0
Algoritmi e giusto processo

L’uso degli algoritmi e il loro impatto sul giusto processo

Le tecniche di elaborazione automatizzata dei dati, come gli algoritmi, non solo consentono agli utenti di Internet di cercare e accedere alle informazioni, ma sono anche sempre più utilizzate nei processi decisionali, che prima erano interamente di competenza dell’uomo. Gli algoritmi possono essere utilizzati per “preparare” le decisioni umane o per prenderle immediatamente con mezzi automatizzati. In effetti, i confini tra il processo decisionale umano e quello automatizzato sono spesso confusi, il che porta alla nozione di processo decisionale quasi o semiautomatico.

Leggi di più
0
Cybersecurity e sviluppo sostenibile

Cybersecurity, sicurezza informatica e sviluppo sostenibile

Sia la sostenibilità che la sicurezza informatica sono concetti generali, macrocategorie o meglio ancora meta-discipline, costantemente in prima pagina e vitali per la competitività delle imprese e di intere economie.

La fiducia nelle ICT (c.d. Infotecnologie, Tecnologie dell’Informazione e della Comunicazione) è fondamentale per raggiungere gli Obiettivi di Sviluppo Sostenibile delle Nazioni Unite, così come formalizzati all’interno di Agenda 2030.

Dal punto di vista tecnico, etico, economico e legale, la fiducia riveste un ruolo cruciale per le imprese e, in questo caso particolare, migliora sia la sostenibilità sia la sicurezza informatica.

I governi e le imprese devono trovare un delicato equilibrio tra l’autoprotezione a mezzo delle ultime tecnologie emergenti da un lato e un atteggiamento cautelativo nel non affrettarsi ad essere gli early adopters di nuove tecnologie che non sono state ancora adeguatamente testate, dall’altro.

Guardando alla sicurezza informatica attraverso la lente degli SDG (obiettivi di sviluppo sostenibile) si dimostra l’importanza socio-economica della fiducia nell’ ambiente digitale e della sua sicurezza.

La promozione dei diritti umani è essenziale per favorire la cyber-peace, ed è un’area in grande espansione nel contesto della sostenibilità.

L’uso efficace di tecnologie innovative è fondamentale per la realizzazione di molti degli SDG, e il percorso di conseguimento di tali obiettivi sarebbe sostanzialmente compromesso in assenza di appropriate pratiche di sicurezza informatica, minando la fiducia e quindi l’adozione delle ICT, nonchè per effetto dei costi finanziari e reputazionali connessi agli attacchi informatici.

Esempi di connessione SDG-CYBERSECURITY:

  • Sviluppare l’industria, l’innovazione e l’infrastruttura (SDG 9)
  • Raggiungere l’uguaglianza di genere e l’empowerment di donne e fanciulle (SDG 5)
  • Rendere le città inclusive, sicure, resilienti e sostenibili (SDG 11)
  • Rivitalizzare la partnership globale per lo sviluppo sostenibile (SDG 17): le ICT possono connettere persone e istituzioni, consentire la condivisione d’informazioni e promuovere la contaminazione reciproca (cross pollination) d’idee e di innovazione in tutti i settori.

Le aziende dovrebbero considerare la sicurezza informatica come una questione di CSR/RSI ovverosia di responsabilità sociale di impresa per salvaguardare i loro clienti e il progresso sociale.

In generale, la sicurezza informatica comprende una serie di  politiche sociali, dalla sensibilizzazione alla formazione dei consumatori, fino a programmi di assicurazione del cyber riskcorporate governance e relazioni internazionali.

Gli attuali modelli di compliance e gestione dei rischi legati alla sicurezza informatica partono da un focus di breve periodo che non è utile né tanto meno potrebbe esserlo nella costruzione di tecnologie resilienti, necessarie per il mantenimento della fiducia pubblica in ottica di lungo periodo e può favorire  la crescita economica e l’adozione del sistema globale di interconnessione, il c.d. “Internet of Things” o IoT (una delle buzzwords più esaltate e meno comprese dal mainstream)

L’economia digitale, sottoinsieme del fenomeno Quarta Rivoluzione Industriale, è destinata a far registrare una crescita esponenziale e non lineare a causa dello sviluppo e dell’adozione dell’IoT: a differenza delle tre precedenti rivoluzioni industriali, questa è caratterizzata dalla convergenza, dalla fusione di tecnologie e scienze che sta offuscando i confini tra la sfera fisica, quella biologica e quella digitale, impattando tutte le economie, industrie e discipline.

Questa nuova crescita segue un decennio (2006-2016) in cui l’economia digitale è cresciuta ad un tasso più veloce rispetto all’economia generale, il 5,6 percento rispetto all’1,5 percento all’anno.

L’aumento dei dati e il suo ruolo cruciale nell’economia globale (Big Data Economy) hanno portato diversi studiosi, tra cui il coordinatore della Cybersecurity della Casa Bianca Rob Joyce, nonchè la prestigiosa testata The Economist, a stabilire analogie tra i dati ed il petrolio

Inoltre, contrariamente alle risorse naturali fossili limitate come il petrolio e al capitale naturale (aria, acqua, suolo e biodiversità), Internet è al momento illimitato.

Le vulnerabilità note e latenti di cui soffrono miliardi di dispositivi che formano l’Internet of Things rappresentano una bomba a orologeria, pronta a compromettere irrimediabilmente la fiducia pubblica e minare lo sviluppo socioeconomico delle istituzioni democratiche.

Se vogliamo evitare questo disastro di fiducia pubblica, dobbiamo adottare un approccio sostenibile alla sicurezza informatica.

Integrare elementi di gestione della sostenibilità nella cybersecurity aiuterà a ridefinire le percezioni di sicurezza informatica, convertendo paura, incertezza e dubbi in un atteggiamento proattivo di opportunità, dinamismo e trasformazione.

1 Star2 Stars3 Stars4 Stars5 Stars (6 votes, average: 4,83 out of 5)
Loading...
0
Data Protection Officer - DPO

Data Protection Officer: esperto giurista o esperto informatico

Il Data Protection Officer (DPO) è una nuova figura professionale introdotta dal Reg. UE n. 679/2016 del Parlamento europeo (c.d. GDPR, General Data Protection Regulation), e oggi prevista anche nel nostro ordinamento, a seguito dell’entrata in vigore del GDPR in data 25.05.2018 in tutto il territorio dell’Unione europea.

Il GDPR (art. 39) impone al DPO degli obblighi importanti in seno all’organismo che lo ha nominato; egli infatti è incaricato (e quindi è ritenuto responsabile di):

  • Informare e consigliare il titolare o il responsabile del trattamento dei dati personali, e i loro dipendenti;
  • Assicurare il rispetto del regolamento e della legge nazionale in merito alla protezione dei dati;
  • Informare l’organizzazione sulla realizzazione di studi di impatto sulla protezione dati e verificarne l’esecuzione;
  • Collaborare con il Garante ed esserne il punto di contatto;
  • Collaborare nell’adeguamento agli obblighi imposti dal regolamento europeo, fornendo informazioni sul contenuto dei nuovi obblighi imposti dal regolamento europeo;
  • Condurre un inventario del trattamento dei dati della propria organizzazione;
  • Progettare azioni di sensibilizzazione;
  • Gestire in maniera continuativa la conformità dell’organizzazione al regolamento.

E’ evidente, da questo breve elenco, che le responsabilità che sorgono in capo alla persona designata come Data Protection Officer sono quindi rilevantissime. Inoltre, una volta nominato, i dati di contatto del DPO dovranno essere pubblicati dal Titolare o dal Responsabile del trattamento (in modo che gli interessati possano contattarlo per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti) e comunicati al Garante della privacy (l’Autorità garante per la protezione dei dati personali).

Ci si potrebbe quindi chiedere se, effettivamente, un avvocato possa essere la persona più indicata a rivestire il ruolo di Data Protection Officer, una nomina che comporta necessariamente il possesso di nozioni tecniche maggiori e diverse rispetto alle semplici competenze legali.

Laddove l’avvocato dovesse svolgere funzioni di DPO dovrà, infatti, tenere presente che i compiti, le funzioni e le verifiche imposti dal GDPR non richiedono conoscenze di esclusiva natura legale.

Inoltre, l’assimilazione delle due funzioni di avvocato difensore e di Data Protection Officer è un elemento da valutare con grande attenzione. L’avvocato, infatti, oltre a essere sempre capace di garantire la propria autonomia e indipendenza, dovrebbe anche evitare di essere coinvolto in conflitti di interesse, i quali potrebbero derivare dall’essere egli, contemporaneamente, sia la persona di contatto dell’autorità di protezione dei dati (un ruolo che comporta l’obbligo di riferire all’Autorità di vigilanza informazioni che, nel concreto, potrebbero essere in contrasto con l’interesse del cliente) sia colui che, in qualità di legale nominato, tutela e rappresenta gli interessi dei clienti in sede giudiziaria e stragiudiziale.

In considerazione di questo potenziale conflitto di interessi, sarebbe opportuno che l’avvocato assumesse il ruolo di Data Protection Officer solo laddove non abbia agito come legale di fiducia in questioni che potrebbero rientrare nella responsabilità del Data Protection Officer. Egli, inoltre, durante il mandato come DPO, non dovrebbe assumere compiti di difesa in questioni in cui dovesse essere coinvolto in qualità di Data Protection Officer.

Al di là di questi principi-guida, che all’avvocato – anche il meno esperto – non sono certo estranei, occorre però chiedersi se il sapere scientifico da cui attingere per svolgere il ruolo di DPO sia più quello tecnico-informatico oppure quello giuridico.

Al riguardo, una sentenza del Tar Friuli Venezia Giulia, la n. 287/2018 del 13.09.2018, nell’annullare un avviso pubblico per l’affidamento dell’incarico di DPO in un’azienda sanitaria, è intervenuta sui requisiti richiesti per ricoprire tale figura.

I giudici amministrativi, in particolare, hanno escluso che un bando pubblico possa richiedere il possesso, in capo al DPO, della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura selettiva.

Infatti, la figura del DPO richiede la scrupolosa conoscenza e applicazione delle norme di legge speciali (europee e nazionali) in materia di tutela dei dati personali e della riservatezza, oltre che, dobbiamo aggiungere, le indicazioni del Garante privacy (almeno) nazionale che periodicamente vengono pubblicizzate anche in forma di pareri giuridici e pubblicati sul sito istituzionale dell’Autorità di vigilanza, che spesso contengono utili – se non cogenti – opinioni circa i modi in cui dare piena garanzia ai diritti dei titolari dei dati.

Ciò che i giudici rilevano, quindi, è la specifica funzione di garanzia insita nell’incarico di DPO, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi tecnici e/o informatici volti a incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni; al contrario, la funzione del DPO è volta alla “tutela del diritto fondamentale dell’individuo alla protezione dei dati personali indipendentemente dalle modalità della loro propagazione e dalle forme, ancorché lecite, di utilizzo”. Tematiche, queste, che non sono garantite dal possesso della certificazione ISO/IEC/27001, i cui programmi di corso sono caratterizzati da una durata particolarmente contenuta (2/5 giorni) per un massimo di 40 ore, dalla netta prevalenza delle tematiche attinenti all’organizzazione aziendale (a discapito dei profili giuridici) e dall’assenza di contenuti riferibili all’attività e alla struttura degli enti pubblici.

Da qui, la conclusione che il nucleo essenziale e irriducibile della figura professionale del Data Protection Officer non può che qualificarsi come eminentemente giuridico.

Circostanza sicuramente da tenere conto visto che, proprio nell’ambito della pubblica amministrazione, può essere designato un unico Data Protection Officer per più enti pubblici o PA, in ragione della loro dimensione e struttura organizzativa. In questi casi, il DPO potrà essere individuato sia tra il personale dipendente in organico, sia tra professionisti esterni all’azienda a cui sarà possibile affidare tale incarico in base a un contratto di servizi.

In entrambi i casi però, il ruolo (che potrà essere rivestito anche da un team di professionisti, non essendoci nel GDPR preclusioni al riguardo) dovrà necessariamente possedere expertise in ambito giuridico.

1 Star2 Stars3 Stars4 Stars5 Stars (4 votes, average: 5,00 out of 5)
Loading...
1 2