aumento a livello mondiale della registrazione che contiene la parola "coronavirus" di nuovi domini: è salito a 7.000 al giorno il 26 marzo da circa 250 al giorno a febbraio. Sono domini che "potrebbero essere utilizzati per creare siti web falsi per scopi dannosi".
L'utilizzo massivo dello smart working, di frequente con device personali e collegati a reti domestiche sempre più affollate di dispositivi connessi (smart-tv, smatphones, telecamere, stampanti, domotica), spesso non aggiornati e non adeguatamente gestiti dal punto di vista della sicurezza informatica, aumenta i rischi per le aziende.
Sono in atto anche campagne con tecniche di di Social Engineering come ad esempio il Vishing, una comunicazione simmetrica al Phishing: una voce professionale autorevole simula un call center noto ed avanza la richiesta di fornire i propri dati. L’obiettivo del criminale informatico di turno è lo stesso del «collega» che si affida al Phishing tradizionale, quello via e-mail: indurre la vittima a divulgare informazioni.
Gli impiegati delle imprese moderne si trovano a operare scelte con estrema rapidità in un contesto sempre più connesso e distribuito. Questi fattori rendono gli attacchi Social Engineering estremamente efficaci e in grado di superare le difese perimetrali dispiegate dalle aziende.
Per limitare l’esposizione dell’azienda agli attacchi , oltre ad adottare soluzioni tecnologiche adeguate, è indispensabile che i dipendenti siano formati ed aggiornati periodicamente sulle principali metodiche di attacco ed i rischi connessi.
A due anni dall'entrata in vigore del GDPR, e al di là dell'emergenza Covid (che a un certo punto finirà...), quale bilancio possiamo fare dal punto di vista dell'impatto "culturale" nelle aziende e tra le persone? Quanto e come è cambiata la percezione del concetto di privacy?
Trascorsi quasi due anni in Italia il trend di adeguamento alla normativa sembra positivo, con una crescita di maturità, in termini di concretezza dei progetti.
La complessità della materia e l’emergenza sanitaria che stiamo vivendo richiedono comunque continui sforzi da parte delle Aziende, necessari per adeguarsi alle linee guida della normativa in materia di protezione dei dati personali e per rispondere alle misure contenute nei protocolli anti contagio che interessano la privacy.
Dallo studio condotto dall’Osservatorio Cyber Security & Data Protection, si evince che molte aziende italiane hanno messo in atto o perfezionato progetti di adeguamento al GDPR. Più della metà delle organizzazioni si è dichiarata conforme ai requisiti previsti dalla normativa e, allo stesso tempo, è diminuito il numero di aziende che si dichiara poco consapevole sulle implicazioni del GDPR.
Un altro segnale positivo, in Italia, è la bassa percentuale di aziende che si trovano ancora nella fase di analisi dei requisiti previsti e di definizione di piani di adeguamento
Se è vero che il quadro sullo stato di adeguamento al GDPR italiano è generalmente positivo, è anche vero che l’attenzione deve ancora spostarsi soprattutto su attività specifiche come l’audit periodico, l’aggiornamento delle procedure e delle tecnologie di sicurezza e protezione dati.
Inoltre molte aziende registrano ancora difficoltà dal punto di vista organizzativo, per esempio nell’individuazione dei ruoli e delle responsabilità in azienda, mentre altre segnalano rallentamenti nelle attività quotidiane.
Tuttavia, questi elementi negativi sono di poco conto rispetto ad uno scenario dove emerge che molte imprese italiane si stanno mostrando non solo orientate ad affrontare le sfide in materia di data protection, ma anche consapevoli dell’importanza della tematica.
|