l'analisi di Matteo Flora

Privacy: quali sfide e quali trend per il 2022?

di |

I paesi di tutto il mondo stanno diventando sempre più restrittivi per quanto riguarda il movimento e il trasferimento dei dati personali. Il 2022 porterà probabilmente ulteriori restrizioni (e in alcuni casi divieti) sulla capacità di trasferire i dati personali al di fuori dei confini di taluni Paesi.

Non c’è dubbio che gli ultimi anni siano stati forieri di grandi novità in ambito Privacy, ma il 2022 si propone già come un crocevia fondamentale per una serie di questioni di importanza vitale per le aziende, locali ed internazionali ed un anno di passaggio verso l’avvento di ulteriori importanti normative.

Un anno, forse l’ultimo utile, per pianificare il cambiamento aziendale e prepararsi ai nuovi paradigmi che dovremo affrontare nel breve-medio periodo, e un anno in cui avvalersi di esperti di Trasformazione Digitale e Legal-Tech per mettere in pratica il cambiamento necessario.

Ma quali sono i principali Trend che ci troveremo ad affrontare? Eccone alcuni che non possiamo sottovalutare!

L’aumento dello scrutinio intorno al ransomware e ad altri attacchi informatici

Il 2022 probabilmente porterà con sé un’azione continua da parte dei governi per affrontare le questioni relative non solo al Ransomware e ai Cryptolocker, un fenomeno in continua ascesa, quanto alle problematiche connesse ai pagamenti dei riscatti, compreso il ruolo delle criptovalute e la necessità di informazione/cooperazione con le forze dell’ordine prima di effettuare un pagamento di riscatto. Non così distante l’ipotesi, ventilata già negli Statu Uniti, di sanzioni commerciali alle realtà che decideranno di pagare, incentivando in questo modo la pratica, in modo non dissimile dalle norme che regolano il pagamento di riscatti in caso di rapimenti.

Ci si aspetta inoltre un’ulteriore collaborazione tra i governi per coordinare l’abbattimento delle grandi “gang” di ransomware, divenute già un problema se non globale sicuramente transnazionali, oltre ad un continuo progressivo irrigidimento del mercato delle assicurazioni informatiche, che è già iniziato nell’UE, rendendo l’ottenimento di nuove polizze informatiche più difficile e il premio di base più costoso, offrendo al contempo una copertura meno completa, compresa la richiesta agli assicurati di corrispondere ogni somma pagata per un riscatto.

Le aziende devono essere sempre più pronte a rispondere ad un evento di data-breach, sia con policy ad hoc, sia istituendo esercitazioni e procedure, sia creando un apposito comitato di crisi pronto all’occorrenza. Anche le coperture assicurative e legali vanno modulate per essere in linea con le nuove sfide.

Maggiori obblighi di conformità alla privacy negli Stati Uniti e all’estero

La Privacy si sta spostando dall’essere un “problema” precipuamente europeo-centrico all’essere una questione globale, con differenze sottili – ma sostanziali – in varie giurisdizioni.

È il momento, oltre al GDPR, del California Privacy Rights Act (CPRA), il Virginia Consumer Data Privacy Act (VCDPA) e il Colorado Privacy Act (ColoPA) che entreranno in vigore nel 2023, e di più di una dozzina di altri stati americani che proporranno leggi statali sulla privacy nel 2022, il che significherà una maggiore complessità sul fronte della conformità per le aziende che operano negli Stati Uniti.

Inoltre, per quelle aziende che operano globalmente, altre necessità diventano impellenti: dovranno infatti continuare ad allineare le loro operazioni con la legge cinese sulla protezione dei dati personali (PIPL) e la Lei Geral de Proteção de Dados Pessoais (LGPD) del Brasile, dovranno iniziare ad apportare le modifiche necessarie per allinearsi al Quebec Bill 64 (An Act to Modernize Legislative Provisions as regards the Protection of Personal Information) che entrerà in vigore in tre fasi nei prossimi tre anni e include sanzioni simili al GDPR e dovranno stare in guardia per le nuove leggi sulla privacy nel Regno Unito, India, Australia e Canada.

Le aziende devono quindi dotarsi di frameworks flessibili di gestione dei consensi e dei trattamenti in grado di operare in un contesto internazionale, e di realtà consulenziali che possano assisterle al meglio nella implementazione legale-tecnologica dei regolamenti.

Aumento delle restrizioni sui trasferimenti di dati transfrontalieri

I paesi di tutto il mondo stanno diventando sempre più restrittivi per quanto riguarda il movimento e il trasferimento dei dati personali. Il 2022 porterà probabilmente ulteriori restrizioni (e in alcuni casi divieti) sulla capacità di trasferire i dati personali al di fuori dei confini di taluni Paesi.

Ci si attende di vedere una legislazione e una regolamentazione più orientata al territorio e alla sovranità digitale, e meno armonizzazione intorno agli standard di trasferimento transfrontaliero della privacy dei dati da e verso la UE, dove la regolamentazione restrittiva dei trasferimenti di dati transfrontalieri ha probabilmente raggiunto il suo picco. Ci si attende inoltre una una maggiore applicazione di queste regole, ma forse anche un percorso più strutturato per gli scambi di dati tra differenti “silos” regionali, con una serie di Privacy Shield tra grandi macro realtà. Questo per lo meno fino a quando il signor Schrems deciderà (se mai lo farò) di tornare sul palco.

Per non restituire un quadro però troppo severo è da sottolineare che il tema è comunque rilevante anche come impegno da parte dei differenti stati, come dimostra ad esempio l’adozione della decisione di adeguatezza per i trasferimenti dati da UE a South Corea dello scorso dicembre.

Per venire incontro a queste mutate necessità e paradigmi di silos di dati è assolutamente fondamentale che le aziende che implementano repository più o meno complessi si muovano per tempo per trovare architetture tecniche, legali e infrastrutturali che possano supportarle in un mondo multi-tenant di dati. E la soluzione arriva ancora una volta dal connubio legal-tech.

Più normative (e più severe) sulla disclosure dei breach di sicurezza

Le agenzie governative probabilmente emetteranno regolamenti più specifici e requisiti più stringenti in merito all’obbligo di segnalazione delle violazioni, compresa l’emanazione di norme e tempistiche più severe per la notifica alle autorità di incidenti significativi di cybersecurity. Le aziende che non hanno adeguatamente divulgato i rischi e rispettato i requisiti di notifica saranno sicuramente bersaglio di azioni di sanzione e condanna, soprattutto in virtù del fatto che sempre più governi cercano usare “casi esemplari” per convincere alla adozione di misure significative di gestione del rischio. Non solamente questo, ma soprattutto in UE, ci si deve aspettare maggiore ingerenza dei Comitati centrarli per “scavalcare” le autorità nazionali per la protezione dei dati se le sanzioni di tali autorità sembrassero essere insufficienti.

Ancora una volta le aziende devono prepararsi per tempo, con metodologie e esercitazioni, a gestire efficacemente e in tempi ristrettissimi le normative sempre più stringenti di comunicazione dei breach, avvalendosi non solo di professionalità adeguate in caso di breach, ma preparandosi per tempo con esercitazioni specifiche, policy e linee guida operative.

Maggiore attenzione su AdTech, Advertising e Data Monetization

I regolatori e i media esamineranno sempre più da vicino l’uso di AdTech, tecnologia per tracciare e profilare gli utenti online a fine pubblicitario, ed oltre alla “prima ondata” di compliance con le implementazioni relative ai Cookies, il 2022 dovrebbe anche portare una maggiore attenzione da parte delle aziende AdTech ad abbracciare modelli di business orientati alla privacy nel tentativo di affrontare le mutevoli aspettative ed esplorare tecnologie.

Non solo abbracciare tecnologie nuove (come blockchain, tokenization, e algorithmic audience) progettate per diminuire la quantità di dati personali che raccolgono e trasmettono., ma anche comprendere come sfruttare al meglio la “crisi” del passato per abbracciare il futuro di Data Monetization (monetizzazione delle abitudini, dei comportamenti e dei dati degli utenti) che già grandi realtà si stanno preparando a cavalcare.

E se il Regolamento ePrivacy dell’UE verrà finalizzato nel 2022, le aziende dovranno prepararsi per la sua – rivoluzionaria – entrata in vigore due anni dopo, cioè al più presto nel 2024.

In questo caso le aziende dovranno approntare un cambiamento epocale nella gestione dei flussi informativi per pubblicità, marketing e monetizzazione, andando ad approcciare nuovi modelli di business basati sulla monetizzazione dei dati, con relative verifiche preliminari di conformità e interazione tecnologica/legale.

Un anno quindi di fondamentali punti da smarcare in ambito aziendale, che vedono sempre più preponderanti le interazioni tra mondo legale e mondo tecnologico, che paiono non essere più in alcun modo svincolabili e che necessitano di figure preparate in entrambi. Mai come in questi prossimi anni la parola legal-tech sarà sulla bocca della consulenza, perché solo da questo paradigma si potranno sviluppare le strategie di business vincenti per svoltare (in meglio) gli obiettivi aziendali alla luce dei cambiamenti all’orizzonte.