Società

Questioni di Privacy

Gli sviluppi degli ultimi 2 anni stanno portando sempre più utenti della Rete a comprendere l’importanza della privacy e a cercare alternative a Google e ai social media come Facebook che realizzano profitti sui dati degli utenti.

21 aprile 2022 22 minuti
lo scenario della privacy oggi

Gli sviluppi degli ultimi 2 anni stanno portando sempre più utenti della Rete a comprendere l’importanza della privacy e a cercare alternative a Google e ai social media come Facebook che realizzano profitti sui dati degli utenti, 

Oltre a questa ondata di consapevolezza dei consumatori, le autorità di regolamentazione stanno diventando più rigorose sulle norme sulla privacy dei dati e aumenteranno il giro di vite a partire dal 2022;  tutto avviene in un contesto in cui le legislazioni locali si trovano sempre più immerse nel mercato globale.

Legislazioni locali immerse nel mercato globale e altri elementi.

Nel 2020 è avvenuta una vera e propria “Rivoluzione Copernicana” in nome della privacy individuale: Google e Apple, tra gli altri, hanno annunciato di procedere al graduale “spegnimento” dei cookie di terze parti arrivando per questa via, ad un totale rinnovamento entro il 2023

(Apple in realtà ha già effettuato questo passaggio).

Non mancheranno le sorprese a breve e medio termine!

Ma perché la Privacy davvero conta?

Argomenti trattati

  1. La Data privacy nel 2022
  2. Focus sull’Italia (EU)
  3. Perché l’anonimizzazione dei dati è importante nella comunicazione online?
  4. Cosa succede in pratica nel mondo?
  5. Executive summary

1 – La Data Privacy nel 2022

L’incessante pressione al cambiamento è dovuta a due fattori:
gli sviluppi normativi per la sicurezza informatica e la possibilità di hackeraggio dei dati. La protezione della privacy dei dati sarà in crescita almeno per tutto il 2022..  

Questo scenario richiede strategie lungimiranti, globalizzate e basate sul rischio. 

Allo stesso tempo, nuove entusiasmanti tecnologie continuano a maturare creando nuove opportunità e rischi.

In mezzo alla disruptiveness e alla complessità di  questo scenario  le lezioni dell’ultimo anno possono aiutare a tracciare la rotta migliore per il 2022.

Soprattutto per le aziende che operano o cercano di espandersi in nuove giurisdizioni e mercati in tutto il mondo

Il rispetto della privacy nel mondo

Nel 2022, come nel 2021, per le aziende è meglio stabilire un punteggio elevato per il programma sulla privacy nel caso si operi in più giurisdizioni. 

Puntare in alto consentirà alle organizzazioni di adattarsi meglio a nuove leggi o regolamenti o a nuove interpretazioni di essi.

Se il trend del 2021 è stato indicativo, il numero di leggi e regolamenti sulla privacy statunitensi e globali continuerà a proliferare nel 2022. E qualcosa nell’ultimo anno è sicuramente successo: 

  • Negli USA*, il Colorado Privacy Act (ColoPA) e il Virginia Consumer Data Protection Act (VCDPA) sono diventati legge, (con entrata in vigore nel 2023); mentre  il California Privacy Rights Act (CPRA) è stato approvato dagli elettori 
  • La legge cinese sulla protezione delle informazioni personali è entrata in vigore
  • Gli UAE hanno rilasciato la nuova legge sulla privacy
  • La legge sulla privacy del Sud Africa è online
  • L’UE**, in risposta alla decisione Schrems II, ha approvato nuove Standard Contractual Clauses per abilitare (o scoraggiare) i flussi di dati transfrontalieri

Quest’anno dovremo inoltre fare i conti con quello che sarà l’approccio del Regno Unito ai flussi di dati transfrontalieri, insieme a potenziali ulteriori modifiche per semplificare la loro GDPR.

E’ ipotizzabile inoltre aspettarci che gli Stati Uniti riprendano gli sforzi per approvare le proprie leggi rafforzate sulla privacy.

Potremmo anche vedere modifiche alla legge federale canadese sulla protezione delle informazioni personali e sui documenti elettronici (PIPEDA) e all’ordinanza sulla privacy (privacy) dei dati personali di Hong Kong.

Entrerà inoltre  in vigore la legge sulla privacy della Thailandia.

Infine, il Regolamento Generale sulla Protezione dei Dati (GDPR) in Europa continua a essere lo standard globale emergente ed il suo rispetto renderà più semplice quello delle future leggi sulla privacy.

L’attualità di USA e UE

*Proprio come il CPRA della California , ed il VCDPA della Virginia (con un pizzico di GDPR inserito ), il CPA darà ai residenti del Colorado una serie di diritti alla privacy:

quello di accedere, correggere ed eliminare i propri dati personali, quello di rinunciare al trattamento dei propri dati per pubblicità mirata, vendita degli stessi e profilazione.

Come gli altri, anche il CPA avrà un impatto significativo sulla pubblicità personalizzata.

**La Corte di giustizia dell’Unione europea (CGUE) si è pronunciata il 16 luglio 2020 (c.d. “Sentenza Schrems II) in merito al regime di trasferimento dei dati tra l’Unione europea e gli Stati Uniti invalidando la decisione di adeguatezza del Privacy Shield, adottata nel 2016 dalla Commissione europea in seguito alla decadenza dell’accordo Safe Harbor.

Tenere alta la guardia e fortificare le difese

Il 24 febbraio 2022 il mondo è cambiato, le tensioni geopolitiche sono sfociate in guerra, una guerra che si combatte ad ogni livello: economico, militare e, non da ultimo, digitale*

Come risultato, le minacce alla sicurezza informatica stanno crescendo a dismisura a livello sia istituzionale che privato. In questo quadro, molte organizzazioni cybercriminali, se non necessariamente sponsorizzate dagli stati, sono comunque tollerate o persino incoraggiate.

Sul piatto anche molti movimenti di denaro intorno alla criminalità informatica, in particolare utilizzando strumenti ransomware*

*Un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione.

Di conseguenza, è più importante che mai mantenere e aggiornare regolarmente i piani e le politiche di sicurezza informatica e garantire che questa diventi parte integrante di aziende e istituzioni. 

Ma la sicurezza informatica non riguarda solo l’IT, riguarda anche la governance, la pianificazione, la pratica, la formazione e la responsabilità individuale dal nuovo arrivato in azienda al CEO e persino le istituzioni governative dei vari paesi.

Anonymous attacca le istituzioni russe

E’ notizia di pochi giorni fa che le agenzie di stampa russe Tass, Fontanka e Rbk, i quotidiani Kommersant e Izvestia, il sito di notizie Znak.ru, sono stati colpiti da un cyberattacco firmato dal noto collettivo internazionale di hacker e attivisti.

La “guerra” online di Anonymous contro la Russia e Vladimir Putin era partita in concomitanza con l’inizio dell’invasione russa in Ucraina, il 24 febbraio appunto, quando sul profilo Twitter è arrivato l’annuncio ufficiale.

Nei giorni successivi il collettivo aveva spiegato in un video di oltre tre minuti diffuso sui suoi canali sociali i motivi dell’operazione denominata “OpRussia” e la sua posizione nei confronti del presidente russo.
Lo stesso Ministero della difesa Ucraina ha fatto una chiamata alle armi sui social di tutto il mondo cercando “esperti” disposti a collaborare con l ‘ IT ARMY OF UKRAINE

Una minaccia per l’Italia?

Oggi come oggi, Kasperky (ovvero l’azienda russa il cui antivirus gira sui dispositivi della Pubblica amministrazione italiana e nel cuore della sicurezza nazionale) è davvero sicuro?

Di per sé, il provider nega fermamente di avere un rapporto subordinato al governo russo, tuttavia numerosi sono gli interrogativi. E’ quindi ancora sicuro utilizzare un antivirus russo, non colpito dalle sanzioni, in un contesto di tensioni globali?

Da un’intervista di qualche giorno fa al Riformista dell’analista Fabio Pietrosanti, si è giunti all’apertura di una vera e propria inchiesta parlamentare. Ha spiegato Pietrosanti come infatti siano strettissimi i rapporti tra l’azienda russa e la nostra Pubblica amministrazione: dalla Guardia di Finanza al comune di Catanzaro, dalla Farnesina all’Atac; oggi sono più di 2700 le partnership con il settore pubblico. Senza contare le partnership con aziende private. Tra le più note c’è quella con la Ferrari, ormai decennale.

Le regolamentazioni vanno di pari passo con minacce e opportunità

Con gli attacchi sistemici, in particolare contro le infrastrutture critiche e la supply chain, non sorprende infine che le autorità di regolamentazione della cybersecurity statunitensi e globali stiano continuando a premere nel senso di un aumento della sicurezza. 

Nel maggio 2021, ad esempio, il presidente Biden ha fatto della sicurezza informatica una delle sue massime priorità e i dipartimenti e le agenzie federali ne stanno seguendo l’esempio.

Privacy & metaverso

Il metaverso e il web3 (o Terza Rete), inclusi gli NFT, gli  smart contracts (la trasposizione “informatica” di accordi che si concludono al di fuori da una piattaforma tecnologica), la DAO (Decentralized Autonomous Organization) e le criptovalute continueranno ad evolversi in modi nuovi ed entusiasmanti, sollevando nuovi e affascinanti problemi di privacy, sicurezza, responsabilità e IP, tra gli altri.

Ma in questo ambiente in rapida evoluzione, le aziende potrebbero non avere il tempo di attendere la certezza del diritto prima di lanciare o adottare nuove tecnologie.

In questo vuoto legislativo, devono anticipare le tendenze normative, spesso incorporando standard di privacy e sicurezza sin nelle prime fasi, dei progetti prendendo decisioni basate sul rischio e sulla previsione di quelli che saranno gli sviluppi delle norne. 

Nell’UE, il Digital Markets Act, tra le varie proposte, sta dimostrando che le autorità di regolamentazione continueranno a stratificare i controlli poiché vedono la tecnologia anticipare le regole esistenti.

Maggiore controllo sull’uso dell’AI

Last but not least, non si può non citare per questo 2022 la gestione del rischio di terze parti (TPRM).

Si tratta di una forma di sicurezza che si concentra sull’identificazione e sulla riduzione della quantità di rischi derivanti dall’utilizzo dei servizi di terze parti, inclusi i contractors o gli stock supplier.

Con l’aumento delle minacce di ransomware, sarà necessario eseguire la due diligence quando si tratta di aprire la propria azienda all’inclusione di un fornitore di terze parti.

La piattaforma software Exterro (Legal, Governance, Risk e Compliance) riferisce che, a livello mondiale, il 59% degli intervistati conferma che le proprie aziende hanno subito una violazione dei dati causata da una delle loro terze parti e il 42% degli intervistati afferma di aver avuto una tale violazione dei dati negli ultimi 12 mesi. Inoltre, il 22% degli intervistati non sa se ha subito una violazione dei dati di terze parti negli ultimi 12 mesi.

2 – Focus sull’Italia (EU)

Il 2022 è il venticinquesimo anno di vita del Garante per la protezione dei dati personali in Italia e della diffusione del concetto privacy nel nostro Paese. 
Un anno importante, un anno non comune nel quale le sfide da affrontare nell’universo della privacy saranno tante, vecchie e nuove.

Difficile stilarne un elenco esaustivo. Si può, tuttavia, provare a indicarne alcune che seguiranno nelle prossime chart. 

La privacy e mercato globale

Tornando all’argomento toccato marginalmente in premessa, eccoci alla spinosa questione tra legislazioni locali e mercato globale.

Perciò una delle sfide che ci attende è proprio quella di identificare una soluzione di sostenibile bilanciamento tra la progressiva e rapida attrazione del diritto alla privacy nel sistema dei mercati globali e la sua natura di diritto fondamentale.

Detto questo, non possiamo lasciare che a decidere se e quanto i dati personali possano essere trattati alla stregua di un qualsiasi bene giuridico economico suscettibile di scambio sui mercati globali siano proprio le regole del mercato, i modelli di business, i termini d’uso delle grandi piattaforme.

Gli obblighi di informazione del titolare del trattamento nei confronti degli interessati

Davvero leggiamo le informative per la privacy specie dei titolari di grandi trattamenti della dimensione digitale?

La conseguenza è ormai che tali informative finiscono regolarmente con il rendere più forti i forti e più deboli i deboli. I primi, infatti, si ritrovano nella condizione di sostenere di aver “avvisato” l’interessato del trattamento mentre quest’ultimo si ritrova spesso privato della possibilità di poter eccepire che un trattamento è iniziato a sua insaputa e che quindi non ha potuto esercitare alcuno dei diritti ad esso spettanti.

Così non funziona perché la consapevolezza è il presupposto del controllo con la conseguenza che senza la prima non può esservi controllo da parte dell’interessato sui trattamenti che riguardano i propri dati personali.

La protezione dei dati dei più piccoli

I giovanissimi e i bambini scambiano, ormai, ogni giorno, parte della loro identità personale in cambio dell’accesso a una vasta gamma di servizi digitali, dal gaming all’intrattenimento passando per la messaggistica e il social networking.

Ma sono in grado di capire il significato e il valore di quello scambio?

Possiamo davvero continuare a far finta di credere che un bambino o i giovanissimi siano capaci di concludere un contratto per effetto del quale cede propri dati personali e compra servizi?

3 – L’anonimizzazione dei dati

L’ecosistema della pubblicità digitale si sta riorganizzando e trasformando per garantire un’esperienza sul Web più privata che mai.

Si tratta di una conseguenza del fatto che le persone in tutto il mondo richiedono una maggiore privacy e un maggiore controllo quando navigano online. 

Già nel 2020, le ricerche di “privacy online” sono aumentate di oltre il 50% a livello mondiale rispetto all’anno precedente.

Le implicazioni saranno molteplici e di certo la marca si trova nella situazione di doversi evolvere per offrire agli utenti un’esperienza migliore e rafforzare il loro livello di fiducia.

La fine di un’epoca

Da anni i brand utilizzano i cookies di terze parti  per monitorare i visitatori del proprio sito web, migliorare l’esperienza dell’utente e raccogliere dati che li aiutano a indirizzare gli annunci al pubblico giusto. Vengono utilizzati anche per conoscere ciò che i visitatori guardano online quando non sono sul sito della marca.

Tuttavia a partire dal 2020 è iniziato il progressivo spegnimento del loro utilizzo, ed entro il 2023 cambierà  radicalmente il modo in cui la marca utilizza i cookie e gli strumenti di monitoraggio degli annunci di Google.

Inizialmente fissata per il 2022, e poi posticipata al 2023, l’eliminazione graduale delle terze parti è stata accelerata dalla stessa Google attraverso l’annuncio per cui non verranno costruiti “identificatori alternativi per tracciare le persone mentre navigano sul Web, né verranno utilizzati nei (nostri) prodotti.”

Non solo Google

Quella del colosso di Mountain View, sempre più attento alle attività di tracciamento online, non è stata una scelta sorprendente, ma sicuramente di grande impatto, se si considera che Chrome catalizza, a livello mondiale, una quota di mercato vicina al 70%.

Anche gli altri browser avevano gettato le basi per operazioni simili, adottando però impostazioni tecniche diverse. A Google, peraltro, si è ben presto associata anche Apple,  la cui azione si è già concretizzata.

La scelta