fbpx

LA PRIVACY DEI DATI DIVENTA PARTE DI UN NUOVO NORMALE

ARTICOLO IN PRIMO PIANO

Il regolamento generale sulla protezione dei dati (GDPR) è stato adottato nell’aprile del 2016 dall’Unione Europea ed è entrato in vigore nel maggio del 2018.[1] Ad alto livello, queste norme sono abbastanza semplici nel loro requisito di “Protezione dei dati degli utenti”, ma vediamo che, come ogni norma degna di nota, la conformità potrebbe non essere così semplice come pubblicizzata. Come vedrete, nonostante la complessità e il mare di acronimi, la linea di fondo è che la conformità alla privacy dei dati stimolerà la spesa aziendale, portando a un’opportunità di investimento per coloro che la riconoscono. Detto questo, ecco uno sguardo all’insieme delle norme GDPR che riguardano le aziende che raccolgono dati sui cittadini dei paesi dell’Unione Europea.

Questa legislazione mira a definire un quadro di riferimento che tuteli “i diritti e le libertà fondamentali delle persone fisiche e in particolare il loro diritto alla protezione dei dati personali”.[2] Si tratta di informazioni che gli utenti hanno già fornito (consapevolmente o inconsapevolmente) alle aziende con cui interagiscono.

Alcune leggi si concentrano sulle aziende che forniscono trasparenza su ciò che raccolgono e su come lo raccolgono – ne stiamo già vedendo gli effetti in tutti i banner che appaiono sui siti web che ARTICOLO IN PRIMO PIANO chiedono agli utenti di accettare o modificare quali cookie vengono lasciati sul loro computer quando visitano un sito web.

Ma oltre a informare gli utenti su come e quali informazioni vengono raccolte, le aziende hanno ora la responsabilità di comunicare agli utenti dove i dati vengono inoltrati e come vengono utilizzati. Se l’azienda rilascia i dati raccolti a terzi, è ritenuta responsabile di qualsiasi azione intrapresa da questi ultimi, compreso il passaggio di dati attraverso aree geografiche o reti considerate non sicure.

Ne è un esempio l’indagine del 2019 su Nokia (NOK) condotta da funzionari finlandesi quando sospettavano che i dispositivi Nokia instradassero i dati degli utenti attraverso le reti cinesi senza rivelare l’instradamento ai clienti.[3] All’inizio di quest’anno, il provider di videoconferenze Zoom (ZM) si è trovato sotto tiro per la sua pratica di instradare le chiamate attraverso server di proprietà e localizzati in Cina (oltre ad ospitare le chiavi di cifratura su tali server).[4] In risposta, Zoom ha aggiunto il seguente meccanismo di consenso esplicito:

“Agli utenti esistenti o nuovi che provengono da indirizzi IP rilevati dall’UE al momento dell’accesso all’applicazione Zoom desktop o mobile, o che si uniscono a una riunione senza essere stati registrati, su qualsiasi piattaforma (Mac, Windows, Linux, iOS, Android, Android, Web, ChromeOS) verrà presentato un aggiornamento una tantum della politica sulla privacy. Il consenso all’aggiornamento dell’Informativa sulla privacy e i Termini di servizio sono conservati ai fini della conformità.”[5]

Recentemente, due società californiane Salesforce.com (CRM) e Oracle (ORCL) sono state citate in una potenziale causa di class-action da 10 miliardi di euro intentata nei Paesi Bassi (con un’analoga richiesta da presentare a Londra alla fine di questo mese), che sostiene che le due società collaboravano per migliorare le informazioni degli utenti al fine di produrre profili più vendibili/valorizzabili, aggregando i dati degli utenti di siti di terze parti utilizzando i loro cookie di terze parti “Bluekai” e “Krux”.[6] La violazione del GDPR? A quanto pare lo hanno fatto all’insaputa degli utenti, il che costituirebbe una violazione diretta e chiara della GDPR. Una delle parti interessanti per noi è che le offerte e la vendita in tempo reale dei profili degli utenti sono “una cosa” e l’unico problema è come gli imputati stavano raccogliendo i dati da vendere.

La causa contro i due giganti della tecnologia è stata intentata da The Privacy Collective, che è un’organizzazione europea senza scopo di lucro incentrata sulla privacy dei consumatori.[7] Finora non si è avuta notizia da Bruxelles di un’indagine ufficiale dell’UE. Sospettiamo che molti terranno d’occhio questa indagine, data non solo l’entità delle potenziali multe da pagare, ma anche le implicazioni per le altre aziende. Con l’aumento dell’entità delle multe per violazione della privacy, in alcuni casi fino a livelli che potrebbero spazzare via un’azienda piccola o sottocapitalizzata, le multe stesse creano un’altra potenziale motivazione per i cyber-attaccanti. Per CoreView, sono state inflitte 31 importanti multe GDPR di almeno 100.000 euro e finora, nel 2020, sono state annunciate 17 multe di questo tipo.[8]

Per quanto riguarda le potenziali multe, una delle disposizioni della GDPR prevede che ogni volta che vengono valutate le multe, ogni società ritenuta responsabile dell’infrazione ha il diritto di avanzare richieste di risarcimento nei confronti di tutti i soggetti che hanno trasportato, trattato o sono stati utenti finali di dati ottenuti in modo improprio. Si potrebbe ipotizzare che la colpevolezza, in questo caso, sarebbe semplice in quanto internet “non dimentica mai”, ma ci si aspetterebbe una raffica di cause legali a seguito di un’eventuale sanzione importante, mentre le aziende si battono per limitare la percentuale di una multa di loro responsabilità.

Queste regole si applicano anche alle situazioni in cui le aziende vengono violate o sono vittime dei loro stessi errori. Nel maggio di quest’anno è stato scoperto che l’iconico quotidiano francese Le Figaro ha compromesso una banca dati di 8TB composta da quasi 7,4 miliardi di record di informazioni personali degli utenti del suo sito web e di traffico del sito.[9] Il database è stato ospitato dal servizio Dedibox (di proprietà di Frances Online SAS), che a sua volta ha utilizzato Poney Telecom, che secondo i ricercatori, è dove risiedeva il database completamente non protetto.[10] Per il momento l’UE non ha ancora adottato alcuna misura, ma poiché i dati compromessi rientrano nella definizione di informazioni protette per l’utente, si prevede che saranno comminate sanzioni pecuniarie. Come molti hanno sottolineato in passato, gli ingranaggi della giustizia girano lentamente ma si macinano in modo eccessivamente sottile.

Qualsiasi società che si occupa dei dati dei cittadini dell’UE è soggetta al GDPR indipendentemente dal suo domicilio. Con la natura senza confini del web, questa normativa sta avendo un profondo impatto sulle aziende di tutto il mondo. Uno degli aspetti più affascinanti dello stile di vita digitale in cui sempre più spesso la nostra vita si svolge nel mondo virtuale, piuttosto che in quello fisico, è che le regole che governano le nostre azioni, le nostre scelte, e che ci proteggono, stanno diventando sempre più globali.

Questa crescente complessità sta rendendo più difficile per i nuovi arrivati competere con i colossi esistenti e, allo stesso tempo, crea nuove sfide per questi stessi colossi per adattarsi a questa nuova realtà. Ciò significa che, mentre le aziende combattono contro i cattivi attori e i cyberattack, devono anche aprire i loro portafogli per garantire il rispetto del GDPR.

E mentre ci siamo concentrati in precedenza sul GDPR, ricordiamo che negli ultimi giorni il procuratore generale della California Xavier Becerra ha annunciato che l’Office of Administrative Law ha approvato il regolamento finale ai sensi del California Consumer Privacy Act (CCPA), che è entrato immediatamente in vigore.[11] Quindi non si tratta di una cosa europea, ma di una tendenza globale.

Mentre la privacy dei dati non è un settore riconosciuto da S&P Dow Jones, la privacy dei dati, insieme alla sicurezza informatica, è destinata a diventare la versione digitale dell’assicurazione aziendale, il che significa che diventerà obbligatoria per la maggior parte se non per tutte le organizzazioni.[12] Da qui ad allora, questo mercato in crescita è un mercato a cui gli investitori dovrebbero attingere, e a lungo termine sospettiamo che la sicurezza informatica e la riservatezza dei dati saranno considerati servizi essenziali, il che significa ampie opportunità di crescita in un’economia globale in cui la crescita diventerà più elusiva nei prossimi anni. Le opportunità in questo caso sono particolarmente profonde in un mondo che sta diventando sempre più “virtuale”, dove i confini fisici non hanno alcun significato. Ciò significa che le organizzazioni potrebbero dover affrontare multe paralizzanti se non rispettano le norme che si applicano ben al di fuori della loro presenza fisica.

Gli investitori che cercano di ottenere l’esposizione a questo driver e quindi alle aziende che si occupano di privacy dei dati dovrebbero scavare in aziende come NortonLifeLock (NLOK), Ping Identity (PING) e Cloudflare (NET), per citarne alcune.

 

Questo articolo in primo piano è stato prodotto da Tematica Research LLC. Rize ETF Ltd non rilascia alcuna dichiarazione o garanzia di alcun tipo, espressa o implicita, circa la completezza, l’accuratezza, l’affidabilità o l’idoneità delle informazioni contenute in questo articolo.

 

ETF correlato:

CYBR: Rize Cybersecurity and Data Privacy UCITS ETF

 

Referenze:

[1] European Parliament Think Tank, “GDPR goes live: A modern data protection law”, May 2018. Available at: https://www.europarl.europa.eu/thinktank/en/document.html?reference=EPRS_ATA(2018)621873

[2] General Data Protection Regulation, “Art. 1 GDPR: Subject-matter and objectives”, 2020. Available at: https://gdpr-info.eu/art-1-gdpr/

[3] The Sun, “Nokia admits its phones have been sending your location data to China in major privacy blunder”, March 2019. Available at: https://www.thesun.co.uk/tech/8721601/nokia-phones-sending-data-china-privacy/

[4] The Guardian, “UK government told not to use Zoom because of China fears”, April 2020. Available at: https://www.theguardian.com/uk-news/2020/apr/24/uk-government-told-not-to-use-zoom-because-of-china-fears

[5] Zoom, “Zoom Video Communications GDPR Compliance”, April 2020. Available at: https://zoom.us/gdpr

[6] Techcrunch, “Oracle and Salesforce hit with GDPR class action lawsuit over cookie tracking consent”, August 2020. Available at: https://techcrunch.com/2020/08/14/oracle-and-salesforce-hit-with-gdpr-class-action-lawsuits-over-cookie-tracking-consent/

[7] IBID

[8] Coreview, “Major GDPR Fine Tracker – An Ongoing, Always-Up-To-Date List of Enforcement Actions”, August 2020. Available at: https://www.coreview.com/blog/alpin-gdpr-fines-list/

[9] InfoSecurity Magazine, “French Newspaper Le Figaro Leaks 7.4 Billion Records”, May 2020. Available at: https://www.infosecurity-magazine.com/news/french-paper-le-figaro-leaks-74/

[10] IBID

[11] State of California Department of Justice, “Xavier Becerra: Attorney General – California Consumer Privacy Act (CCPA)”, 2020. Available at: https://oag.ca.gov/privacy/ccpa

[12] S&P Dow Jones Indices, “Sectors”, 2020. Available at: https://www.spglobal.com/spdji/en/landing/investment-themes/sectors/

  • 1
  • 2
  • 3

Select Your Country

United Kingdom
Germany
Italy
Switzerland
Austria
Denmark
Finland
Ireland
Luxembourg
Netherlands
Spain
Sweden

Select Your Investor Type

======