Il GDPR ha saputo reggere l’impatto con la Pandemia. In particolare, proprio la norma sulla diffusione delle epidemie, contenuta nel regolamento europeo, ha fatto da scudo. Lo spiega Diego Perini, titolare dello studio legale Diego Perini e DPO e European Privacy Auditor certificato da KHC e AICQ Sicev.
Con lo scoppio della pandemia, quali sono state le maggiori criticità riscontrate dalle aziende nella protezione dei dati?
L’emergenza sanitaria ha comportato per le aziende rilevanti cambiamenti nel trattamento dei dati personali, dalla raccolta di dati particolari sin dalla fase di accesso ai locali di lavoro, alla ben più critica gestione dello smartworking in un contesto in cui gli hackers hanno ampliato il perimetro di attacco. Il Rapporto Clusit 2021 mostra un incremento sensibile di attacchi, per lo più legati a episodi di cybercrime a scopo estorsivo. La sensazione è che poche realtà aziendali si fossero già munite di procedure organizzative e misure di sicurezza informatiche in grado di gestire una tale emergenza che impatta su aspetti della sfera privata del lavoratore.
La normativa europea in materia di privacy è relativamente “giovane”, ma precedente alla Pandemia. Si sta rivelando efficace?
Il GDPR è una norma innovatrice, ampia e flessibile che ha retto l’impatto con la Pandemia e con chi sosteneva che la lotta al Covid dovesse essere combattuta derogando alla normativa privacy. Ancor oggi ci imbattiamo nella contrapposizione tra mondo scientifico/tecnologico e mondo del diritto, sull’assurdo assunto di fondo che le esigenze di tutela della salute e quelle di tutela della privacy operino in contrapposizione tra loro; pensiamo ad esempio ai tracciamenti di massa o alla proposta di braccialetti elettronici nelle scuole di infanzia che tanto ha ricordato l’esperimento con i cani di Pavlov. In realtà, che il GDPR sia una norma completa lo dimostra il Considerando 46 prevedendo che alcuni trattamenti rispondano a rilevanti motivi di interesse pubblico come il “tenere sotto controllo l’evoluzione di epidemie e la loro diffusione”, attraverso un meccanismo di espansione e compressione del diritto che permette di mantenere quest’ultimo entro gli ambiti ed i principi stabiliti innanzitutto dalla Carta dei Diritti Fondamentali dell’UE.
Quali sono gli scenari futuri in materia di sicurezza informatica? Tornerà ad approfondirli nelle prossime iniziative editoriali di Le Fonti?
Già oggi tra i bersagli più colpiti figura il settore healthcare. Basti citare il recente furto di dati relativi a 7,4 milioni di vaccinati anti-Covid o gli attacchi alla Regione Lazio e all’Onu. Controllare la sicurezza della propria infrastruttura IT è sempre più complesso per la velocità e la tecnica con cui gli attacchi si evolvono; le prime debolezze sono ancor oggi la scarsa consapevolezza, il fattore umano o l’informatizzazione non organica dei sistemi aziendali. Il futuro è poi legato all’intelligenza artificiale, con implicazioni di carattere etico. Citando il compianto Prof. S. Rodotà, occorre muoversi con cautela lungo “la sottile frontiera che separa gli interventi corretti di bilanciamento tra la privacy e gli altri valori dalle limitazioni che possono snaturare i caratteri della democrazia”. Naturalmente sarò ben lieto di partecipare alle prossime iniziative editoriali di Le Fonti.
