Newsletter

Clicking moves left

Gli Speciali 2017

 

Post-Trading & T2S Forum

L’appuntamento dedicato due temi centrali per il mondo finance: post-trading e T2S. Esperti di istituzioni, banche, società finanziarie...

Il Salone dei Pagamenti

I contenuti dela II edizione del grande evento che riunisce a Milano tutte le innovazioni e le tendenze legate al mondo dei pagamenti ...

Credito al Credito

L’evento sul credito alle famiglie e alle imprese. Tra i temi chiave: mutui, NPL, cessione del quinto, assicurazione e distribuzione,...

Forum Bancassicurazione

In primo piano il ruolo delle banche per una rinnovata cultura assicurativa. Ma anche le ampie potenzialità del mercato italiano,...

Forum HR

Cultura e regole nella gestione delle risorse umane, evoluzione sociale e digitale, organzizazione, leve motivazionali, contratti, lavoro...

Unione Bancaria e Basilea 3

L’evento dell'ABI su risk management, capitale e vigilanza europea. 120 relatori, 12 sessioni e una tavola rotonda per fare il punto sulla...

Banche e Sicurezza

Le banche tra sicurezza fisica e digitale, sotto il ritmo incessante della trasformazione tecnologica. Come difendersi dalle nuove minacce?

Funding & Capital Markets

I contenuti della IV edizione dell'evento ABI sugli strumenti di funding a disposizione di banche e imprese, sul mercato dei capitali e...

Dimensione Cliente

Il cliente non cerca più prodotti o servizi ma una Customer Journey. Si muove da questo imperativo la nuova edizione del convegno dedicato...

Forum ABI Lab

Bank to the future - Il viaggio nell'ecosistema digitale di ABI Lab nelle 2 giornate di Milano del 21 e 22 marzo - Le videointerviste e i...

Clicking moves right

Home > Sicurezza

Sicurezza
Invia Stampa
Gdpr, la rivoluzione della privacy

Gdpr, la rivoluzione della privacy

Quali sono i nostri nuovi diritti con l’arrivo del Regolamento europeo sui dati personali? E soprattutto quali i doveri per aziende, piccole e grandi, professionisti, PA, ecc. nel trattare i dati personali? Intervista a Ernesto Belisario, avvocato esperto di diritto digitale e privacy, tra i protagonisti di Banche e Sicurezza
Massimo Cerofolini
Manca poco al 25 maggio, giorno di debutto del cosiddetto Gdpr, la normativa comunitaria che riscrive le regole a tutela della privacy. E molti, tra grandi e piccole aziende, professionisti e semplici cittadini stanno adeguando in fretta i loro strumenti, i loro software e le loro procedure, per arrivare in tempo all’appuntamento e non incappare nelle sanzioni draconiane previste per chi sgarra. Di questi temi, tra gli altri, si parla al convegno Banche e Sicurezza, del 22 e 23 maggio a Milano. Tra gli ospiti c’è anche Ernesto Belisario, avvocato esperto di diritto digitale, consulente per ministeri e PA in materia di privacy e autore di libri come “La nuova Pubblica Amministrazione Digitale” e “Silenzi di Stato. Storie di trasparenza negata e di cittadini che non si arrendono”. Lo abbiamo intervistato.

Avvocato, che impatto avrà nella vita di tutti noi il nuovo Regolamento sui dati personali?

Lo scopriremo strada facendo, visto che la materia è così ampia da coprire un’infinità di situazioni quotidiane, le quali dovranno essere volta per volta esaminate. Di certo, il Gdpr cambierà molto la nostra percezione della privacy. Ci renderà tutti un po’ più attenti, sia nel proteggere noi stessi, sia nel rispettare la vita degli altri in quella parte più intima e spesso segreta che è al cuore della persona.

Cosa cambierà dal punto di vista dei nostri diritti?

Il Regolamento è una normativa, unica per tutti i Paesi europei, che adegua il diritto alla protezione dei dati personali alla nuova società dell’informazione, quindi agli strumenti digitali che oggi usiamo ogni momento, ma che fino a pochi anni fa non erano neppure immaginabili: social network, siti web, newsletter, smartphone, cloud computer, internet delle cose e molto altro ancora. In generale, c’è un rafforzamento dei diritti, perché più si usano questi mezzi più i nostri dati vengono disseminati in giro. Consapevolmente, o spesso inconsapevolmente, li lanciamo nella rete e li lasciamo nelle mani dei gestori dei vari servizi. E qui la normativa si preoccupa di tutelare in modo stringente queste sfere personali, definendo norme valide in tutta Europa, che dovranno essere osservate anche da chi tratta i nostri dati operando fuori dai confini dell’Unione. Come i social network che, sebbene basati al di là dell’Atlantico, posseggono informazioni su milioni di cittadini comunitari e italiani.

Cosa intendiamo per dati personali?

Tutte le informazioni che sono riconducibili a una persona identificata o identificabile. Quindi nome, cognome, indirizzo, codice fiscale, mail, siti web. Ma anche la registrazione della sua voce, una sua fotografia, notizie su salute, tendenze sessuali, origine etnica, abitudini di consumo o semplici interessi.

A fornire dati non è soltanto la nostra attività diretta su Internet…

No. Ci sono informazioni che i gestori dei servizi web ricavano indirettamente dai nostri comportamenti volontari. Se per esempio mi connetto a un sito da una certa località, oltre al contenuto delle mie attività sto fornendo ragguagli importanti sulla mia posizione geografica, sugli orari abbinati a miei comportamenti e altro ancora. Oppure: se io taggo Tizio su un post, è probabile che Facebook desuma che tra noi due ci sia un rapporto di amicizia. Ed ecco che mi farà balzare i suoi like sul mio profilo, ipotizzando che i suoi gusti influenzeranno i miei. Strategie pubblicitarie molto efficaci”.

Oltre a Internet, i nostri dati arrivano da varie altre fonti. Quali sono le più importanti?

L’elenco è lungo. Ci sono le carte fedeltà di supermercati e grandi marchi, i biglietti aerei o ferroviari che tracciano i nostri spostamenti, le dichiarazioni dei redditi, i braccialetti che tracciano il nostro stato di salute, i fascicoli sanitari, le ricette e i referti medici. E poi le newsletter, le cartelle esattoriali, le multe, le telecamere di videosorveglianza. Sono davvero tantissime le occasioni in cui – senza rendercene conto – offriamo la possibilità di esporre in piazza le parti più riservate della nostra vita.

Molte persone non sembrano preoccupate più di tanto sulla tutela della propria privacy. In fondo, dicono, non ho questi grandi segreti da nascondere…

C’è una frase di Snowden molto significativa in risposta a questo: se dici che non ti interessa la privacy perché non hai nulla da nascondere è come se non ti interessasse la libertà di pensiero perché non hai nulla da dire. Basta pensare allo scandalo di Cambridge Analytica: con appena 200 like su Facebook, l’azienda inglese ti conosceva meglio del tuo coniuge. E poteva mandarti messaggi politici tagliati su misura sui tuoi pregiudizi, sulle tue debolezze, sui tuoi desideri più profondi. Fino a condizionare il voto politico, fino a mettere a rischio la stessa tenuta delle democrazie.

Quali sono allora le conseguenze e soprattutto i rischi legati alla diffusione non voluta di questi dati personali?

La meno grave è la profilazione. Più le aziende che vendono pubblicità, come Facebook o Google, sanno cose di noi, più è preciso, e dunque redditizio, il messaggio promozionale che è possibile indirizzarci. Poi salendo di intensità c’è il pericolo di truffe, dei furti di identità: qualcuno, entrando in possesso dei nostri dati e delle nostre abitudini, potrebbe fare acquisti o attivare servizi a suo vantaggio facendoli pagare a noi senza che ce ne possiamo accorgercene. Potrebbe rubarci le nostre password, fingersi un nostro amico e convincerci a mandargli del denaro, davvero i casi dipendono soltanto dalla fantasia dei lestofanti. Ma non è tutto. Conoscendo illegittimamente le nostre idee politiche, le nostre preferenze sessuali, la nostra fede religiosa, qualcuno potrebbe discriminarci sul posto di lavoro, evitando di assumerci o bloccando la nostra carriera. Di più: un’assicurazione potrebbe aumentare il premio della polizza venendo a sapere che abbiamo una determinata malattia. Non è fantascienza: già oggi alcune compagnie garantiscono sconti ai neopatentati a patto di avere accesso alla loro attività sui social network.

Ci dica allora i nostri nuovi diritti alla luce del Gdpr.

Il primo è il diritto alla trasparenza. Possiamo conoscere chi usa i nostri dati e per quale motivo. Il secondo è un’informativa diversa da quelle che siamo abituati a firmare quando andiamo in albergo o quando ci iscriviamo a un servizio online: dal 25 maggio, infatti, dovrà essere chiara, comprensibile e soprattutto breve. Seguono poi il diritto all’accesso, vale a dire la possibilità di chiedere in ogni momento, per ogni newsletter o messaggio che ci arriva, chi e come è entrato in possesso dei nostri dati, oltre all’uso che intende farne. E ancora il diritto di essere informati se ci sono state violazioni di pirati informatici o di ladri e il diritto al risarcimento dei danni legato alla mancata vigilanza.

Fin qui i diritti. Veniamo ai doveri.

I doveri di proteggere i dati personali sono in capo a tutti coloro che in un modo o nell’altro trattano professionalmente aspetti privati delle nostre vite. E dunque le grandi aziende, a cominciare dai colossi come Facebook, Amazon o Google, passando per tutte le imprese di ogni dimensione, gli enti pubblici, i professionisti, i medici, gli avvocati, ma anche un centro estetico, un ristorante con la lista delle allergie dei clienti e via dicendo. Davvero l’elenco è senza fine. In generale, le aziende più strutturate devono nominare un responsabile della protezione dei dati, mentre quelle più piccole devono ricorrere almeno a un consulente capace di mettere in piedi le migliori forme di protezione per la privacy.

Quali sono le prime contromisure da prendere?

Ovviamente dipende dal tipo e dalle dimensioni di ogni azienda. Come criterio valido per tutti, con il Gdpr sarà necessario introdurre sistemi di cifratura per non lasciare i dati in chiaro. In questo modo anche se qualcuno ruba un cellulare o un pc le informazioni riservate restano protette. E poi le misure di buonsenso. Come un buon antivirus e un buon firewall che ci avvisi in caso di attacco o di situazioni anomale sul nostro software.

Che tipo di obblighi impone il Gdpr?

Non esiste una check list valida per tutti. C’è un principio di responsabilizzazione. Nel senso che ognuno deve dimostrare che ha fatto il possibile per proteggere i dati personali. Da un lato ci sono adempienze di tipo amministrativo e dunque la nomina di un responsabile che è un obbligo per le amministrazioni pubbliche, ma che resta preferibile per tutti. Dall’altro una revisione delle informative per il consenso, in modo da renderle compatibili con le nuove norme, inserendo i nuovi riferimenti di legge.

Nei confronti dei titolari dei dati che tipo di doveri sono previsti?

II primo è il corrispettivo del diritto di cui abbiamo parlato prima. E dunque un dovere di trasparenza. Quando qualcuno chiede conto delle sue informazioni personali abbiamo l’obbligo di rispondere entro 30 giorni. Il secondo riguarda l’allerta in caso di minacce. Se mi accorgo che qualcuno è entrato nel mio computer, se ho smarrito il cellulare o se mi hanno rubato il computer in macchina mentre ero al bar, siamo in presenza del cosiddetto data breach, ossia dell’intrusione nei dati sensibili da parte di estranei. Il Gdpr prevede l’obbligo di comunicare l’evento al Garante della privacy entro 72 ore dal momento in cui si è venuti a conoscenza del problema. E questa è una delle novità più importanti del Regolamento, perché fino ad ora, pensiamo ancora allo scandalo di Facebook e Cambdrige Analytica, gli interessati restavano normalmente all’oscuro degli attacchi sui loro dati. L’autorità di controllo in questo caso può obbligare il responsabile dei dati a informare i soggetti interessati, anche con avvisi sull’home page aziendale o su quotidiani di diffusione nazionale.

Per chi non osserva questi obblighi scattano sanzioni molto pesanti.

Sanzioni che fanno tremare i polsi, perché possono arrivare fino a 20 milioni di euro o al 4% del fatturato mondiale. Per non parlare delle richieste di risarcimento da parte di chi è stato danneggiato dalla violazione dei suoi dati sensibili. Queste sanzioni saranno però graduate dall’Authority in base alla quantità e alla qualità delle misure adottate come protezione della privacy. Secondo tre criteri: effettività, proporzionalità e dissuasività. Non esiste una protezione sicura al cento per cento: ma se uno dimostra di aver fatto tutto il possibile, stante la tecnologia disponibile, le sanzioni possono essere ridotte o non applicate.

C’è un sito dove è possibile approfondire la normativa in modo da mettersi in regola per il 25 maggio?

Ce ne sono tanti. Ma io consiglio quello del Garante della privacy, che offre informazioni certificate e semplici per gestire in sicurezza questa sfera così importante della nostra vita.

Un’ultima domanda. Perché questa normativa è così importante?

Perché la privacy è un diritto fondamentale della persona. È la garanzia della nostra libertà, senza la quale non potremmo essere ciò che davvero siamo. Ed è un dovere anche etico per imprenditori, manager e professionisti che trattano queste informazioni personali. Perché rispettare il segreto delle persone che si sono fidate di te è oggi uno dei criteri migliori per valutare la serietà di un’azienda e il modo in cui lavora.

Banche e Sicurezza, a Milano il 22 e 23 maggio

I grandi cambiamenti tecnologici degli ultimi anni stanno trasformando drasticamente le strategie di gestione della sicurezza nelle banche. Sempre di più si assottigliano le divisioni tra sicurezza fisica e informatica, tra mondo reale e digitale. In questo quadro si evolvono professionalità, approcci, strumenti. Si rafforza la centralità, anche a livello di governance, della gestione della sicurezza come tessuto connettivo di tutte le aree di business. Il presidio e la difesa del patrimonio della banca (umano, informativo, economico), nonché la tutela della continuità operativa, richiedono aggiornamenti continui, investimenti, innovazione, per rispondere prontamente alle nuove minacce del cybercrime, delle frodi materiali e digitali, del crimine fisico. Di questi argomenti si parlerà a Banche e Sicurezza a Milano il 22 3 23 maggio (Centro Servizi Bezzi - Sala Conferenze Banco BPM).
Con il coordinamento scientifico del Prof. Demetrescu, il programma prevede sessioni sulla sicurezza cyber-fisica, sul nuovo modo di affrontare le frodi, sulla regolamentazione, sull’avvento delle FinTech e la protezione dei dati personali.
17 Maggio 2018

Articoli correlati

 

Guida Tassazione 2018

Sullo scaffale

Gestire gli investimenti

Gestire gli investimenti

L’investitore, il consulente, il gestore di fronte alle decisioni di investimento: nella nuova edizione del libro curato da Gino Gandolfi oltre 600 pagine dedicate alla valutazione e alla scelta...

Convegni ABI