Dati

  • Quadro UE-USA per la protezione dei dati personali: le autorità statunitensi ne hanno messo in atto gli elementi costitutivi

    La Commissione ha pubblicato una relazione a seguito del primo riesame della decisione di adeguatezza relativa al quadro UE-USA per la protezione dei dati personali (DPF) trasferiti dall’Unione europea a organizzazioni negli Stati Uniti.

    Sulla base delle informazioni raccolte durante il riesame, la Commissione conclude che le autorità statunitensi hanno messo in atto tutti gli elementi costitutivi del quadro. Ciò comprende l’attuazione di garanzie per limitare l’accesso ai dati personali da parte delle autorità di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale, e l’istituzione di un meccanismo di ricorso indipendente e imparziale. La relazione contiene inoltre una serie di raccomandazioni volte a garantire che il quadro continui a funzionare efficacemente, compresa l’elaborazione di orientamenti comuni, da parte delle autorità statunitensi e dell’UE, sugli obblighi fondamentali collegati a tale regime. La Commissione continuerà a monitorare gli sviluppi e riferirà periodicamente sul funzionamento del quadro.

    Il riesame si basa sui contributi di un’ampia gamma di attori, tra cui organizzazioni della società civile, associazioni di categoria, autorità dell’UE per la protezione dei dati e autorità statunitensi coinvolte nell’attuazione del quadro, nonché sui riscontri forniti dal grande pubblico mediante il portale “Di’ la tua”.

  • La Commissione richiede informazioni sui rischi dell’IA generativa a sei piattaforme e due motori di ricerca online

    La Commissione ha formalmente inviato a Bing e Google Search (motori di ricerca online di dimensioni molto grandi), e a Facebook, Instagram, Snapchat, TikTok, X e YouTube (piattaforme online di dimensioni molto grandi) richieste di informazioni riguardo alle loro misure di mitigazione dei rischi relativi all’IA generativa, tra cui la diffusione virale di deepfake, le cosiddette “allucinazioni” in cui l’IA fornisce informazioni false e la manipolazione automatizzata di servizi che possono fuorviare gli elettori.

    La Commissione richiede inoltre informazioni e documenti interni sulla valutazione dei rischi e sulle misure di mitigazione relative all’impatto dell’IA generativa su processi elettorali, diffusione di contenuti illegali, tutela dei diritti fondamentali, violenza di genere, tutela dei minori, benessere mentale, protezione dei dati personali, protezione dei consumatori e proprietà intellettuale. Tali questioni riguardano sia la diffusione sia la creazione di contenuti di IA generativa.

    Le aziende interessate sono tenute a fornire alla Commissione le informazioni richieste entro il 5 aprile 2024 per le questioni legate alla protezione delle elezioni ed entro il 26 aprile 2024 per le questioni rimanenti.

  • Secondo il “Washington Post” la Cina ha sfruttato la pandemia per raccogliere dati genetici a livello mondiale

    Le agenzie d’intelligence occidentali temono che la Cina abbia sfruttato la pandemia di Covid-19 per raccogliere una vasta mole di dati sul genoma umano a livello mondiale, da sfruttare per ottenere un vantaggio nella “corsa alle armi genetica” con gli Stati Uniti. Lo scrive il Washington Post, che ricorda come durante la pandemia Pechino abbia inviato aiuti a numerosi Paesi sotto forma dei sofisticati laboratori portatili di analisi genetica “Fire-Eye”. Il primo Paese a ricevere uno di questi laboratori, alla fine del 2021, fu la Serbia. Oltre a rilevare le infezioni da coronavirus tramite l’analisi di frammenti del virus, il laboratorio portatile sviluppato dalla Cina è in grado di svolgere complesse analisi del genoma umano, come vantato dai suoi sviluppatori: per questa ragione, l’arrivo di un esemplare del laboratorio Fire-Eye venne accolto con entusiasmo dalle autorità di Belgrado, che vantarono in quell’occasione di disporre “del più avanzato sistema di medicina e generica di precisione nella regione”.

    Nel corso della pandemia, Pechino ha donato o venduto laboratori analoghi a numerosi altri Paesi, e ora, secondo il WP, diversi analisti sospettano che la generosità della Cina sia parte di un tentativo di attingere a nuove fonti di dati genetici umani di alto valore in tutto il mondo. Si tratterebbe di uno sforzo intrapreso da Pechino da oltre un decennio ricorrendo a diversi metodi, che includerebbero anche l’acquisizione di società statunitensi del settore e una serie di operazioni di pirateria informatica. La pandemia avrebbe offerto ad aziende e istituti cinesi l’opportunità di distribuire strumenti per il sequenziamento del Dna umano in aree del Globo dove in precedenza Pechino aveva accesso limitato o nullo. I laboratori Fire-Eye si sono diffusi infatti in almeno quattro continenti e in più di 20 Paesi, inclusi Canada, Lituania, Arabia Saudita, Etiopia, Sudafrica e Australia. In diversi Paesi, come la già citata Serbia, i laboratori portatili si sono trasformati in centri di analisi genetica permanenti.

    Liu Pengyu, un portavoce dell’ambasciata cinese a Washington, interpellato dal Washington Post ha negato categoricamente che Pechino possa aver avuto accesso ai dati genetici raccolti dai laboratori di sua produzione, evidenziando che oltre ad assistere i Paesi beneficiari nel contrasto alla pandemia, i laboratori donati e venduti dalla Cina stanno fornendo assistenza cruciale nello screening di altre malattie, incluso il tumore. L’azienda con sede a Shenzhen che produce i Fire-Eye, Bgi Group, sostiene di non avere accesso ai dati raccolti dai suoi laboratori portatili. Fonti statunitensi consultate dal quotidiano affermano però che Bgi sia stata selezionata da Pechino per edificare e gestire la China National GeneBank, un vasto archivio governativo dei dati genetici raccolti dalla Cina, che includerebbe già dati e profili genomici di milioni di individui di tutto il mondo. Lo scorso anno il Pentagono ha inserito Bgi nella lista delle “aziende militari cinesi” operanti negli Stati Uniti, e nel 2021 l’intelligence Usa ha stabilito che l’azienda sia legata allo sforzo globale del governo cinese teso a ottenere informazioni sul genoma umano a livello mondiale, anche negli Stati Uniti.

  • Internet riesce a conoscerci meglio di quanto noi conosciamo noi stessi

    Ognuno di noi ha gusti e preferenze e agisce in base ad essi quando compie le sue scelte. Internet, come ha da tempo avvisato il sociologo Derrick De Kerckhove, è in grado di ricostruire questo procedimento selettivo, che è ampiamente inconscio, semplicemente registrando nel tempo cosa facciamo sul web: quali profili social guardiamo, quali ricerche facciamo attraverso Google. E’ il meccanismo, ormai noto a tutti (o quasi), fondato sulla potenza di calcolo degli algoritmi, che sono in grado di profilarci con sempre maggior precisione quanti più dati registrano su di noi, man mano che noi gli forniamo quei dati accedendo al web. Di per sé il meccanismo è pienamente lecito: siamo noi che accediamo liberamente alla rete, nessuno ci obbliga a farlo, e nessuno ci obbliga a seguire i suggerimenti (si tratti di pubblicità di prodotti piuttosto che di appelli o inviti a carattere politico elettorale) che vengono predisposti su misura per noi sulla base dei dati raccolti circa i nostri gusti. Il web non è uno Stato e non può imporci nulla.

    Internet insomma riesce ad avere un’idea di noi forse anche più chiara di quella che noi stessi abbiamo, visto appunto che noi conosciamo i nostri gusti ma fatichiamo a renderci conto di quanto questi ci orientino, inconsciamente appunto, anche solo quando digitiamo la parola o l’insieme di parole per chiedere a Google o ad Alexa o a Siri di fare una ricerca di nostro interesse. Noi questi gesti li facciamo pressoché istintivamente, gli algoritmi li registrano e ci ragionano sopra per associarli e trovare un comun denominatore tra di loro (comun denominatore che è rappresentato appunto dalla nostra personalità).

    Va da sé, però che – come sottolinea De Kerchkove, che questi dati possono finire in mano a persone che ne possono fare un uso illegale: sapendo tutto di noi, possono tracciare un profilo sulle nostra personalità, in termini di orientamenti politici, sessuali e quant’altro, quale le norme sulla privacy e contro la discriminazione vietano di tracciare, tanto a un datore di lavoro quanto alla pubblica amministrazione.

  • Sbloccare il potenziale dei dati sugli appalti pubblici dell’UE

    Insieme alla sua comunicazione sui 30 anni del mercato unico, la Commissione rivela il piano per costruire uno spazio europeo di dati sugli appalti pubblici. Il piano descrive l’architettura di base, l’insieme degli strumenti di analisi da attuare entro la metà del 2023 e i dati sugli appalti pubblicati a livello europeo da rendere disponibili nel sistema per quella scadenza. Entro la fine del 2024 tutti i portali di pubblicazione nazionali aderenti dovranno essere connessi, i dati storici pubblicati a livello europeo dovranno essere integrati e l’insieme degli strumenti di analisi dovrà essere ampliato.

    Lo spazio di dati sugli appalti pubblici riunirà dati sulle gare d’appalto, dalla preparazione all’esito. Attualmente tali dati sono sparsi in formati diversi e a diversi livelli, ovvero europeo e nazionale. Lo spazio di dati fornirà un nuovo quadro di informazioni grazie a un insieme di strumenti analitici all’avanguardia, che include tecnologie basate sull’intelligenza artificiale, come l’apprendimento automatico e l’elaborazione del linguaggio naturale. Tutto ciò permetterà spese pubbliche più mirate e trasparenti, migliorerà l’accesso alle gare d’appalto per le aziende, in particolare le piccole e medie imprese, e potenzierà l’elaborazione di politiche basate sui dati. Queste tecnologie aiuteranno inoltre gli acquirenti pubblici e le imprese a migliorare le loro strategie di investimento e di offerta, e forniranno a tutte le parti interessate una maggiore trasparenza e un miglior rapporto qualità-prezzo.
    Il settore pubblico, che in tutta l’UE vale più di 2 miliardi di euro all’anno, vale a dire quasi il 13,6% del PIL dell’Unione, dovrebbe fare la sua parte nel sostenere le industrie verdi. Lo spazio di dati sugli appalti pubblici permetterà alle autorità pubbliche di condividere le migliori prassi anche per un uso più mirato dei fondi pubblici a favore delle industrie verdi.

    Come sottolineato nella relazione annuale sul mercato unico 2023, sfruttare il potenziale dei dati è essenziale per far sì che il mercato unico realizzi appieno il suo potenziale in termini di sostegno alla resilienza e alla competitività dell’economia europea.

  • La relazione della Commissione evidenzia un elevato livello di protezione dei diritti delle persone coinvolte in procedimenti penali

    La Commissione europea ha pubblicato la sua relazione sull’applicazione e il funzionamento della direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie. La relazione osserva che la direttiva garantisce un livello armonizzato ed elevato di tutela dei diritti delle persone coinvolte in procedimenti penali e fornisce un quadro giuridico coerente per il trattamento dei dati da parte delle autorità di contrasto e giudiziarie. Viene inoltre posto in luce che il rafforzamento della fiducia e della sicurezza negli scambi di dati tra queste due autorità facilita la cooperazione transfrontaliera nella lotta contro la criminalità e il terrorismo La relazione rileva che, in generale, le norme sono state recepite in modo soddisfacente, ma che permane un certo numero di problemi (ad esempio la mancanza di risorse assegnate ad alcune autorità di protezione dei dati), il che ha portato all’avvio di procedure di infrazione. La relazione contiene inoltre un elenco di azioni messe a punto dalla Commissione, dagli Stati membri e dalle autorità di controllo della protezione dei dati volte a sfruttare appieno il potenziale della direttiva. Tali azioni mirano in particolar modo a portare a termine un recepimento completo e corretto della direttiva, a conferire alle autorità nazionali di controllo della protezione dei dati i poteri necessari e risorse adeguate e a pubblicare ulteriori orientamenti sull’interpretazione della direttiva da parte del comitato europeo per la protezione dei dati. La prossima relazione della Commissione sull’applicazione di questo strumento è prevista per il 2026.

    Fonte: Commissione europea

  • Detective Stories: il rintraccio di un figlio mai conosciuto

    Nell’immaginario comune, il lavoro di un investigatore privato prevede lunghi appostamenti, pedinamenti in auto e situazioni più o meno avventurose degne di un film noir, ma negli ultimi anni molto è cambiato.

    Le persone lasciano le proprie tracce non solo nella vita reale, ma anche a livello virtuale, sulla rete, nei forum e nei social network, con i propri veri nomi nascosti da alias e nickname di vario tipo.

    Alcuni anni fa ricevetti una richiesta da parte di una signora disperata. Maria (nome di fantasia), over 70, malata e sola, voleva ritrovare il proprio figlio dato in adozione subito dopo la nascita. Ai tempi era molto difficile per una ragazza madre (perlopiù minorenne), pensare di sposarsi e mettere su famiglia e data la sua situazione economica difficile, le suore del brefotrofio la convinsero che il bimbo avrebbe avuto un futuro migliore con una famiglia americana.

    Maria, forse un po’ sconvolta dagli eventi, subito dopo il parto firmò alcuni documenti senza ben capire, il bambino venne portato via dalle suore e lei non lo rivide più. Cambiò subito idea, ma ormai era troppo tardi, Il bimbo era già in America. Lei non si diede mai per vinta e lo cercò per tutta la vita, senza mai trovarlo.

    Quando si rivolse a me aveva pochissime informazioni in mano, solo il nome di battesimo del bambino (probabilmente cambiato) e la sua data di nascita.

    Con i dati a mia disposizione non avevo trovato nessuna persona corrispondente in America. Era praticamente certo che al bambino avessero cambiato il nome. Potevo basarmi solo sull’età e purtroppo le persone nate in quella data erano diverse migliaia. Era come trovare l’ago in un pagliaio. Provai a rivolgermi a colleghi del posto, ma senza ottenere alcun risultato. Con i dati in nostro possesso la risposta era solo una: “negative”.

    Di certo c’era solo una cosa. Il figlio di Maria doveva necessariamente aver lasciato delle tracce di se, inoltre all’epoca dei fatti, non era comune fare viaggi internazionali per adottare un bambino…la famiglia adottiva doveva quindi essere “particolare”.

    Cominciai a setacciare i database alla ricerca di persone aventi quella specifica data di nascita con una attenzione ai loro nuclei familiari. Il mio intuito mi suggeriva che la famiglia adottiva doveva essere numerosa.

    Tra i vari risultati, notai una famiglia della provincia di Philadelphia piuttosto interessante: si trattava di un nucleo piuttosto numeroso, con molti figli maschi e femmine, inoltre l’età di uno di loro, Michael, combaciava con quella del figlio di Maria.

    Trovai su internet il necrologio della potenziale madre adottiva nel quale si parlava di come la donna avesse dedicato tutta la vita alla famiglia viaggiando per il mondo, promuovendo l’allattamento naturale…e se uno di questi viaggi la avesse portata in Italia?

    Su “Michael” non trovai nulla in internet, e solo allora mi concentrai sulla ricerca di profili social dei suoi possibili fratelli e sorelle. Forse in qualcuna delle loro foto avrei potuto notare Michael. Di tutti i fratelli, sorelle e membri della famiglia solo il profilo Facebook di Elisabeth mi dava le conferme che stavo cercando… la donna del profilo proveniva dalla stessa località della famiglia che avevo trovato sul database. Inoltre tra le sue amicizie risultava collegata con alcuni soggetti presenti nel database (suoi fratelli e sorelle, tutti tranne Michael). Tra gli album Facebook di Elisabeth, trovai alcune vecchie foto di un matrimonio, ed in una di quelle notai un giovane ragazzo, scuro di carnagione non molto alto e con i capelli neri, tratti somatici tipici del sud Italia. Era completamente diverso da tutti gli altri commensali, molto chiari e di probabile origine irlandese.

    Dentro di me sentivo di averlo ritrovato. Scrissi ad Elisabeth, presentandomi e spiegandole il perché del mio messaggio. Le raccontai la storia di Maria e del mio ruolo nella ricerca del figlio dato in adozione e mai incontrato. Infine lasciai il mio numero di telefono e restai in attesa.

    Dopo due giorni, un numero americano mi telefonò, sotto al numero la scritta Philadelphia. Era Elisabeth.

    Piuttosto sbalordita e con voce emozionata mi fece molte domande, del resto ricevere un messaggio da parte di un investigatore privato che chiede informazioni riservate su fatti personali non è cosa da tutti i giorni, ed Elisabeth voleva essere sicura circa la bontà del mio intervento.

    Dopo una lunghissima conversazione, Elisabeth mi disse che ero riuscito a trovare il figlio di Maria, Michael, il quale purtroppo era deceduto tre anni prima per una malattia.

    Fu molto difficile per me dire la verità a Maria, ma se non altro in tutti questi tipi di casi conoscere la realtà dei fatti è utile alle famiglie per avere una “chiusura” della vicenda.

    Spesso nei casi di ricerca di persone che ho affrontato, i dubbi e le paure dei familiari possono logorare più della certezza della morte. E’ la parte difficile di chi ha scelto di essere un investigatore, rappresentare la verità, bella o brutta che sia, al di sopra di ogni ragionevole dubbio.

    Maria e la famiglia adottiva di Michael strinsero una forte amicizia e le fu certamente di grande aiuto scoprire quanto Michael fosse stato amato durante la sua vita, una vita che insieme riuscimmo a ricostruire nei minimi dettagli, dal momento del suo sbarco all’aeroporto JFK negli anni 70, fino al giorno della sua morte.

    Quello di Maria e Michael fu un caso molto particolare, forse meno avventuroso di altri, ma certamente ricco di emozioni soprattutto per le vicende umane che lo hanno caratterizzato.

    Un caso risolto dalla mia scrivania, con un computer, un telefono e parecchio intuito. Fu un parziale insuccesso o un successo senza lieto fine.

    Rintracciare una persona di cui si sono perse le tracce è alla portata di tutti? Forse no, ma certamente avendo a disposizione i dati corretti, oggi può essere molto più semplice.

    Esistono dei siti che consentono alle persone adottate di inserire i propri dati e fotografie al fine di facilitarne il ritrovamento da parte dei familiari, ma anche di risalire ai propri genitori biologici.

    In Cina, dove esiste un grave problema di rapimenti legati al mondo delle adozioni, ci sono siti web che mostrano dei render del probabile aspetto da adulto del minore rapito, per farlo vengono utilizzati dei software per l’invecchiamento del volto. Diverse persone si sono riconosciute ed hanno ritrovato i propri cari in questo modo.

    Si tratta di piccoli passi nell’evoluzione delle tecnologie per il ritrovamento delle persone scomparse e forse in futuro, proseguendo per questa strada, riusciremo a ritrovare le persone a noi care in tempi minori e con meno sforzi.

     

    Per domande e consigli di natura investigativa e/o di sicurezza, scrivetemi e vi risponderò direttamente su questa rubricad.castro@vigilargroup.com

  • Pratiche scorrette di geolocalizzazione: l’Australia fa causa a Google

    L’Australia porta Google in tribunale per le pratiche adottate per raccogliere i dati di geolocalizzazione.
    L’Australian Consumer Commission (ACC) ha intentato infatti un’azione legale accusando il colosso dell’elettronica perché indurrebbe in errore il pubblico sulle modalità con le quali vengono raccolti, conservati e utilizzati i dati sulla posizione. In particolare, la società non ha informato i consumatori della necessità di cambiare due impostazioni Android qualora desiderassero che la società interrompesse il monitoraggio della propria posizione. Oltre alla “Cronologia delle posizioni”, anche “Attività web e app” può segnalare la posizione.
    Google ha risposto che la società sta esaminando il caso e non ha affrontato le accuse nella sostanza. La prima udienza è prevista per il 14 novembre.

  • Liberalizzata la circolazione dei dati non personali tra Stati della Ue

    Via libera del Parlamento europeo alla libera circolazione dei dati non personali nell’Ue per sviluppare l’economia digitale europea e consentire alle aziende di competere di più a livello globale. Le nuove regole sono state approvate a Strasburgo con 520 voti a favore, 81 contrari e 6 astensioni. Grazie alle nuove norme, che dovranno essere adottate il 6 novembre dal Consiglio, i dati non personali come quelli commerciali, sull’agricoltura di precisione per monitorare l’uso di pesticidi o sulla manutenzione dei macchinari industriali, potranno essere archiviati e utilizzati ovunque nell’Ue senza restrizioni non giustificate.

    «Questo regolamento definisce di fatto i dati come la quinta libertà» dell’Ue, ha sottolineato l’eurodeputata del Ppe Anna Maria Corazza Bildt, che ha condotto i negoziati con il Consiglio sul testo. Le nuove regole, ha aggiunto, «rappresentano un punto di svolta» con possibili «enormi guadagni in termini di efficienza per aziende e autorità pubbliche».

    Restano eccezioni sui requisiti per la localizzazione dei dati solo in materia di pubblica sicurezza. Le autorità competenti inoltre avranno accesso ai dati elaborati in un altro Stato membro per attività di controllo.

  • GDPR: la nuova privacy

    Il 25 maggio entreranno in vigore le nuove norme sulla privacy così come previste dal Regolamento UE 2016/679 emanato il 27 aprile 2016.

    Pur non essendo materia di diretta pertinenza di un professionista specializzato in materie societarie e fiscali, ho deciso di scrivere questo breve intervento dopo essermi reso conto dell’assoluta disinformazione che, a un mese circa dall’introduzione, ancora è diffusa tra le Piccole e Medie Imprese italiane.

    L’acronimo misterioso GDPR significa General Data Protection Regulation e già dallo stesso capiamo la portata della normativa e il suo ampio ambito di applicazione: Regolamento generale per la protezione dei Dati.

    La normativa è quindi destinata a tutti, nessuno escluso, ad eccezione di coloro che trattano i dati in qualità di privati cittadini. Nessun adempimento dovrà quindi essere effettuato da coloro che gestiscono la propria agenda privata, il proprio account privato sui social network, ecc. Dovranno, invece, porsi il problema e mettersi in compliance tutti i soggetti esercenti attività di impresa, arte o professione, dal piccolo artigiano alla grande azienda, dal medico alla grande clinica per comprendere notai, avvocati, commercialisti, architetti, ecc.

    Il nuovo approccio è globale e integrato, nel senso che abbraccia tutti i vari ambiti del trattamento dei dati e si basa sui rischi reali ed effettivi insiti nella gestione dei dati durante la propria attività imprenditoriale, professionale o artistica.

    Per questo motivo non ci saranno ricette preconfezionate e tutti dovranno affrontare una preliminare fase di mappatura dei propri processi e dei dati di cui vengono in possesso.

    L’approccio, come detto, dovrà basarsi sul rischio: più il rischio sarà alto e maggiori dovranno essere le misure per scongiurare l’uso fraudolento dei dati. Il dato viene distinto in “sensibile” e “comune”. I dati sensibili sono quelli che, notoriamente, possono essere utilizzati per discriminare gli individui appunto in base a determinate caratteristiche (abitudini sessuali, origini, opinioni politiche, ecc). E’ intuitivo come, l’approccio basato sul rischio, non possa prescindere dalla corretta individuazione del tipo di dato trattato.

    Ancora, i dati “anonimi” avranno un rischio inferiore rispetto ai dati “personali” che potranno essere “anonimizzati” per ridurre il rischio di trattamento. Un ulteriore modo, previsto dallo stesso regolamento, per ridurre i rischi è quello di cifrare gli archivi di dati in modo da rendere più difficoltoso il loro utilizzo in caso di attacco o di “data branch”. Una volta mappati i dati e i relativi trattamenti si potranno individuare idonee misure di sicurezza calibrate all’effettivo grado di rischio.

    In effetti, la normativa non prevede delle misure minime, cosa che ci può lasciare un po’ disorientati nell’applicazione pratica, ma lascia libere le imprese di dotarsi di idonee misure di sicurezza calibrate sul rischio individuato. All’interno del GDPR vengono consigliate alcune soluzioni per ridurre i rischi quali, come abbiamo già detto, la cifratura dei dati. Ben visti saranno quindi l’utilizzo di archivi cifrati, di firwall, di antivirus, di password di protezione, ecc.

    Un altro aspetto importante sarà quello delle policy e dei processi aziendali che dovranno individuare i soggetti preposti al trattamento dei dati che dovranno essere dotati di appositi incarichi e deleghe nonché di adeguata formazione. L’informativa al trattamento dei dati e il relativo consenso, cavallo di battaglia della vecchia normativa, non spariranno ma dovranno essere sicuramente adeguate. Dovrà essere specificato, ad esempio, il tipo di trattamento effettuato e il tempo per il quale il dato verrà “storicizzato”.

    Tutto ciò cosa implica? Che non si potrà far riferimento a dei minimi preconfezionati, ma bisognerà svolgere la fase di mappatura dei dati, di ricognizione dei rischi, di modalità di trattamento e di identificazione delle misure di sicurezza adottate lasciando traccia dei processi logici e tecnici seguiti in modo da riuscire a sostenere la bontà del proprio operato in caso di controlli delle autorità competenti o, peggio, in caso di eventi dannosi cagionati a terzi e conseguenti richieste di risarcimenti danno.

    E sì, perché i rischi patrimoniali non possono essere sottovalutati: si va da sanzioni che possono arrivare fino a 20 milioni di euro (avete capito bene….) a richieste danni da cifre astronomiche in caso di uso fraudolento di dati o di sottrazione degli stessi.

    Poco meno di un mese di tempo per adeguarsi: il tempo non è molto ma probabilmente sufficiente per la maggior parte delle PMI che potranno avvalersi del supporto di specifici consulenti e di programmi informatici che aiuteranno nel raggiungere la compliance alla normativa, che, come abbiamo visto, non si riduce alla redazione di banali documenti preconfezionati ma deve prevedere un’analisi di mappatura dei trattamenti dei dati, dei rischi e di individuazione delle misure di sicurezza ritagliate su ogni specifica realtà.

Pulsante per tornare all'inizio