Con il GDPR, la "privacy" diventa "data protection"

Il 25 maggio 2018 è una data importante per i cittadini, le istituzioni e le aziende nell'Unione Europea, con possibili conseguenze anche per la Svizzera. In quella data, infatti, è entrata definitivamente in vigore la GDPR (General Data Protection Regulation), la nuova legge europea finalizzata ad armonizzare le singole vecchie leggi sulla tutela della sfera privata dei cittadini dei vari Stati membri dell'UE. Il rischio per chi non si adegua è quello di vedersi applicate le sanzioni del Garante europeo della protezione dei dati (European Data Protection Supervisor) nel caso di mancati adempimenti nei confronti del Regolamento - sanzioni che possono essere anche importanti (fino a 20 milioni di euro oppure fino al 4% della cifra d'affari aziendale globale).

Lo scopo primario della GDPR è di tutelare maggiormente le informazioni che le aziende e le istituzioni raccolgono sui cittadini UE, i quali devono essere esplicitamente informati sulla raccolta dei loro dati personali o sensibili, e sul genere di trattamento che il titolare del dato, ossia l’azienda o istituzione che li raccoglie e li elabora, intende farne. L’intento secondario del Regolatore, ma non meno importante, è di sensibilizzare le aziende ad attuare misure concrete per la protezione dei dati in generale, in questo aggravarsi del contesto di rischio cyber degli ultimi anni.

Ma la GDPR avrà un impatto anche sulle aziende, le istituzioni, e i cittadini nella Confederazione? Nel giorno dell’entrata in vigore della nuova normativa UE, in Aula magna USI (campus di Lugano) si è tenuto un simposio di discussione e informazione organizzata da ated-ICT Ticino, in collaborazione con USI, SUPSI, Clusis e Security Lab, con esperti che hanno declinato il tema nelle sue tre aree fondamentali: Aziende e industrie, Pubblica amministrazione e istituzioni, Sicurezza e cyber defense.

In apertura, la prolusione del Decano della Facoltà di scienze informatiche, il Prof. Antonio Carzaniga, che ha offerto una serie di spunti di riflessione attorno ad alcuni articoli della nuova legge: il Diritto all’oblio, il Diritto di rettifica, il Principio di minimalità, il “Privacy by design”, e il concetto più generale di “dato sensibile”.

In seguito, il Consigliere di Stato Norman Gobbi, direttore del Dipartimento delle istituzioni, ha tenuto una relazione riguardante il settore della Pubblica amministrazione e le istituzioni. Gobbi ha spiegato che la Svizzera, non essendo Stato membro dell’UE, non è vincolata al GDPR, ma intende tuttavia allineare, perlomeno in parte, il proprio diritto per non compromettere gli interessi economici del nostro Paese e la rispettiva libera circolazione dei dati. In ogni caso, Gobbi ha precisato che la GDPR avrà effetti in Svizzera limitatamente alle entità private e pubbliche che agiscono sul mercato europeo alle condizioni definite dal principio di extra-territorialità, e che l’entrata in vigore della legge toccherà essenzialmente l’economia privata.

Sul tema Ricerca e innovazione, che tocca da vicino il settore della formazione accademica (si pensi ai progetti finanziati dai prestigiosi ERC Grant), è intervenuto Zoltan Székely, avvocato e Security Data Protection Officer per diversi progetti di ricerca europei. L’avv. Székely ha illustrato le linee guida di Horizon 2020 (il programma quadro di finanziamento europeo per la ricerca) riguardanti la classificazione delle informazioni e dei dati raccolti per i progetti di ricerca. Con l’introduzione della GDPR, questi dati dovranno essere il più possibile anonimizzati e tenuti unicamente per gli scopi prefissati della ricerca, secondo il principio della ‘minimalità’, che stabilisce che si debbano raccogliere e trattare solo quei dati che servono realmente.

Il simposio si è in seguito chinato sui temi rilevanti per Aziende e industrie, con gli interventi di Zulay Manganaro Menotti, avvocato dell’Unione Europea dal Consejo General de la abogacía Española e docente all’Università Cattolica di Milano; di Rocco Talleri, avvocato e membro della task force dell’Information Security Society Switzerland per la procedura sulla revisione della Legge federale della protezione dei dati; di Paolo Lezzi, CEO di InTheCyber, organizzazione leader nella Cyber Defense e nell’Intelligence per assistere aziende e istituzioni nella verifica della reale efficacia dei sistemi di difesa.

In chiusura, la tavola rotonda di discussione moderata da Alessandro Trivillini, responsabile del servizio di informatica forense SUPSI e rappresentante per la Svizzera nell’Azione “MULTI-Modal Imaging of FOREnsic SciEnce Evidence (MULTI-FORSEE) - Tools for Forensic Science” promossa dal programma intergovernativo di cooperazione europea per la ricerca scientifica e tecnologica COST. Obiettivo principale di quest'Azione è di promuovere soluzioni/tecnologie di imaging innovative, multiformi, utilizzabili sul piano operativo e sfruttabili sul piano commerciale per analizzare le prove forensi.