In un mondo sempre più attento ai diritti individuali, alla salvaguardia dei propri spazi personali e alla sicurezza di proprietà fisiche ed intellettuali, ben pochi sembrano rendersi conto di come il primo portaled’accesso ai nostri dati sensibili, e alla nostra privacy in generale, siano due strumenti di uso quotidiano ormai ritenuti ragionevolmente indispensabili e dunque irrinunciabili: internet ed i dispositivi che ci permettono di sfruttarlo.
E così, ad esempio, i giovani si scagliano contro la chiacchiera inconcludente della politica e delle sue promesse, senza rendersi conto di galleggiare essi stessi in un mondo fittizio ed altrettanto inconcludentefatto di like e faccine varie, che spesso esiste al solo scopo di raccogliere dati su di loro e rivenderli, legalmente o illegalmente, a piazzisti informatici di ogni genere. Questa violazione della privacy in gergo si definisce “Data Breach”, anche se va puntualizzato come questo termine abbia un’accezione più ampia, che comprende anche la perdita, la distruzione o la manomissione dei dati, sia che ciò avvenga in maniera accidentale oppure illecita.
Ma cosa si intende per “dato personale”?
Si definisce dato: « Qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente od indirettamente, con particolare riferimento ad un identificativo come nome, numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale ».
Synergy Research Group ha calcolato che nel mondo siano in funzione 659 HDC (Hyperscale Data Center), grandi infrastrutture ognuna delle quali può contenere centinaia di migliaia di server, in grado di elaborare velocemente enormi quantità di dati. Da un lato, l’utilizzo di questa gigantesca mole di informazioni viene reclamata dagli Stati per motivi di sicurezza nazionale. Ad esempio, nella primavera 2018 il Congresso americano ha varato il CLOUD Act: una legge che permette alle agenzie governative di requisire i dati in possesso delle imprese americane, ovunque siano stoccati e a chiunque appartengano. E poiché al momento l’Europa non possiede valide alternative, come ha ricordato Angela Merkel nel novembre 2019 ad un’assemblea della BDI (l’associazione industriale tedesca): “Molte aziende stanno esternalizzando i loro dati presso i gruppi americani”. Il che significa, per intenderci, mettere a disposizione delle agenzie governative USA informazioni private su cittadini non USA. Dall’altro lato, gli stessi dati possono essere (e lo sono) facile preda di chi li utilizza per motivi non proprio di “sicurezza nazionale”. La battaglia in atto per regolamentare questo sfruttamento selvaggio di dati sensibili e per difendere gli utenti dalle numerosissime ed insidiose violazioni della privacy, ha quindi respiro mondiale. Anche da un Oriente sempre meno lontano l’avvertimento giunge infatti chiaro: il vicegovernatore della People’s Bank of China, esprimendo preoccupazione nei confronti di compagnie private, anche cinesi, che usano opachi algoritmi difficili da regolare, ha scritto sul “Financial Times” che ci sono sfide che vanno regolamentate, come la propensione dei Big Tech nel mondo a collezionare un eccesso di dati e ledere la privacy.
Le ambizioni di sovranità digitale dell’Europa sembrano per il momento affidate a Gaia-X, il progetto di un cloud computing “certificato” che si basi su regole europee per la raccolta e l’elaborazione dei dati. Anche in un ambito Europeo gli sforzi sono quindi tesi nell’imparare a gestire e difendersi. Non è poi secondario sottolineare come per le aziende che, con o senza dolo, consapevolmente o inconsapevolmente, commettessero il reato di Data Breach, sono previste multe salatissime: fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente. Ad esempio, il Garante per la protezione dati personali ha recentemente inflitto ad Enel Energia una sanzione di oltre 26,5 milioni di euro per il trattamento illecito dei dati degli utenti ai fini di “telemarketing aggressivo”, oltre all’obbligo di conformarsi alle relative normative nazionali ed europee.
Quali sono dunque gli strumenti normativi per tutelare la propria azienda, i propri clienti ed i propri fornitori?
Lo strumento messo a disposizione dall’Unione Europea è il Reg.UE 679/2016 GDPR (General Data Protection Regulation), che stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati, il tutto costantemente aggiornato agli ultimi sviluppi tecnologici.
Per comprenderlo appieno e capire come applicarlo, per creare un sistema organizzativo finalizzato alla prevenzione, protezione, gestione e controllo dei dati, Alliot propone corsi e convegni specifici per le diverse realtà aziendali.
