Dall’introduzione del GDPR sono passati solo due anni ma sembra una eternità rispetto alle sfide che la Data Protection ha già dovuto affrontare.
Oggi ai professionisti di questo settore viene chiesto di cimentarsi con tecnologie evolute (blockchain, web scraping, intelligenza artificiale) e, anche per questo, non può più essere un’attività destinata ad un superoe-tuttologo: il Data Protection Officer ha bisogno di riappropriarsi del proprio ruolo, di fare rete, di possedere adeguate conoscenze tecniche, di specializzarsi nel suo settore e di essere supportato da un team multidisciplinare di collaboratori (anche esterni al suo dipartimento) che lo aiuti nel fornire supporto in tutte le principali questioni aziendali.
Vediamo tutte le sfide.
DPO e dintorni, le professioni legate ai dati
Nei primi anni 2000 i professionisti della riservatezza erano pochissimi e nell’ambiente ci si conosceva un po’ tutti. Il boom c’è stato con l’introduzione nel 2018 della figura del DPO (oggi in Italia sono circa 60 mila). Il trend in crescita di tale figura è stato confermato anche dalle associazioni di categoria, in primis Federprivacy e AssoDPO. Una professione introdotta in Italia con il GDPR, ma che in altri Paesi esisteva da tempo.
Un esercito di professionisti che spesso si avvale di un team, di altri collaboratori addetti alle più disparate attività. Si va dal Data Protection Specialist, al Manager Privacy, all’Auditor Privacy. A provare a delinearne i requisiti di conoscenza, abilità e competenza c’è anche uno schema internazionale, la Norma UNI 11697:2017.
Sono figure di supporto ma che avranno certamente un ruolo da protagonisti anche in tutte le realtà in cui, ai sensi del GDPR, non è obbligatoria la nomina di un DPO.
Da non dimenticare poi le professioni, nate in questi ultimi anni, che richiedono elaborazioni strutturate e complesse di dati personali con nomenclature nel job title come: Data Governance, Data Quality, Data Entry, DB Administrator.
La crescente richiesta di questi ruoli, è anche confermata dai rapporti annuali del “World Economic Forum”. Secondo il rapporto del 2020 le posizioni emergenti più richieste nei prossimi anni saranno infatti le professioni in ambito “Data and AI”: si va dai Data Scientist, Data Analyst, Data Consultant ai ruoli di Artificial Intelligence Specialist, Data Engineer, Big Data Developer.
Le frodi legate ai dati
Del resto il nuovo petrolio sono i dati personali, lo hanno capito bene i nuovi criminali del web che hanno adeguato gli strumenti di attacco alle nuove opportunità. Frodi da Social Engineering 2.0 con rischi crescenti che ormai non risparmiano neanche i manager di importanti società, con la celebre truffa del CEO, richieste di denaro mediante email che sembrano provenire dagli alti vertici della società. E’ conosciuta anche come BEC, Business Email Compromise. Nel 2017 è toccato a un dirigente di Confindustria a Bruxelles che ci ha rimesso 500 mila euro. Nel 2018 la multinazionale Maire Tecnimont ci ha rimesso 17 milioni di euro.
Poi c’è la sua naturale evoluzione che utilizza il telefono simulando la voce (cosiddetto vishing) del capo attraverso un sofisticato sintetizzatore vocale in grado di riprodurne i pattern vocali.
Nel 2019 il Wall Street Journal ha diffuso il caso di un dirigente d’azienda inglese che è stato contattato telefonicamente da quello che sembrava essere il suo superiore dalla Germania, il quale gli ordinava di fare un trasferimento di fondi urgente di circa 221mila euro. Insomma, un fenomeno in forte crescita che secondo le statistiche pubblicate dal Federal Bureau of Investigation (FBI) nell’Internet Crime Report 2019, ha causato lo scorso anno circa 1,7 miliardi di dollari di perdite con 23mila reclami ricevuti dall’agenzia governativa di polizia federale degli Stati Uniti. Cifre in realtà considerate per difetto, poiché spesso le vittime non sporgono denuncia alle autorità.
Il primo pensiero va i manager di queste realtà, le prime vittime spesso sono proprio loro, colpevoli solo di una mancata “awareness”, elemento che non dovrebbe mai mancare proprio fra i vertici delle società. Invece quando si parla di training si pensa che basti un “corsetto” privacy, magari da remoto, a qualche impiegato per rispettare un obbligo di legge (la formazione privacy). Elemento caratterizzante del prossimo futuro sarà invece il training by design, appendice naturale della privacy.
Le sfide create dal covid
Ma i nuovi rischi non finiscono qui, anche la recente Pandemia di Covid-19 ha messo in evidenza le nuove sfide che ci attendono in futuro. La più nota, è senz’altro legata alla infodemia, la circolazione di una quantità eccessiva di informazioni (anche dati personali), talvolta non vagliate con accuratezza e che rende difficile orientarsi per la difficoltà di individuare fonti affidabili. Questa difficoltà ci ha accompagnato durante il dilagare dell’emergenza, insieme a tanta disinformazione e fake news di ogni genere sin dall’inizio della crisi. Nelle aziende più direttamente coinvolte (es. settore sanitario) lo sanno bene i professionisti della comunicazione intenti a sfatare fake news, riabilitare il brand aziendale e in alcuni casi a salvare il salvabile.
Secondo la Commissione europea dietro alcune di esse vi sarebbe un preciso disegno portato avanti dalla Russia e la Cina per aumentare la popolarità di Vladimir Putin e Xi Jinping in patria. Il fine ultimo sarebbe quello di indebolire la democrazia e le istituzioni Ue.
Un’altra sfida che la pandemia ha comportato è la relazione dei professionisti data protection con i vertici aziendali. All’inizio dell’emergenza è stato messo a dura prova il complesso sistema di Crisis Plan, in alcune organizzazioni assente, in altre scarsamente presente e che doveva prevedere tempi e modi per reagire prontamente. Un piano di crisi nel quale la protezione dei dati ha dovuto faticare, forse non poco, per crearsi il proprio spazio d’azione e ribadire l’importanza di tutelare la privacy. Il sistema è apparso alquanto fragile ed i DPO, secondo una ricerca di Federprivacy di maggio 2020, nel 68% dei casi non sono stati coinvolti dalla direzione all’inizio dell’emergenza e nel 39% dei casi hanno dovuto prendere personalmente l’iniziativa.
Inoltre una delle questioni più volte riproposte è stata la prevaricazione del diritto alla salute sul diritto alla riservatezza; a dire il vero in alcuni casi non per effettiva incompatibilità.
L’introduzione massiccia di lavoro da casa ha quindi riproposto elementi di riflessione come le politiche BYOD, VPN e le deroghe alle policy di sicurezza. Inoltre l’uso massiccio di smart working in una situazione di emergenza per nulla “smart” ha da una parte introdotto prepotentemente tale forma di lavoro in contesti nuovi (si pensi all’introduzione nella Pubblica Amministrazione) e dall’altra ha contribuito a sviluppare nuove minacce o ha aumentato quelle già presenti.
Da considerare poi che gli interessi economici sui dati sanitari hanno contribuito a far incrementare il rischio cyber. Da inizio marzo l’OMS ha intercettato e bloccato tentativi di intrusione operati da organizzazioni criminali, talvolta gruppi sponsorizzati da stati sovrani e governi. L’allarme è stato lanciato anche dalla Polizia Postale e dall’Europol, l’agenzia per la lotta al crimine nell’Unione europea. Secondo quest’ultima gli attacchi informatici sono passati dai 200 del periodo pre-Covid ad oltre 5.000. Non si può non tener conto del fato che per fronteggiare questi attacchi lavorare in smart working non aiuta.
Anche l’FBI ha emanato una nota internazionale su un nuovo rischio cyber per le “industrie globali tra cui il settore sanitario” con il suo prezioso bagaglio dei dati sanitari.
I dati personali (e la privacy) sono diventati del resto un’opportunità professionale. Oltre agli studi specializzati in consulenza privacy, proliferano le società e le App che provano a lucrare sul trattamento dei dati “abilitando” la cessione dei dati personali.
Mettono in contatto persone e aziende in alcuni casi per perfezionare algoritmi di intelligenza artificiale (Ocean Protocol), in altri per aiutare i medici a prevenire le malattie (Doc.ai).
C’è anche un’App (People.io) che analizza i dati e i comportamenti e seleziona le aziende interessate che fanno la loro offerta per comprare i dati. C’è poi l’italianissima Weople, sulla quale anche il Garante Privacy ha voluto vederci chiaro. L’app della società Hoda promette guadagni agli utenti in cambio dei loro dati personali. Una sorta di banca nella quale possono essere depositati i dati al fine di gestirli e, a detta della società, conservarli in maniera sicura.
Queste soluzioni in futuro rappresenteranno le nuove opportunità commerciali affinché il “petrolio” generi i suoi profitti.
Conclusioni
E’ innegabile quindi che ad un crescente incremento dei rischi e ad una espansione dell’importanza e tutela dei dati corrisponda un necessario incremento di profili e competenze.
Il DPO deve, secondo la descrizione dall’Opinion WP243 e dell’articolo 37, essere “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati…”.
Non basta dunque frequentare un corso privacy, essere avvocati o tecnici, né tantomeno bastano le certificazioni.
Anche il Garante per la Protezione dei Dati Personali ha chiarito con un comunicato del luglio 2017 che non sussistono ad oggi bollini, certificazioni o percorsi riconosciuti dall’Autorità tali da poter “accreditare” alla professione.
Servono infatti professionisti privacy, non solo DPO, specializzati e aggiornati, serviranno per affrontare le prossime sfide che ci attendono. Serve anche un maggiore radicamento della formazione privacy anche per i ruoli tecnici. A tutti loro spetterà l’arduo compito di riqualificare l’importanza della privacy in ogni contesto e proteggere i nostri dati.
