L’Autorità Garante della protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, ha presentato alla Camera la Relazione sull’attività svolta nel 2019.
Nel 2019 in Italia, tra aziende pubbliche e private, al Garante della privacy sono arrivate 1.443 segnalazioni di incidenti informatici che hanno messo a rischio la sicurezza delle informazioni personali. Il GDPR (regolamento europeo per la protezione dei dati) ora impone che debbano essere notificati entro 72 ore dalla scoperta. Quasi quattro data breach al giorno! Solo un anno prima, nel 2018, i numeri erano meno della metà.
“Le implicazioni, in termini di sicurezza nazionale, di alcuni data breach dimostrano anche come la stretta dipendenza della sicurezza della rete da chi ne gestisca i vari snodi e “canali” induca a ripensare il concetto di sovranità digitale. E di fronte alla delocalizzazione in cloud di attività rilevantissime chiediamo al Parlamento e al Governo se non si debba investire in un’infrastruttura cloud pubblica, con stringenti requisiti di protezione, per riversarvi con adeguata sicurezza dati di tale importanza”. Qualcosa che Francia e Germania hanno avviato nel progetto Gaia-X, per creare un polo alternativo ai colossi del cloud statunitensi e cinesi.
Le 25 pagine della relazione del collegio sono dense di episodi in cui l’Autorità ha dovuto dire la sua. In particolar modo sullo smart working, il presidente dell’Autorità Garante della Privacy, sottolinea:
“[…] andranno seriamente affrontati e risolti tutti i problemi emersi in questi mesi: dalle dotazioni strumentali alla garanzia di connettività, dalla sicurezza delle piattaforme alla effettività del diritto alla disconnessione, senza cui – osserva Soro – si rischia di vanificare la necessaria distinzione tra spazi di vita privata e attività lavorativa, annullando così alcune tra le più antiche conquiste raggiunte per il lavoro tradizionale”. Il ricorso intensivo allo smart working e alle nuove tecnologie per la prestazione lavorativa “non deve rappresentare l’occasione per il monitoraggio sistematico e ubiquitario del lavoratore – avverte – ma deve avvenire nel pieno rispetto delle garanzie sancite dallo Statuto dei lavoratori a tutela dell’autodeterminazione, che presuppone anzitutto un’adeguata formazione e informazione del lavoratore”.
“Una volta cessata questa difficile stagione, avremo forse imparato a rapportarci alla tecnologia in modo meno fideistico e più efficace, mettendola davvero al servizio dell’uomo”, è la riflessione di Soro: “Se c’è qualcosa che, forse, non tornerà più come prima, sarà il nostro rapporto con il digitale, di cui abbiamo compreso tutta l’ambivalenza e, dunque, la necessità di valorizzarne le straordinarie potenzialità “generative” contrastandone gli effetti nichilisti o anche solo regressivi”.
Riguardo la privacy, il Garante ha evidenziato che “le implicazioni, in termini di sicurezza nazionale, di alcuni data breach dimostrano come la stretta dipendenza della sicurezza della rete da chi ne gestisca i vari snodi e ‘canali’ induca a ripensare il concetto di sovranità digitale. E di fronte alla delocalizzazione in cloud di attività rilevantissime chiediamo al Parlamento e al Governo se non si debba investire in un’infrastruttura cloud pubblica, con stringenti requisiti di protezione, per riversarvi con adeguata sicurezza dati di tale importanza”.
Una proposta che Soro lancia perché “in un contesto in cui le tecnologie Ict sono divenute – sempre più chiaramente con la pandemia – la principale infrastruttura di ciascun Paese assicurarne una regolazione sostenibile e adeguata, tale da garantire sicurezza, indipendenza dai poteri privati, soggezione alla giurisdizione interna, diviene un obiettivo non più eludibile”.
Del resto, ha aggiunto il presidente dell’Autorità, “la contrapposizione, spesso insistita nel dibattito politico, tra protezione dati e interessi generali di varia natura rischia di oscurare, molto più spesso di quanto si creda, virtuose sinergie. È questo il caso della cybersecurity, il cui rapporto con la privacy è tutt’altro che antagonista, come abbiamo dimostrato con la proficua e consolidata collaborazione con il Copasir e con il Dis. Questo perché la sicurezza dello spazio cibernetico implica anzitutto, inevitabilmente, la protezione dei dati e delle infrastrutture di cui è composto l’ecosistema digitale con i suoi vari snodi. […]”
Il Garante ha inoltre fornito indicazioni su come difendersi dai software dannosi, in particolare dai ransomware, i programmi informatici che prendono “in ostaggio” un dispositivo elettronico (pc, tablet, smartphone, smart tv per poi chiedere un riscatto (ransom, in inglese) per sbloccarlo.
Tutte le parti attendono azioni politiche e misure normative importanti riguardo al digitale, che rispettino i principi di necessità e proporzionalità: i criteri principali su cui le Corti europee hanno tentato di stabilire un equilibrio tra libertà, tecnologia e sicurezza.
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9427952