L’importanza del trattamento dei dati personali

Secondo il Regolamento Europeo, si considerano dati personali tutte le informazioni che permettono di identificare una persona fisica: ad esempio, dati anagrafici, dati sensibili, dati biometrici, ecc. Con “trattamento” si intende la gestione di questi dati da parte di soggetti terzi. Ad esempio, una banca per erogare i propri servizi deve venire a conoscenza di diverse informazioni personali relative ai propri clienti: deve quindi “trattare” dati personali.

La normativa europea prevede che i dati personali raccolti vengano gestiti in modo sicuro e utilizzati soltanto per gli scopi per cui è stato chiesto il consenso ai diretti interessati. Per poter utilizzare i dati personali di un utente, infatti, è necessario richiederne l’autorizzazione al trattamento. Questa autorizzazione, inoltre, deve essere molto dettagliata ed elencare con precisione i modi in cui i dati verranno utilizzati. L’utente deve poi avere la possibilità di revocare questa autorizzazione in qualsiasi momento.

Queste normative sono raccolte nel GDPR (General Data Protection Regulation), il regolamento generale sulla protezione dei dati, che è stato adottato da tutti gli stati membri dell’Unione Europea nel 2016 ed è entrato in vigore nel 2018. Il testo di questo regolamento contiene anche molte altre direttive, tra cui quelle relative all’esportazione di dati personali al di fuori dell’Unione Europea.

Il GDPR si occupa nello specifico di privacy, non di sicurezza. Qual è la differenza tra questi due concetti? In generale, con “sicurezza” si indica il modo in cui i dati vengono protetti da potenziali attacchi, mentre con “privacy” si indica l’uso che di questi dati viene fatto. I due concetti sono strettamente collegati, ma è fondamentale capirne le differenze.

La garanzia di privacy non equivale alla garanzia di sicurezza, almeno non del tutto. Le norme sulla privacy, ad esempio, obbligano i fornitori di servizi a garantire ai propri clienti che i loro dati verranno utilizzati solo dietro consenso. Se il cliente non desidera ricevere messaggi pubblicitari potrà negare il consenso per questo scopo e il fornitore del servizio non potrà quindi inviare pubblicità, pena una sanzione. Questo, però, non significa che i dati di cui il fornitore è in possesso siano al sicuro: se dovesse subire un attacco informatico, ad esempio, potrebbe subire un furto di dati, i quali finirebbero nelle mani degli hacker e verrebbero quasi certamente usati per scopi illeciti o per i quali comunque non è stato espresso il consenso.

Le norme europee per la privacy, infatti, non sanzionano le aziende e i fornitori di servizi nel caso in cui subiscano furti di dati, a meno che sia dimostrata una negligenza da parte loro. Ciò significa che, anche se i propri dati sono protetti dal GDPR, non sono necessariamente protetti dagli hacker.

Per proteggere i propri dati personali, è importante sapere chi può avere accesso a essi. Prima di tutto, ci sono aziende e organizzazioni a cui i dati vengono forniti volontariamente, solitamente per poter usufruire di un servizio. Fanno parte di questa categoria, ad esempio, le banche, le aziende che forniscono utenze, ecc. Collegate a queste, ci sono tutte quelle app che a loro volta forniscono un servizio, questa volta online: ad esempio, Facebook, Google, Instagram, ecc. Infine, ci sono le organizzazioni governative, che hanno accesso a informazioni personali come dati anagrafici, cartelle cliniche, ecc.

Tutti i casi citati sono soggetti alle normative europee sulla privacy e devono quindi attenersi alle regole descritte nel GDPR. Ciò significa che è necessario esprimere il proprio consenso al trattamento dei dati prima che queste aziende e organizzazioni possano utilizzare i dati raccolti.

Come abbiamo visto, privacy e sicurezza non sono concetti sovrapponibili, anche se sono collegati. Ciò significa che i dati forniti ad aziende terze nel pieno rispetto del GDPR potrebbero essere a rischio. Nel caso di un attacco informatico ben studiato, ad esempio, un hacker potrebbe riuscire a impossessarsi dei dati personali degli utenti, nonostante le misure di sicurezza.

Il rischio più grande per la privacy viene proprio dalle azioni malevole di agenti esterni. Utilizzando metodi loschi o sfruttando vulnerabilità, un hacker può riuscire a entrare in possesso di dati personali; in questo caso, il GDPR e le norme europee non servono più a nulla, perché ormai il danno è fatto e non si può più tornare indietro.

Nel caso in cui i propri dati personali finiscano nelle mani sbagliate, potrebbero essere utilizzati per azioni illecite. Ad esempio, potrebbero essere utilizzati nell’organizzazione di truffe o per eseguire altri attacchi informatici mirati, come quelli di phishing (cos’è il phishing). Per garantire la propria privacy, quindi, è fondamentale non limitarsi a fidarsi del rispetto delle norme europee: bisogna anche preoccuparsi di tenere al sicuro i propri dati.

Per assicurarsi che i propri dati personali non finiscano nelle mani sbagliate, è necessario implementare diverse misure di sicurezza. Ogni volta che si affidano i propri dati a soggetti terzi se ne perde il controllo, ma purtroppo è molto difficile evitare di farlo se si vuole usufruire di tutti i servizi che la società moderna ci offre. È tuttavia più che possibile cercare almeno di limitare al massimo i rischi.

Limitare le informazioni condivise sui social network

Molti degli attacchi informatici degli ultimi anni hanno avuto come vittima i social network e i loro utenti. I social nascono proprio per condividere informazioni personali con gli altri, e per questo fanno gola agli hacker che si interessano di furti di dati. La soluzione ideale sarebbe quella di non utilizzare alcun social, ma realisticamente questo è molto difficile. La cosa migliore da fare è quindi quella di non condividere dati personali sui social, né pubblicamente, né con il social stesso, ad esempio evitando di associare il proprio numero di telefono all’account.

Usare password diverse per ogni account

Uno degli errori più grandi che può compromettere la sicurezza dei propri dati è quello di usare sempre la stessa password. Ogni account che si crea dovrebbe invece avere una password diversa, in modo che, anche se un hacker dovesse riuscire a impossessarsi di una di esse, un solo account risulterebbe compromesso, e non tutti. Per una protezione ulteriore, inoltre, bisogna anche fare in modo di scegliere password sicure: devono contenere lettere, numeri e caratteri speciali, essere lunghe almeno 12 caratteri e non fare riferimento a informazioni facilmente reperibili; dovrebbero inoltre essere cambiate periodicamente.

Usare una VPN

Un ottimo metodo per proteggere i propri dati online è quello di utilizzare dei sistemi di crittografia, in modo che anche se dovessero essere intercettati da un hacker, questi non sarebbe in grado di interpretarli. Per fare ciò, la soluzione più pratica è quella di utilizzare una VPN (rete privata virtuale), che permette di crittografare tutto il traffico. Grazie a una VPN è possibile anche mascherare il proprio indirizzo IP, in modo da nascondere anche la propria provenienza. Anche gli indirizzi IP sono infatti considerati dati personali protetti dal GDPR: questo perché possono permettere la localizzazione precisa di un utente e quindi la sua identificazione.

Con NordVPN si può anche sfruttare Threat Protection, una funzionalità che permette di bloccare i cookie di tracciamento e quindi evitare che terze parti possano raccogliere dati personali. Non è però solo questo che offre Threat Protection: grazie ad essa è infatti possibile rilevare il malware prima che venga scaricato e bloccare i siti malevoli prima che possano fare danni.

Usare un programma anti-malware

Spesso gli hacker sfruttano dei malware per effettuare i loro attacchi, sia quando l’obiettivo sono le grandi aziende, sia quando l’obiettivo sono i singoli utenti. Le aziende solitamente utilizzano dei sofisticati sistemi di protezione (anche se a volte risultano anch’essi inefficaci); per gli utenti è solitamente sufficiente utilizzare un buon programma anti-malware. Questi programmi, che spesso sono forniti insieme agli anti-virus e agli anti-spyware, permettono di rilevare il malware prima che questo venga installato, impedendo così che possano fare danni.