loader image
Violazione Privacy e Foodinho: commenti a caldo sulla sanzione del Garante

Violazione Privacy e Foodinho: commenti a caldo sulla sanzione del Garante

Perché il Garante della Protezione dei Dati Personali ha sanzionato Foodinho per Violazione Privacy?

La sanzione per Violazione Privacy da 2,6 milioni di Euro a Foodinho, nota società di Food Delivery, comminata recentemente dal Garante della Privacy, è frutto di un provvedimento che possiamo definire storico. Ponendosi come nuovo punto di riferimento per le aziende che offrono servizi interamente digitalizzati nel rapporto con i propri dipendenti, qui rappresentati dalla categoria dei Rider.

È infatti necessario specificare che l’attività ispettiva si è soffermata esclusivamente sul trattamento dei dati personali e della privacy dei Rider per mezzo di applicativi e algoritmi utilizzati da Foodinho dei quali avremo modo di parlare nel prosieguo.

In questo articolo, proveremo dunque ad elencare alcuni spunti utili per comprendere il provvedimento (potete scaricarlo qui), in un’ottica di conformità normativa, analizzando gli elementi che il Garante della Privacy ha investigato con maggiore attenzione oltre ad approfondire le maggiori criticità da esso riscontrate.

L’obiettivo è quello di fornire un quadro chiaro circa lo standard richiesto dall’Autorità in relazione alle violazioni accertate.

 

Violazione Privacy: perché l’Informativa sui Dati Personali non è una mera formalità

Il Garante della Protezione dei Dati Personali si dimostra molto attento al contenuto dell’Informativa Privacy, analizzando punto su punto la presenza dei requisiti richiesti dall’art. 13 e 14 della Normativa Europea sulla Privacy (GDPR), a partire dalla tipologia di dati raccolti.

Foodinho aveva infatti omesso di informare i Rider sull’uso di alcuni dati personali, peraltro molto invasivi. Fra questi: dati relativi alla loro posizione geografica (aggiornata ogni 15 secondi nel corso della fase di consegna dell’ordine); dati riguardanti le comunicazioni via chat, email e telefono con il call center; i feedback da parte di esercenti e clienti sul loro operato.

Ma non è tutto. Grandi carenze sono state riscontrate anche sull’indicazione dei tempi di conservazione dei dati personali (cosiddetta Data Retention).

Frasi generiche (purtroppo ancora diffuse) del tipo: «I dati saranno conservati per il tempo strettamente necessario», non sono più ammesse. Foodinho avrebbe dovuto indicare, per ogni tipologia di dato, il termine finale di conservazione specificando le ragioni a sostegno del periodo di conservazione scelto.

Il Garante della Privacy rileva infatti che «Il titolare non deve limitarsi ad individuare “blocchi” di fasce temporali omogenee», accorpando dati di natura diversa sotto uno stesso periodo di conservazione (per esempio: una generica prescrizione decennale per diverse tipologie di dati).

Per evitare una sanzione per Violazione Privacy è necessario scendere nel dettaglio di ogni singolo dato personale, nessuno escluso.

violazione privacy foodinho sanzione garante rider food delivery

 

Violazione Privacy: massima coerenza tra Registro del Trattamento e Informativa

Il Garante della Privacy si è profuso in un lavoro di raffronto tra Informativa e Registro, per accertare una coerenza generale fra i documenti perno del concetto di accountability.

Dalle righe del provvedimento per Violazione Privacy traspare un messaggio chiaro a tutti i titolari: occorre partire dal registro del trattamento (art. 30 GDPR), da compilare dopo una attenta ricognizione dei dati personali presenti in azienda. Soltanto in un secondo momento si può procedere con la redazione degli altri documenti, informative incluse.

Invece, come molti consulenti accertano quotidianamente, è ancora diffusa la prassi inversa, con la stesura di informative “alla cieca”, senza l’esistenza di un registro che testimoni un’indagine dettagliata sulle attività di trattamento della privacy effettuate in azienda.

Non a caso, nel caso di specie, sono numerose le incongruenze che tradiscono un approccio poco sistemico, anzi a compartimenti stagni: dalle tipologie di dati elencati nel registro e non presenti all’interno delle informative, ai diversi periodi di conservazione fino alle incoerenze accertate sulle ragioni poste a sostegno dell’utilizzo di certi dati.

 

Violazione Privacy: la valutazione di impatto non può mancare!

Sorprende e non poco l’assenza di una valutazione di impatto sui rischi di Violazione Privacy della piattaforma utilizzata da Foodinho per gestire il rapporto lavorativo con i Rider.

Ricordiamo infatti, che la piattaforma – come ha accertato il Garante della Privacy – effettua complesse attività di profilazione volte ad analizzare la performance lavorativa dei Rider che autorizza o nega il loro inserimento in determinate fasce d’orario ad alta domanda, in cui sono maggiori le richieste di consegna.

Vedremo, poi, che il punteggio viene calcolato per mezzo di un algoritmo (denominato “Sistema d’Eccellenza”), ma qui il punto centrale da rimarcare è la profilazione dei Rider, che di per sé fa scattare l’obbligo della redazione di una valutazione di impatto ai sensi dell’art. 35 GDPR pgf. 3, trattandosi di una «valutazione sistematica e globale di aspetti personali» riguardante il rendimento professionale dei Rider.

Non può essere certo accolta, invece, la difesa di Foodinho contro la Violazione Privacy che, su un punto, si dimostra davvero inconsistente sostenendo che, la valutazione di impatto non sarebbe necessaria in quanto la piattaforma e la profilazione non potrebbero definirsi “nuove tecnologie”.

Il Garante ha giustamente respinto questa tesi, affermando che «il carattere innovativo della tecnologia utilizzata risulta evidente […] tenuto conto anche dell’ambito di applicazione e del contesto di riferimento (i.e. lavoro tramite piattaforma digitale), dell’espansione crescente dei settori del mercato interessati, dell’evoluzione del fenomeno della cosiddetta “Gig economy”».

 

Gli Algoritmi e Violazione Privacy: le possibili discriminazioni

Gli accertamenti del Garante Privacy hanno portato alla luce un sistema di valutazione dei Rider fortemente discriminatorio, perché basato su una logica che tiene conto esclusivamente dei feedback negativi degli utenti.

Nel video qui allegato, l’Avvocato Andrea Baldrati spiega con un esempio quale può essere la portata discriminatoria di un tale sistema di scoring. Sul punto l’Autorità è molto chiara quando dice che «il punteggio, variato solo a seguito di feedback negativi e non incrementato a seguito di feedback positivi, subisce un effetto penalizzante derivante da un maggior peso assegnato al feedback negativo».

Parlando di Violazione Privacy, c’è poi il tema legato alle tutele previste dal GDPR nel caso in cui si faccia uso di algoritmi che generano decisioni automatizzate (lo scoring del Rider) con effetti giuridici rilevanti (maggiori o minori occasioni di lavoro a seconda della fascia di lavoro assegnata).

In via generale, infatti, l’interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato. Una regola generale che dovrebbe dunque applicarsi anche alle decisioni effettuate dal Sistema di Eccellenza utilizzato da Foodinho.

Alla regola generale sono previste però delle eccezioni, come nell’ipotesi in cui la decisione dell’algoritmo sia necessaria per la conclusione o esecuzione di un contratto tra titolare e interessato.

Foodinho ha infatti precisato che il SIstema di Eccellenza rientrerebbe in tale eccezione costituendo un elemento funzionale all’esecuzione del contratto di lavoro del Rider, che, con il punteggio ottenuto, viene così assegnato ad una determinata fascia di orario in cui è abilitato alle consegne.

Se si applica una delle eccezioni previste, il legislatore europeo richiede però – come contrappeso – una serie di tutele a favore dell’interessato per arginare possibili derive discriminatorie. Fra queste, il diritto di ottenere l’intervento umano, di esprimere una opinione o di contestare la decisione algoritmica.

Il Garante Privacy non ha rilevato l’esistenza di nessuno tra i meccanismi di tutela previsti dalla normativa, che ha l’obiettivo di porre l’interessato nelle condizioni di opporsi o, quantomeno, di mettere in discussione la decisione automatizzata dall’algoritmo.

 

Violazione Privacy e l’importanza di avere un DPO competente

Se qualche imprenditore ha la pazienza di leggersi l’intero provvedimento in materia di Violazione Privacy si renderà conto di quanto sia importante avere un DPO competente e una squadra di consulenti privacy all’altezza del compito. In alcune aziende, giungere ad una situazione di conformità richiede tempo, investimenti e grandi competenze.

Il provvedimento del Garante Privacy ce lo ricorda quando approfondisce anche il singolo trattamento di dati personali, quando si ferma su un singolo requisito.

La profondità di questa materia non può essere lasciata all’improvvisazione e il consulente o il DPO deve essere messo nelle condizioni di sapere tutto dell’azienda. Solo così potrà fornire la consulenza necessaria per raggiungere gli alti standard richiesti dal Garante Privacy in sede ispettiva.

Licenze Creative Commons: come proteggere legalmente un’idea su Internet?

Licenze Creative Commons: come proteggere legalmente un’idea su Internet?

Licenze Creative Commons: ecco come proteggere la proprietà intellettuale e la creatività nell’era di Internet e della condivisione delle idee

Nell’era di Internet il processo creativo si alimenta grazie alla condivisione delle idee. I Social Network ne sono l’esempio più concreto.

Quindi come proteggere la proprietà intellettuale e come proteggere legalmente un’idea senza interrompere questo flusso di condivisione che, in molti casi, è fonte di guadagno per chi lo ha generato?

La risposta risiede in un nuovo paradigma del diritto d’autore, che ribalta gli schemi su cui sono da sempre fondate le normative del settore. Si parla al riguardo di “Permesso d’autore” o “Copyleft”, proprio per sottolineare il superamento del vecchio concetto di “Copyright”, non più adatto all’era di internet.

L’espressione Copyleft è ormai associata alle licenze “Creative Commons”, ideate dall’organizzazione statunitense “Creative Commons Foundation”.

L’obiettivo è di predisporre licenze d’uso simili a quelle già utilizzate nel campo delle licenze del software libero, allineandosi così ai principi base del web da sempre fondato sulla libera circolazione di idee.

 

Licenze Creative Commons: come funzionano?

Le Licenze Creative Commons rappresentano un ibrido fra due mondi opposti: quello del diritto d’autore e del pubblico dominio, entrambi inadatti, per ragioni diverse, a gestire la proprietà intellettuale nell’era di internet.

Da un parte il diritto d’autore, con le sue norme restrittive che prevedono poche ipotesi di fair use, intese come circostanze in cui un’opera, sia pure soggetta a copyright, possa essere riprodotta sulla base di particolare cause di giustificazione (esempio: uso didattico).

Dall’altro, il pubblico dominio, limitante di per sé perché generalmente connesso ad opere del passato, ma in ogni caso non tutelante per il creatore dell’opera o del contenuto che ne perde interamente il controllo.

Le Licenze Creative Commons si pongono in mezzo a questi due mondi: con esse l’autore decide di rinunciare volontariamente alla parte patrimoniale del copyright (quindi al compenso derivante direttamente da questa rinuncia), e allo stesso tempo mette a disposizione della collettività la sua opera fissando però alcune condizioni del suo utilizzo.

Sono proprio queste condizioni che vanno a comporre le Licenze Creative Commons in una serie di clausole, creando una struttura modulare adattabile alle specifiche esigenze.

 

licenze creative commons

 

 

Licenze Creative Commons: quali sono le sue clausole?

Nello specifico le clausole delle Licenze Creative Commons sono 4, di cui una necessaria (quindi sempre presente) e le altre 3 facoltative in relazioni a quali sono le restrizioni scelte dal licenziante.

  • CLAUSOLA DI ATTRIBUZIONE (sigla “BY”): è, come detto, la clausola necessaria che consiste nell’obbligo, per chi riproduce l’opera, di “riconoscere una menzione di paternità adeguata”. In linea generale andrà citato il nome dell’autore e il titolo dell’Opera, se indicato. Inoltre, sarà onere di chi utilizza l’opera non lasciare intendere che vi sia un qualche avallo dell’autore all’uso a cui si sta destinando l’opera. Quest’obbligo è comprensibile se si pensa al concetto stesso di Copyleft: l’autore non ha più il pieno controllo sull’uso che verrà fatto dell’opera, che potrebbe essere ad esempio accostata a prodotti e servizi non conformi alla sua sensibilità o al suo gusto.

 

  • CLAUSOLA NON COMMERCIALE (sigla “NC”): è la prima clausola facoltativa, che permette il riutilizzo dell’opera a condizione che ciò non avvenga per fini di lucro. Quindi non sarà concesso l’utilizzo di una foto con clausola NC all’interno della copertina di un libro venduto su un marketplace. Esiste però una eccezione per le opere musicali, laddove però si ottenga il consenso dell’autore e si proceda con il pagamento di un compenso. Una fattispecie che evidentemente richiama i canoni classici del Copyright.

 

  • CLAUSOLA “SHARE ALIKE” (sigla “SA”): traducibile con l’espressione “Condividi allo stesso modo” per cui se si modifica o trasforma il materiale, il nuovo contributo dovrà essere distribuito con la stessa Licenza Creative Commons dell’opera originaria. Si dovrà poi fare esplicita menzione delle modifiche effettuate. Per esempio in caso di traduzione si dovrebbe apporre la dicitura “questa è la traduzione in Inglese dell’Opera Originaria”.

 

  • CLAUSOLA “NON OPERE DERIVATE” (sigla “ND”): in questo caso non sono ammesse modifiche: l’opera dovrà essere sempre distribuita nella sua forma originale e sono vietate restrizioni aggiuntive come nuovi vincoli giuridici o misure tecnologiche che hanno l’effetto di generare altrettanti vincoli giuridici. Per ovvi motivi questa clausola è incompatibile con quella precedente.

 

 

Licenze Creative Commons e “Copyleft” personalizzato

Sarà quindi importante comporre attentamente la Licenza Creative Commons, scegliendo le clausole più adatte allo scopo di condivisione e distribuzione che vogliamo perseguire con la concessione d’uso delle nostre opere.

A tal fine, lo Studio Legale è in grado di seguire e consigliare il cliente nella selezione delle clausole, con l’importante precisazione che le Licenze Creative Commons non rappresentano l’unico Copyleft possibile.

L’autore infatti è libero di creare un “Copyleft” personalizzato, a patto che i termini per la licenza d’uso delle opere siano trascritte all’interno del sito web o della piattaforma digitale in cui le stesse opere sono diffuse, così da rendere informati gli utenti sulle loro condizioni di utilizzo.

Regolamento Europeo sull’Intelligenza Artificiale: tutti i rischi e le opportunità

Regolamento Europeo sull’Intelligenza Artificiale: tutti i rischi e le opportunità

Introduzione al nuovo Regolamento Europeo sull’Intelligenza Artificiale

Con la recente proposta del Regolamento Europeo sull’Intelligenza Artificiale, l’Unione Europea mette ancora una volta al centro la valutazione dei rischi come procedura necessaria per comprendere l’impatto che avranno i sistemi di Intelligenza Artificiale su tre fronti: salute, sicurezza e diritti fondamentali.

In questo articolo cercheremo di capire quali sono i principali rischi connessi all’uso dei sistemi di Intelligenza Artificiale; rischi che, come richiesto dalla recente normativa europea, dovranno essere valutati, a vario titolo e responsabilità, da chi progetta, distribuisce e utilizza tali sistemi IA, mediante una valutazione di conformità.

Introduciamo quindi alcuni dei rischi principali che possono compromettere la correttezza e l’equità delle decisioni algoritmiche.

piramide del risk based approach gdpr

 

Regolamento Europeo sull’Intelligenza Artificiale: valutare le vulnerabilità operative e i rischi cyber

Oltre a guasti meramente tecnici, una decisione errata dell’algoritmo può essere il frutto di una violazione di sicurezza informatica.

Il Data Poisoning (inquinamento dei dati) è un esempio di violazione, tra le più frequenti e temute, perché in grado di compromettere l’accuratezza di un sistema di machine learning, producendo output distorti o alterati per mano di hacker esperti del settore.

La diffusione di questa tecnologia dipenderà in gran parte dalla fiducia che saprà generare tra gli utenti finali: diventa quindi centrale dotarsi di sistemi IA affidabili e resilienti.

 

Algoritmi di Intelligenza Artificiale: rischio di bias e di decisioni inique

Partiamo da una premessa, che spesso viene tralasciata. Gli algoritmi sono modelli statistici e come tali si affidano al concetto di probabilità. Se a ciò aggiungiamo l’enorme mole di decisioni che gli algoritmi, grazie alle odierne capacità computazionali, sono in grado di elaborare, si può intuire la ragione per cui alcune di queste decisioni siano – inevitabilmente – errate.

Fra le cause di questi errori si annoverano i cosiddetti bias, intesi come pregiudizi o stereotipi che l’algoritmo “impara” nella fase di addestramento (training).

I dati, ancora una volta, giocano un ruolo chiave. In molti casi, infatti, gli algoritmi identificano patterns o correlazioni tra i dati di training senza l’ausilio dell’uomo e, anzi, identificano correlazioni che non avremmo mai potuto immaginare.

In seguito, usano quell’informazione per generare predizioni o creare categorie (cosiddetti Cluster). E in questo esercizio continuo diretto alla creazione di categorie, cluster e gruppi si annida, per ovvie ragioni, il rischio di generare discriminazioni e stereotipi.

Dunque, è chiaro che l’accuracy di un algoritmo, cioè la capacità di fare predizioni corrette (sia in termini di percentuale di errori, sia in termini di equità sotto il profilo etico), dipende proprio dalla qualità e quantità dei dati di training.

Questo significa che ogni sistema di Intelligenza Artificiale riflette le eventuali limitazioni dei dati utilizzati. È quindi fondamentale affidarsi a Data Set rappresentativi per il tipo di azione o decisione che intendiamo demandare all’algoritmo.

Fin dall’inizio occorre quindi pensare a come migliorare il set di dati a disposizione, progettare il modello tenendo conto di eventuali lacune (cosiddetto Data Gaps), e alla luce delle lacune riscontrate, limitare il raggio d’azione e le modalità di utilizzo del sistema d’Intelligenza Artificiale.

Poniamo che un’azienda di dispositivi medici sviluppi un proprio sistema di Machine Learning utilizzando dati di training provenienti da strutture ospedaliere situate in grandi metropoli.

Una volta immesso sul mercato, quel sistema però viene utilizzato anche in ospedali di piccole città. A quel punto, è molto probabile che i dati medici inseriti dagli operatori sanitari presenti in quelle strutture siano diversi dai precedenti dati di training; perché, ad esempio, nelle piccole città vi può essere una maggiore concentrazione di pazienti appartenenti a determinate categorie sociali che presentano sintomi o patologie non comunemente osservate negli ospedali dei grandi centri urbani.

Queste disparità dovranno essere mitigate con una attenta fase di messa a punto dell’algoritmo (cosiddetto Fine Tuning); un altro tema su cui il Regolamento IA dimostra grande attenzione, perché rappresenta un tassello decisivo nella implementazione di Sistemi di Intelligenza Artificiale adeguati ed equi rispetto al contesto socio-economico in cui vengono utilizzati.

regolamento europeo intelligenza artificiale algoritmi

 

Regolamento Europeo sull’Intelligenza Artificiale e Algoritmi: i rischi legati all’Aggiornamento Dinamico

Il rischio di bias o, in generale, di decisioni e output non corretti (come potrebbe essere l’errata diagnosi di un algoritmo deputato a identificare possibili tumori) è accentuato dalla capacità degli attuali algoritmi di aggiornarsi autonomamente, in relazione a nuovi input che riceve nel corso del suo utilizzo.

Sono dunque in grado di imparare da soli, senza l’intervento dell’uomo, assorbendo nuovi informazioni fino a cambiare la logica delle loro decisioni.

Si pensi ad un algoritmo di Machine Learning utilizzato in ambito di Trading. Se è stato allenato in un periodo di bassa volatilità del mercato e di crescita economica, potrebbe poi non essere performante laddove invece l’economia dovesse affrontare un periodo di pandemia e di forte recessione, come quello che stiamo vivendo.

Si parla, al riguardo, di rischio legato all’aggiornamento dinamico; un aspetto davvero complicato da prevedere e monitorare, soprattutto quando il cambiamento è inatteso o repentino (come appunto una crisi economica mai verificatasi prima nella sua entità o nelle sue logiche).

Di fronte a questi nuovi input, diversi da quelli forniti in fase di training, quale potrebbe essere la reazione dell’algoritmo? Quali potranno essere le sue decisioni?

È inoltre probabile che la logica possa cambiare proprio in ragione di quello che l’algoritmo ha imparato in seguito all’acquisizione di nuove e inedite informazioni. Ma a quel punto sapremo ancora spiegare la logica dell’algoritmo o questa sfuggirà al nostro controllo? E così arriviamo al prossimo rischio.

 

Regolamento Europeo sull’Intelligenza Artificiale e Algoritmi: i rischi legati alla spiegabilità dell’algoritmo e la mancanza di trasparenza

La spiegabilità dell’algoritmo è un elemento imprescindibile, già richiesto dalla Normativa Europea sulla Privacy (GDPR, art. 22), che deve essere affrontata su 2 livelli:

  • Spiegabilità dell’algoritmo generale: lo sforzo è quello di offrire una panoramica generale sulle logiche di funzionamento dell’algoritmo. La grande sfida sarà quella di raggiungere un equilibrio tra comunicazione esterna delle logiche dell’Intelligenza Artificiale e di protezione interna dei segreti commerciali. Ma le aziende non potranno nascondersi dietro lo scudo della proprietà intellettuale o industriale per non adempiere a questo requisito.
  • Spiegabilità dell’algoritmo locale: intesa come capacità di spiegare ogni singola decisione dell’Intelligenza Artificiale (input-output). Dal concetto di spiegabilità dell’algoritmo discendono principi di democrazia fondamentali, fra tutti quello della trasparenza. Ogni cittadino ha il diritto di conoscere le ragioni di una decisione automatizzata e deve essere messo nelle condizioni ottimali per farli. Solo così avrà i mezzi per difendersi ed eventualmente proporre un reclamo.

regolamento europeo intelligenza artificiale algoritmi e robot

 

Aggiornamento Dinamico dell’Algoritmo: e se la valutazione del rischio è obsoleta?

L’aggiornamento dinamico di cui abbiamo parlato in precedenza conduce ad un nuovo e possibile rischio: che il Risk Assessment effettuato un anno fa o, anche solo, qualche mese prima non sia più affidabile perché non tiene conto delle nuove informazioni apprese dall’algoritmo, o di nuovi patterns o correlazioni che l’algoritmo utilizza per adottare le sue decisioni.

Non a caso la recente proposta di Regolamento Europeo sull’Intelligenza Artificiale si sofferma a lungo sul concetto di monitoraggio ex post dei sistemi IA, per valutarne la performance anche in una fase successiva alla loro immissione sul mercato.

Diversamente, avremo una valutazione del rischio non aggiornata e sostanzialmente inutile: di fatto senza conoscere il rischio attuale ed effettivo, non avremo a disposizione gli elementi valutativi necessari per adottare le più adeguate misure tecniche e organizzative rispetto al caso specifico.

 

Il rischio nella filiera dell’Intelligenza Artificiale

La complessità degli algoritmi di Machine Learning rende altrettanto complessa l’individuazione dell’agente responsabile in caso di decisioni errate o di guasti “tecnici”.

Spesso non è chiaro cosa abbia determinato l’errore, e dunque se debba risponderne lo sviluppatore, un suo partner, il distributore oppure l’utente finale che, magari, non ha seguito le istruzioni prescritte da chi ha progettato il sistema.

Gli errori potrebbero poi essere causati da un problema interno al modello algoritmico, oppure connesso ai dati forniti dall’utente nel corso del suo utilizzo o, ancora, ai dati raccolti e utilizzati nella fase di training, che a sua volta potrebbero provenire da fornitori di terze parti.

La natura probabilistica dei sistemi di Machine Learning e i cambiamenti a cui essi sono soggetti nel corso del tempo, rende ancora più difficile attribuire la responsabilità ad un singolo agente. Tanto è vero che errori e decisioni inique possono verificarsi anche in assenza di una condotta negligente, perché semplicemente esiste la possibilità che si verifichi una decisione inesatta.

Dunque, il concetto di responsabilità civile e penale in ambito di Intelligenza Artificiale sarà complesso da elaborare e dovrà necessariamente essere un concetto “fluido”, capace di adattarsi alle novità tecnologiche. Il contesto medico è un esempio dell’impatto che avranno su questo fronte i Sistemi IA, che già oggi formulano diagnosi senza il coinvolgimento – o con un coinvolgimento solo parziale – dei medici.

Come è stato giustamente sottolineato in un recente articolo apparso sulla nota rivista “Harvard Business Review”, cosa accadrà nell’ipotesi in cui un algoritmo di Machine Learning consigli un trattamento non standard ad un paziente (come un dosaggio maggiore di farmaci)? La normativa evolverà nel senso di ritenere responsabile il medico per qualsiasi danno che dovesse concretizzarsi qualora non seguisse la raccomandazione del sistema IA?

Se così fosse, il rischio di responsabilità si sposterebbe, a seconda dei casi, dal medico a chi sviluppa i dispositivi medici o a chi è deputato alla loro installazione o distribuzione.

Ed è questo l’orientamento a cui sembra tendere il Regolamento Europeo sull’Intelligenza Artificiale, volto ad istituire un approccio di self-assessment per i soggetti coinvolti a vario titolo nella realizzazione e distribuzione di questi sistemi. Dunque tutto passa da una auto-valutazione dei rischi che avrà forti ricadute sul tema della responsabilità.

 

Verso il Regolamento Europeo sull’Intelligenza Artificiale

La proposta di Regolamento Europeo IA è già una realtà, nel senso che la strada è ormai tracciata.

Le aziende che progettano o utilizzano sistemi IA dovrebbero già implementare i principi di quel Regolamento, facendosi affiancare da professionisti qualificati per comprenderne i suoi requisiti, in particolare con riguardo ai sistemi ad alto rischio (nel video di seguito trovate una nostra analisi al riguardo).

La ragione è semplice: i principi dettati dall’Unione Europea stanno già facendo scuola e saranno lo standard futuro. Ogni nuova proposta regolatoria sembra infatti andare nella direzione imposta dall’UE, all’insegna della auto-regolamentazione e di un approccio basato sul rischio.

La stessa Federal Trade Commission (FTC), l’agenzia governativa statunitense a tutela dei consumatori e del mercato, ha da poco pubblicato le linee guida per una IA più equa, definendo il discrimine tra una intelligenza artificiale “buona” e un’altra per così dire “cattiva”, che genera più danni che benefici.

In quella sede sono stati ribaditi concetti chiave, già presenti nel Regolamento Europeo sull’Intelligenza Artificiale, come quello di trasparenza, da integrare programmando audit di organi indipendenti o fornendo accesso ai dati o al codice a favore di soggetti esterni.

 

Farsi trovare pronti con il Regolamento Europeo sull’Intelligenza Artificiale

L’Intelligenza Artificiale ha un potenziale enorme, ma i rischi connessi al suo utilizzo aumenteranno di pari passo alla sua diffusione. Per le aziende, mitigare questi rischi diventa importante tanto quanto gestirne la sua adozione all’interno dei processi produttivi.

Il trend normativo è infatti molto chiaro e non lascia spazio a dubbi: la valutazione del rischio è già ora un requisito fondamentale e sarà il caposaldo di ogni conformità normativa in ambito di intelligenza artificiale.

Il nostro Studio Legale ha acquisito una forte competenza in questo settore, elaborando una propria metodologia che tiene conto dei rischi specifici rispetto al singolo sistema di Intelligenza Culturale. Per essere pronti e competitivi in questo mercato, occorre partire da una valutazione dei rischi completa, in grado di offrire soluzioni concrete per mitigarli. Solo così avremo sistemi IA equi, affidabili e resilienti, capaci di creare fiducia tra gli utenti.

Attacchi a Doppia Estorsione: ecco i nuovi Virus Ransomware

Attacchi a Doppia Estorsione: ecco i nuovi Virus Ransomware

Virus Ransomware: gli Attacchi a Doppia Estorsione

Le minacce di cyber security sono in continua evoluzione e questo obbliga le aziende ad un continuo monitoraggio e aggiornamento dei propri sistemi di difesa.

Nell’ultimo periodo si sta assistendo alla crescita esponenziale di un nuovo fenomeno di virus informatici: quello degli Attacchi Ransomware a Doppia Estorsione.

 

 

Intervista a Luca Mella su gli Attacchi a Doppia Estorsione

Per approfondire il tema, di assoluta attualità, abbiamo interpellato il Dott. Luca Mella, esperto di information security e creatore della piattaforma doubleextortion.com con cui monitora l’andamento di questo fenomeno anche per sensibilizzare aziende e opinione pubblica.

 

attacco ransomware doppia estorsione double extortion luca mella

 

 

Dott. Mella, nella sfera dei Virus Ransomware, ci potrebbe definire il fenomeno della Doppia Estorsione? In cosa consiste e qual è la sua specificità?

Ad oggi il fenomeno della Doppia Estorsione – o Double Extortion – è uno dei principali fattori di rischio cibernetico per le aziende.

Si tratta di una estorsione digitale, un atto criminale portato a termine da organizzazioni criminali strutturate, in molti casi vere e proprie enterprise del cyber crimine.

Le Doppie Estorsioni sono un tipo di attacco cibernetico complesso e quando colpiscono mettono in crisi l’azienda su due versanti:

  1. distruggendo i dati o cifrandoli con Ransomware (rendendoli quindi di fatto inutilizzabili);
  2. rubando ogni tipo di dato dall’azienda, dalle informazioni sui clienti a quelle sui dipendenti, fino ai segreti industriali.

L’obiettivo di questi attacchi è spesso monetario: chi attacca vuole ottenere profitto in ogni modo possibile. Attraverso il progetto doubleextortion.com tengo traccia dei principali attacchi a Doppia Estorsione e lo scenario è molto preoccupante: è un problema enorme sia per le grandi aziende sia per le PMI di appena 20 dipendenti.

 

 

Quali sono i possibili impatti negativi degli Attacchi a Doppia Estorisione sull’operatività di un’azienda?

Gli impatti sull’azienda sono molto più che operativi. Certo l’operatività è il primo problema imminente che l’azienda si trova ad affrontare. Dopo un attacco di questo tipo gran parte dei sistemi non sono funzionanti, le fatturazioni e gli ordini sono fermi, l’erogazione dei servizi o della produzione è bloccata.

È molto facile immaginare quali siano i costi diretti in questo senso. Molte aziende però non immaginano quali altri effetti possano scaturire.

Oggi le nuove Regolamentazioni Privacy impongono livelli di protezione e reazione alla minaccia che siano adeguate alla tipologia di dati personali trattati. Le ispezioni del Garante Privacy sono una conseguenza reale (e prevista dallo stesso GDPR), alla pari dei suoi provvedimenti; dunque la mancanza di documentazione, analisi dell’accaduto, azioni di risposta e notifiche agli interessati sono fattori decisivi per evitare pesanti sanzioni.

Ancor più complicata è la situazione per le aziende che collaborano in contesti con Pubbliche Amministrazioni o all’interno di ecosistemi aziendali complessi, di Holding internazionali o Gruppi Industriali. Anche se l’azienda colpita è relativamente piccola, ci sono fortissime pressioni da parte delle società controllanti ed in queste situazioni, la logica della “polvere sotto il tappeto”, cioè di nascondere eventuali violazioni di sicurezza, può avere effetti disastrosi nei rapporti fiduciari creatisi nell’arco di anni o decenni.

hacker e attacchi a doppia estorsione virus ransomware

 

Quali sono i trend in atto o quelli futuri in ambito di Double Extortion?

Il modello di business dietro gli Attacchi a Doppia Estorsione funziona. I gruppi criminali lo hanno capito bene e l’intensità degli attacchi aumenta con costanza. Tuttavia, il fenomeno non è affatto statico.

Diversi gruppi criminali stanno sperimentando ulteriori evoluzioni, vere e proprie pratiche nocive per aumentare il danno e la pressione sulle vittime.

Ad esempio uniscono il furto di dati personali ad attacchi a Doppia Estorsione in grado di oscurare i siti web pubblici aziendali, così da rendere evidente a tutti che è in corso una violazione dei sistemi.

Altri gruppi invece prendono contatti con la stampa locale per attivare una campagna del “fango” nei confronti dell’azienda colpita. Una situazione molto complessa che mette sotto pressione i vertici aziendali e richiede sangue freddo e preparazione nella comunicazione, pena effetti sul brand e sulla fiducia da parte di clienti e fornitori.

Altri criminali – infine – contattano direttamente i clienti dell’organizzazione, per far sapere loro che i dati verranno pubblicati se l’azienda non collabora. In questo caso la pressione “viene dal basso”, cioè dalla propria base di clienti che può produrre decisioni aziendali affrettate perché prese di pancia, senza valutare gli effetti reali della violazione.

 

 

Virus Ransomware: come difendersi gli Attacchi a Doppia Estorsione?

Le minacce informatiche sono sempre più sofisticate e in continuo aumento. In questo precedente articolo avevamo già riportato il dato eclatante secondo cui nel 2020 erano state registrate più violazioni di dati personali rispetto alla somma dei precedenti 15 anni.

E il fenomeno della Doppia Estorsione si inserisce in questo contesto di criticità, che le aziende non possono più ignorare. Purtroppo, tutti i dati attuali ci suggeriscono che non è più questione di “se”, ma di “quando” l’azienda subirà un attacco informatico.

L’obiettivo è dunque quello di essere pronti, mitigando i rischi connessi ad una possibile violazione, grazie ad un sistema di gestione dei dati personali – e non – conforme alla Normativa Europea sulla Privacy e agli standard di sicurezza richiesta per la tipologia di informazioni che si possiedono.

Se sei interessato a conoscere il livello di protezione della tua azienda e desideri approfondire il tema, lo Studio Legale è a disposizione per un primo incontro conoscitivo allo scopo di capire qual è lo stato attuale e valutare tutte le misure tecniche e organizzative necessarie per raggiungere il livello di conformità richiesto dalle normative vigenti.

Attacco Ransomware: cosa fare per proteggere la tua azienda?

Attacco Ransomware: cosa fare per proteggere la tua azienda?

Attacco Ransomware: cos’è e cosa fare?

L’Attacco Ransomware è ormai diventata una minaccia costante alla sicurezza informatica delle aziende, con effetti sulla integrità dei dati critici in suo possesso: dalle email, ai dati di dipendenti o clienti, fino ai dati finanziari aziendali o di terzi.

Secondo un recente studio di Cybersecurity Ventures ogni 11 secondi un dipendente clicca su un link o apre un allegato di un’e-mail solo apparentemente innocua, mettendo invece in azione il ransomware e dando il via ad uno scenario catastrofico per l’organizzazione. Calcoli alla mano, significa che ogni giorno quasi 8.000 aziende in tutto il mondo sono colpite da questa minaccia.

È quindi fondamentale che le organizzazioni siano oggi in grado di rilevare e rispondere ad un attacco Ransomware per evitare gli impatti devastanti che lo stesso può avere sull’operatività aziendale.

Se volessimo partire dalla sua definizione, il Ransomware è un codice malevolo di crittografia (quindi un tipo di malware) che, una volta infettato un device o un server collegato ai sistemi informatici aziendali, ne blocca il loro accesso.

Successivamente, l’attaccante chiede un riscatto (Ransom) in cambio del codice che può ripristinare l’accesso ai sistemi.

È un attacco generalmente classificato in termini di violazione della disponibilità dei dati, in quanto gli stessi sono resi inaccessibili dal Ransomware, ma spesso potrebbe verificarsi anche una violazione della riservatezza, se i dati vengono esfiltrati, cioè esportati dall’attaccante e divulgati a terzi (qui potete trovare anche la definizione del NIST, una delle massime autorità del settore).

Ora analizziamo due scenari diversi in relazione ad un attacco Ransomware, tratti dalle recenti Linee Guida del Garante Privacy Europeo in tema di violazione dei dati, di cui abbiamo parlato anche in un articolo del nostro Blog.

 

 

Scenario 1: Attacco Ransomware ai server di un’azienda manifatturiera

I sistemi informatici di una piccola azienda manifatturiera sono stati esposti ad un attacco Ransomware che ha colpito i server principali.

I dati personali conservati nei server risultano protetti da algoritmi crittografici di ultima generazione e la chiave di decodifica (cosiddetta decryption key) non è stata compromessa durante l’attacco.

L’azienda è dotata di un sistema di file Log in grado di tracciare tutti i flussi di dati in uscita che le permette, nelle ore successive al Data Breach, di appurare con certezza che l’attaccante non è riuscito ad esfiltrare alcun dato.

Inoltre, l’accessibilità ai dati viene immediatamente ripristinata grazie alla presenza di un backup che limita qualsiasi danno all’operatività aziendale.

 

 

Attacco Ransomware: valutazione del rischio specifico

In questo esempio, l’aggressore ha avuto accesso ai dati personali ma la crittografia utilizzata dall’azienda li rende illeggibili a terzi non autorizzati. Pertanto i rischi di riservatezza sono mitigati.

Anche gli effetti connessi alla indisponibilità dei dati colpiti da Ransomware sono stati attenuati grazie alla precedente implementazione di un sistema di backup che ha salvato la continuità del business aziendale.

Infine, le conseguenze per gli interessati sono di entità trascurabile poiché tutto è stato ripristinato in poche ore e non si sono verificati effetti significativi nella gestione, ad esempio, delle commesse ricevute o nel calcolo del monte ore per i pagamenti dei dipendenti.

 

 

Attacco Ransomware: cosa fare in azienda?

A seguito di un’attenta valutazione, l’azienda deve stabilire entro 72 ore il livello di rischio connesso al Data Breach. In questo caso, si conclude che non vi sono rischi per i diritti e le libertà delle persone fisiche, per cui non è necessaria alcuna notifica nei confronti del Garante Privacy.

Resta però l’obbligo di annotare la violazione nel registro Data Breach, ai sensi dell’art. 33 pgf. 5 GDPR, in conformità al principio di accountability che richiede di specificare le motivazioni della mancata notifica.

 

hacker e attacco ransomware

 

 

Scenario 2: Attacco Ransomware ai dati personali di un’azienda di trasporto pubblico

Il server di un’azienda di trasporto pubblico è stato esposto a un attacco Ransomware. Secondo i risultati dell’indagine effettuata internamente, l’autore è riuscito ad esfiltrare i dati personali archiviati nel server.

Tra i dati violati si annoverano quelli dei dipendenti e di migliaia di clienti che utilizzano i servizi dell’azienda. La violazione non si limita a dati anagrafici, ma anche a dati finanziari relativi a carte di credito. Nel corso dell’attacco, l’aggressore è riuscito anche a crittografie l’unico backup esistente, rendendolo di fatto inutilizzabile.

 

 

Attacco Ransomware: valutazione del rischio specifico

Sebbene fosse in atto un sistema backup, questo è stato colpito dall’attacco. Il che fa sollevare dubbi sulla qualità delle misure IT implementate dall’azienda, dato che il backup dovrebbe essere sempre separato dal server principale, per evitare un suo coinvolgimento durante l’attacco.

La violazione riguarda non solo la disponibilità dei dati personali ma anche la loro riservatezza, perché l’aggressore – dopo l’esfiltrazione – può copiare e modificare i dati a piacimento. Inoltre la natura e il volume dei dati violati depone per un rischio assolutamente elevato. Oltre ai dati anagrafici sono coinvolti anche dati finanziari che espongono i clienti a possibili tentativi di frode.

 

 

Attacco Ransomware: cosa fare in azienda?

A questo punto diventa obbligatoria la notifica al Garante Privacy, ma allo stesso è necessaria un’immediata comunicazione a dipendenti e clienti interessati (anche per raccomandare il blocco della carta di credito). Questa eventualità è la più drammatica per una azienda, a livello di immagine e reputazione, in quanto rende palese la sua inidoneità a proteggere i dati personali dei propri clienti (Proprio sugli effetti negativi di un Data Breach in termini di danno di immagine, abbiamo scritto un approfondimento a questo link).

Sarà poi necessaria una attenta ricognizione delle misure di sicurezza, per innalzare il livello di protezione in ottica futura, a partire da una separazione logica del backup.

 

 

Attacco Ransomware: come proteggersi?

Dall’analisi dei due scenari emerge l’importanza di misure di sicurezza preventivi, per mitigare i rischi di riservatezza, integrità e disponibilità dei dati personali, che se concretizzati possono avere effetti irreversibili.

Per questo motivo, nella nostra attività di consulenza per la conformità al GDPR, predisponiamo un documento sulle misure di sicurezza implementate dall’azienda, segnalando possibili miglioramenti per raggiungere uno standard di protezione elevato.

Inoltre, per reagire ad un Data Breach nei tempi brevi richiesti dalla normativa è altrettanto utile dotarsi di un “Incident Response Plan”, vale a dire una procedura che chiarisca chi deve intervenire e quali attività devono essere fatte negli istanti successivi (e decisivi) di un Data Breach.

 

 

Hai avuto problemi o riscontrato minacce Ransomware?

Se desiderate approfondire la questione valutando una nostra consulenza, lo Studio Legale è disponibile ad una primo incontro conoscitivo per valutare lo stato di sicurezza attuale dell’organizzazione, fornendovi un preventivo ad hoc per la vostra realtà volto a raggiungere il livello di protezione dei dati richiesto dalla Normativa Europea sulla Privacy.

 

Normativa sulla Privacy: perché dal 2021 sarà più importante?

Normativa sulla Privacy: perché dal 2021 sarà più importante?

Ecco le ragioni per cui la Normativa sulla Privacy non è più un’opzione

Il rapporto annuale di Clusit (realtà italiana di riferimento nella sicurezza informatica e sulla normativa sulla privacy), già nel 2018 evidenziava come il 45% delle aziende italiane avesse subito cyber attacchi. Da anni, ormai, si tratta di un trend in costante crescita. E, dal 2017 ad oggi, gli attacchi cyber sono aumentati del 66%.

Non a caso quasi la metà del personale responsabile delle infrastrutture IT aziendali (46%) teme che un attacco ransomware (con annessa richiesta di riscatto) possa portare alla chiusura della loro attività durante questo periodo se non dovessero aumentare gli investimenti nella sicurezza.

Un altro studio di Canalys, tra le principali società di analisi del mercato tecnologico globale, evidenzia che nel 2020 sono state registrate più violazioni di dati personali rispetto alla somma dei precedenti 15 anni, e alcune di queste violazioni hanno avuto effetti catastrofici su servizi essenziali (come ad esempio per gli ospedali).

La foto rappresenta un grafico dello studio di Canalys su normativa sulla privacy e data breach

È quindi chiaro che lo scenario attuale impone un alto standard di conformità nei confronti della normativa sulla privacy, per mitigare innanzitutto gli effetti assolutamente negativi di una violazione dei dati personali (il cosiddetto data breach); effetti che potremmo sintetizzare in questi termini:

  • Perdita di dati personali e violazione della normativa sulla privacy: tralasciando l’aspetto etico derivante dalla responsabilità di gestire nel miglior modo possibile le informazioni di altri soggetti (dipendenti, clienti e fornitori in primis), è evidente che oggi i dati personali rappresentano un asset di valore che, in quanto tale, necessita di una protezione adeguata. Ogni fuga di dati personali rappresenta anche un enorme danno di immagine, che peraltro può comportare – a norma di legge – anche la comunicazione dell’evento ai propri clienti e fornitori. Questa eventualità è certamente da scongiurare avendo ricadute immediate sul brand aziendale, come testimonia il recente attacco hacker nei confronti di Ho Mobile, l’operatore virtuale di telefonia mobile, che dopo l’accaduto e il tam-tam mediatico che ne è seguito, ha visto registrare una fuga in massa dei suoi clienti verso altre compagnie.
  • Interruzione dell’operatività aziendale: in molti casi (come nell’ipotesi di attacchi ransomware), il data breach può comportare un blocco dei server aziendali o di altri settori focali dell’azienda, determinando altresì una sospensione della normale attività lavorativa. In questi frangenti, un corretto sistema di gestione dei dati personali, insieme a procedure di risposta efficienti e resilienti, sono un elemento decisivo per minimizzare l’impatto di questi eventi di danno.
  • Sanzioni: un data breach può avere riflessi negativi anche sotto il profilo delle sanzioni, oggi certamente significative (fino a € 20 milioni o il 4% del fatturato globale annuo). L’entità di tali sanzioni sono certamente un fattore di cui tenere conto in una valutazione di costi-benefici. In questo senso, una corretta conformità alla normativa sulla privacy riduce sensibilmente l’eventuale applicazione delle stesse sanzioni, perché l’Autorità Garante è la prima ad essere cosciente che il rischio zero in ambito di sicurezza informatica non esiste. Per cui, l’azienda che dimostra di aver fatto tutto ciò che era in suo potere per mitigare eventuali rischi, ha grandi probabilità di non essere soggetta alle pesanti sanzioni del GDPR.

Come si è detto, quindi, nessuno è in grado di garantire l’azzeramento dei rischi derivanti dal data breach. Quello che si può fare è agire preventivamente in modo da ridurre al minimo il rischio derivante dal trattamento dei dati di nostri clienti e fornitori, e al rispetto della normativa sulla privacy.

 

 

La mappatura dei flussi, l’individuazione di chiare regole di ingaggio per il trattamento dei dati personali effettuato da dipendenti e da collaboratori (interni ed esterni), la redazione di valutazioni di impatto, laddove sia identificato un rischio elevato, sono tutte attività utili per garantire un corretto trattamento dei dati personali, minimizzando al contempo il rischio per la violazione e divulgazione a terzi degli stessi.

È proprio questo che, come Studio Legale, ci proponiamo di fare: un’attività di consulenza che non si limiti all’adeguamento alla normativa sulla privacy ma che crei un valore per il Cliente in termini di maggiore sicurezza dei dati personali per affrontare con più serenità eventuali imprevisti e allo stesso tempo per creare una relazione di fiducia con i propri clienti basata su un trattamento trasparente dei loro dati personali.

Una società che si adegua al GDPR è una società che, anche in caso di data breach, non teme lo spettro di provvedimenti sanzionatori o di danni alla sua reputazione, perché sicura di aver fatto quanto in suo potere per proteggere i dati personali di cui è in possesso, sempre nel rispetto della normativa sulla privacy.

 

Con la Normativa sulla Privacy quale percorso affrontare per tutelarti?

Il percorso di conformità alla normativa sulla privacy necessita però di una profonda analisi dell’azienda, agendo sulle criticità per rendere più efficaci e snelli i processi aziendali:

  • In una prima fase, l’attenzione è riposta sull’analisi del rischio (il cosiddetto risk analysis), con la pianificazione di una serie di audit allo scopo di individuare le adeguate misure di sicurezza da implementare in rapporto alla natura ed entità dei dati personali trattati (cosiddetto gap analysis);
  • Si procede quindi alla stesura del registro del trattamento (art. 30 GDPR), documento essenziale per creare una mappa concettuale di tutti i flussi di dati all’interno dell’azienda (cosiddetto data mapping), identificando il ciclo vitale del dato. Il registro, infatti, permette di capire, per ogni dato personale, qual è il suo punto di raccolta, tracciando ogni suo passaggio interno – tra i dipartimenti aziendali – ed esterno, laddove ci si appoggi a fornitori terzi e servizi in outsourcing;
  • È anche l’occasione per fissare limiti nella conservazione dei dati personali (cosiddetto data retention) e per riflettere sullo stato attuale del data base aziendale, eliminando eventuali dati non necessari.

Questi passaggi sono fondamentali perché, memori di quanto detto all’inizio in tema di data breach, ogni dato personale è fonte di responsabilità per l’azienda che ne è titolare; per cui è cruciale trattare solo i dati strettamente necessari e utili alle finalità preposte, ottemperando al principio di minimizzazione dei dati (art. 5 GDPR).

In quella sede può nascere anche l’esigenza di effettuare valutazioni di impatto per i trattamenti ad alto rischio, seguendo le metodologie riconosciute a livello internazionale (come ad esempio il metodo ENISA); questo processo è fondamentale in sede di controllo ispettivo, perché testimonia la grande attenzione di un’azienda per la questione della normativa sulla privacy e la volontà di porre azioni concrete a mitigazione delle situazioni più rischiose.

Quindi per un corretto adempimento della Normativa sulla Privacy, segue una fase di redazione di policy e procedure inerenti alle attività aziendali (come ad esempio la policy di gestione delle e-mail, della gestione data breach, dei regolamenti sull’uso di device personali, eccetera), oltre alla redazione di tutte le informative necessarie, anche a favore di dipendenti e collaboratori.

Concluso il percorso di adeguamento, è importante attivarne uno nuovo di monitoraggio e aggiornamento mediante audit semestrali o annuali, a seconda del contesto aziendale, oltre ad implementare sessioni di formazione a tutto il personale.

 

La foto rappresenta un'immagine esplicativa sulla Normativa sulla Privacy e sul Data Breach

 

Normativa sulla Privacy: infine, segnaliamo un trend in forte crescita per il 2021.

Un modello organizzativo basato su un corretto trattamento dei dati personali sta diventando un elemento di competitività tra aziende concorrenti sul mercato. Ciò è dovuto da una serie di fattori che proviamo ad elencare:

  • A quasi 3 anni dall’applicazione effettiva del GDPR, è aumentata considerevolmente la sensibilità di utenti e consumatori finali sul tema della normativa sulla privacy. Quest’ultimi, dunque, sempre di più scelgono un prodotto o servizio anche in ragione del livello di protezione garantito dalle aziende sui loro dati.
  • La conformità alla normativa sulla privacy è un elemento decisivo anche nei rapporti B2B, cioè fra aziende; si collabora e si crea network solo con realtà con cui si può serenamente condividere dati personali per finalità comuni.
  • La normativa sulla privacy è ormai un elemento non più accessorio ma fondamentale nella creazione di un prodotto o servizio. Chi non si adegua a questo cambiamento rischia di perdere risorse e investimenti.

In quest’ottica va dunque visto il percorso di adeguamento che proponiamo alle aziende clienti. Non certo un adempimento legale, ma un valore di crescita per le stesse aziende in termini di sicurezza e di competitività sul mercato.