loader image
Data Governance Act: nuova vita ai Dati Europei

Data Governance Act: nuova vita ai Dati Europei

I 3 pilastri del Data Governance Act

Ancora oggi sono pochi gli enti (pubblici e privati), in grado di sfruttare il potenziale effettivo dei dati: infatti il Data Governance Act, nella versione proposta dalla Commissione Europea lo scorso 25 novembre, vuole promuovere un cambio di rotta su questo fronte.

L’obiettivo dichiarato è proprio quello di ottimizzare il valore dei dati, anche di quelli che non sono disponibili come Open Data, favorendone la circolazione per mezzo di attori qualificati e strumenti di tutela che ne garantiscano una condivisione sicura all’interno di un mercato unico digitale.

Per poter raggiungere un obiettivo così temerario, la proposta di Regolamento si fonda su 3 pilastri, i quali sono volti a sorreggere l’intero ecosistema del Data Governance Act pensato dalla Commissione Europea.

  1. Il Primo Pilastro del Data Governance Act definisce le regole che disciplinano le condizioni di riuso di certe categorie di dati in possesso degli enti del settore pubblico.
  2. Il Secondo Pilastro del Data Governance Act prevede invece i meccanismi di condivisione dei dati (cosiddetta Data Sharing), con l’ingresso di fornitori dediti a tali servizi di intermediazione.
  3. Infine il Terzo Pilastro del Data Governance Act definisce il concetto di Data Altruism, ossia la raccolta e il trattamento di dati resi accessibili a terzi per fini altruistici da parte di imprese o persone fisiche.

 

Data Governance Act e Primo Pilastro: il riuso dei Dati

Perché la Commissione Europea prende in considerazione i Dati in possesso degli enti pubblici per un loro eventuale riuso?

Il concetto si ricollega ad una idea di base molto nobile: i dati generati o derivati dall’utilizzo di soldi pubblici devono portare benefici a tutta la società.

Le categorie di dati a cui potranno applicarsi le condizioni di riuso definite dalla Commissione Europea saranno quindi quelli in possesso degli enti pubblici (ad esempio lo Stato, gli enti regionali o locali) e in particolare quei dati protetti da ragioni di privacy o proprietà intellettuale e/o industriale.

L’obiettivo è dunque quello di sfruttarne il valore statistico e/o di ricerca, evitando che restino giacenti negli archivi fisici o telematici della pubblica amministrazione.

Il Regolamento del Data Governance Act inoltre prevede divieti circa accordi di esclusiva per il riutilizzo di alcuni dati, scongiurando possibili accordi bilaterali che potrebbero nuocere al principio di concorrenza.

L’accordo è infatti ammesso solo se giustificato e necessario per la fornitura di un servizio di interesse generale.

data governance act e commissione europea

 

Data Governance Act e Secondo Pilastro: i meccanismi di condivisione dei Dati (Data Sharing)

Due sono gli scenari possibili: la condivisione di dati pretrattati o la condivisione di dati non pre-trattati in ambienti protetti.

  • In relazione al primo meccanismo di condivisione, i dati personali dovrebbero essere anonimizzati o almeno pseudonimizzati prima della loro trasmissione.
  • Mentre per i dati non personali è necessario eliminare le informazioni commerciali a carattere confidenziale. Solo in seguito a tale pre-trattamento, i dati potranno essere trasmessi a favore di chi ne fa richiesta (il re-user).

Ci sono casi però in cui il pre-trattamento potrebbe mettere a rischio le finalità di riuso del richiedente o pregiudicarne l’efficacia. Un esempio potrebbe essere quello di un ente di ricerca che necessita di dati genetici in chiaro.

In situazioni come questa l’uso dei dati potrebbe essere concesso – anche in assenza di un pretrattamento – ma in ambienti protetti e controllati – in questo caso dall’ente pubblico – e accessibili anche da remoto.

Se però queste garanzie non fossero sufficienti per un riuso dei dati in sicurezza, gli enti pubblici dovranno adoperarsi per acquisire il consenso degli interessati – in favore del re-user – o le autorizzazioni necessarie presso le aziende coinvolte.

La trasmissione dei dati può avvenire anche a favore di un re-user che intende trasferirli verso Paesi terzi. In tal senso, la trasmissione potrà avvenire senza particolari problemi nei confronti di Paesi terzi già ritenuti adeguati dalla Commissione UE, con un livello di protezione delle informazioni confidenziali equivalente a quello presente in Europa.

Laddove il trasferimento sia diretto ad un Paese non adeguato, il re-user dovrà impegnarsi personalmente a garantire, nei confronti dell’ente pubblico che possiede i dati, il medesimo standard di sicurezza sancito dal Regolamento.

 

Data Governance Act e Terzo Pilastro: condividere i dati per fini altruistici (Data Altruism)

Il Regolamento del Data Governance Act dedica una parte al concetto di Data Altruism – ovvero la possibilità di utilizzare dati resi accessibili in maniera volontaria da aziende o persone fisiche – per finalità di interesse generale.

Il trattamento e la raccolta di questi dati viene affidata ad apposite organizzazioni (Data Altruism Organizations), riconosciute dall’Unione Europea e segnate in un apposito registro tenuto dalla Commissione Europea.

Il concetto di Data Altruism vuole avere un forte impatto nel mondo della ricerca, sarà necessario quindi fare affidamento sul consenso degli interessati qualora siano persone fisiche.

Si è pensato infatti ad un modulo uniforme di consenso a livello europeo per il Data Altruism nel quale dovranno essere indicate le modalità di trattamento dei dati personali e le rispettive basi giuridiche.

L’impatto del Data Governance Act

È indiscutibile che dal Regolamento del Data Governance Act emerga una nuova concezione di economia digitale volta a creare uno spazio comune nel quale i dati rappresentano un patrimonio non solo a fini commerciali e privatistici ma anche di interesse comune.

La Commissione Europea ha fatto la sua proposta, ora si dovrà solo attendere un accordo tra Parlamento Europeo e Consiglio Europeo, nella speranza che non vengano intaccati i principi di trasparenza e di massima valorizzazione dei dati.

E-mail Phishing: attenzione alla posta elettronica sospetta

E-mail Phishing: attenzione alla posta elettronica sospetta

Come riconoscere le e-mail di Phishing?

Quando si apre la casella di posta elettronica a volte può capitare di trovare alcune e-mail apparentemente “normali” ma con alcuni dettagli che dovrebbero destare sospetto, come ad esempio:

  • errori marchiani di ortografia;
  • problemi di formattazione del testo;
  • link incomprensibili;
  • utilizzo di espressioni volte a generare pressione nell’utente o tese a formulare minacce (come ad esempio: “Sbrigati è l’ultimo giorno utile per accedere al tuo sconto”; “Il pagamento deve essere fatto entro le 24:00 di oggi”);
  • indirizzo e-mail del mittente non riconducibile all’estensore della mail;
  • promesse o regali insperati che conducono l’utente a cliccare su un link.

Queste e-mail riproducono sempre più fedelmente la grafia e il contenuto delle comunicazioni inviate da Agenzia delle Entrate oppure della propria banca, o ancora da Poste Italiane o Enel.

Eppure nei dettagli si nasconde una vera e propria possibile frode informatica: il cosiddetto Phishing.

Se gli utenti fanno clic su un link in un’e-mail di Phishing (ad esempio: “Clicca qui per vincere il premio”), il link può ricondurre ad altri siti web allo scopo di attivare malware o altri virus malevoli nei propri computer o device.

 

Quali dati rubano le e-mail Phishing?

Tale tecnica è utilizzata da soggetti criminali chiamati Phisher e cercano di ottenere informazioni e dati personali del destinatario dell’e-mail, come ad esempio:

  • nome, cognome e documento d’identità;
  • le credenziali della Carta di Credito o del conto corrente;
  • Username e Password per accedere all’Home Banking;
  • accessi ad archivi contenenti informazioni lavorative segrete o riservate.

Tutto questo – spacciandosi per il reale titolare dei dati e senza destare alcun sospetto – al fine di riutilizzarli nei più svariati modi:

  • concludere contratti per conto della vittima;
  • effettuare pagamenti;
  • trasferire denaro;
  • oppure rubare informazioni fondamentali e riservate sul piano lavorativo.

 

E-mail Phishing posta elettronica sospetta

Cosa fare quando si è vittima di Phishing?

Quando ci si accorge di essere stati vittima di Phishing (come ad esempio si registrano movimenti sospetti o inusuali sul proprio conto corrente oppure vi vedete recapitare fatture per prestazioni mai richieste), il primo passo è quello di denunciare tempestivamente l’accaduto alle Autorità (compreso il Garante Privacy se la vittima è una azienda e vi è stata una violazione di dati personali di clienti o fornitori).

È inoltre possibile, in particolari casi di “attacco” al proprio conto corrente e di mancato rispetto di adeguati standard di sicurezza da parte dell’istituto di credito, richiedere il ristoro integrale delle somme alla propria banca (sarà possibile altresì, solamente nei casi concessi, rivolgersi all’ABF – Arbitro Bancario Finanziario).

Nel caso invece di notifica di contravvenzioni stradali senza tuttavia essere mai stati nel luogo dell’indicata violazione (potrebbe essere stata rubata la vostra targa oppure noleggiata una vettura on line utilizzando la vostra carta d’identità) si dovrà immediatamente procedere con l’impugnazione del verbale, denunciando contestualmente il furto e utilizzo illecito dei dati.

 

Come prevenire i casi di e-mail Phishing?

Ai privati possiamo raccomandare di seguire i consigli dell’articolo e di prendersi del tempo per leggere bene le mail, soprattutto quando ci viene chiesta una azione, come cliccare un link o rilasciare dei dati.

Per le aziende, invece, la parola fondamentale è una sola: Formazione.

I dipendenti devono essere in grado di riconoscere una e-mail Phishing grazie a delle sessioni apposite di sicurezza informatica, perché – come avrete intuito – il fattore umano è decisivo per sventare una frode di questo genere.

Una pratica diffusa è quella di generare false e-mail di Phishing spedite dal datore di lavoro o dall’esperto di cybersecurity (come ad esempio: amministratore di sistema o CISO), per valutare l’effettiva reazione dei dipendenti e, all’esito, capire se è necessaria una ulteriore formazione.

Sul punto, una delle più importanti realtà del settore – il NIST – ha istituito un programma apposito, chiamato Phish Scale, con campagne di Phishing sempre più complesse per testare il personale aziendale.

Per un affiancamento o una pianificazione dettagliata di una sessione di formazione in ambito Phishing e, più in generale, nell’ambito della sicurezza informatica, lo Studio Legale offre piena assistenza avendo i propri professionisti maturato una solida esperienza come formatori aziendali. Puoi contattarci per avere maggiori informazioni sul tema.