Parlare di 28 GDPR, quanti sono i Paesi dell’Unione Europea (Brexit permettendo), non appare certamente corretto, così come non lo sarebbe però pensare ad un’applicazione perfettamente uniforme delle nuove norme nei diversi Stati.
I riflessi derivanti dal diverso grado di dettaglio o, comunque, da un non completo allineamento nelle indicazioni fornite dalle autorità di controllo nazionali possono generare incomprensioni allorché, nell’ambito di rapporti di partnership o di fornitura di servizi tra operatori stabiliti in diversi paesi europei – come spesso accade – debbano essere negoziati gli adempimenti volti alla protezione dei dati.
L’articolo 26, per i casi di contitolarità, prevede, infatti, che i contitolari determinino in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal Regolamento europeo 679/2016. Il successivo articolo 28 – in merito ai rapporti tra titolare e responsabile – dispone, inoltre, che il titolate ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.
Indice degli argomenti
Casi di contitolarità e misure minime di sicurezza
Ma quali sono le misure adeguate? Sul punto, l’articolo 32 del Regolamento è chiaro nell’attribuire al titolare – in forza del principio di accountability – piena autonomia ai fini della individuazione di tali misure, in considerazione del profilo di rischio che un trattamento può comportare. Ma inevitabilmente la soglia di adeguatezza è condizionata dalle indicazioni fornite al riguardo dalla propria autorità di controllo nazionale.
A titolo di mero esempio, nel Regno Unito, l’Information Commissioner (ovvero l’autorità britannica omologa del Garante; in seguito, anche “ICO”) nelle sue linee guida, “Guide to the General Data Protection Regulation (GDPR)”, pur riconoscendo che il GDPR indica le soluzioni crittografiche solo come una delle misure di sicurezza disponibili, sembra poi suggerirne un’adozione generalizzata: “Quando si memorizzano o si trasmettono dati personali, è necessario utilizzare la crittografia e assicurarsi che la soluzione di crittografia soddisfi gli standard correnti. È necessario essere consapevoli dei rischi residui della crittografia e disporre di misure per risolverli”.
Precisa, inoltre: “L’ICO ha visto numerosi incidenti relativi a dati personali sottoposti ad un trattamento illecito o non autorizzato, a perdita, a danneggiamento o a distruzione. In molti casi, i danni causati da questi incidenti avrebbero potuto essere ridotti o addirittura evitati se i dati personali fossero stati crittografati.
- È anche il caso che le soluzioni di crittografia sono ampiamente disponibili e possono essere implementate a costi relativamente bassi.
- È possibile che, laddove i dati vengano persi o distrutti e non siano stati crittografati, vengano intraprese azioni di carattere amministrativo (a seconda del contesto di ciascun incidente)”.
L’ICO non pone dunque un obbligo in termini assoluti, peraltro non compatibile con l’articolo 32 del Regolamento e più in generale con l’impianto della nuova normativa, ma – attraverso le citate indicazioni – responsabilizza notevolmente qualsiasi operatore che, per le più diverse ragioni, non intendesse implementare soluzioni di natura crittografica.
Parimenti, il CNIL (ovvero l’autorità francese omologa del Garante), nelle linee guida “Security of Personal Data”, aggiornate al 2018, relative alla sicurezza dei dati personali, nell’elencare le precauzioni di base che dovrebbero essere implementate in modo sistematico da ciascun titolare, con specifico riguardo alle credenziali di autenticazione, raccomanda l’adozione di una password che presenti i seguenti requisiti di complessità:
- “avere una lunghezza minima di 8 caratteri, compresi 3 tipi di caratteri su 4 (maiuscole, minuscole, numeri, caratteri speciali) se l’autenticazione include una misura che limita l’accesso all’account come:
- blocco temporaneo dell’account dopo diversi tentativi falliti,
- un “captcha”,
- il blocco dell’account dopo 10 tentativi falliti;
- avere 12 caratteri minimi e 4 tipi di carattere se l’autenticazione si basa solo su di una password;
- avere più di 5 caratteri se l’autenticazione richiede alcune informazioni riservate aggiuntive. Per le informazioni aggiuntive, utilizzare un identificativo riservato di almeno 7 caratteri e bloccare l’account al quinto tentativo fallito;
- la password può essere di soli 4 caratteri se l’autenticazione si basa su di un dispositivo posseduto dall’individuo e se la password viene utilizzata solo per sbloccare il dispositivo fisico detenuto dall’individuo stesso (ad esempio una smart card o un telefono cellulare) e il dispositivo viene bloccato al terzo tentativo fallito”.
Anche in questo caso, problematiche potrebbero essere le relazioni con un’organizzazione francese per un fornitore di tecnologia italiano che avesse impostato le credenziali di accesso ai propri sistemi sulla base di parametri non perfettamente allineati alle indicazioni del CNIL.
L’adozione delle misure “minime” di sicurezza in Italia
Venendo all’Italia, il Garante, attraverso la Guida all’applicazione del Regolamento, pur precisando che non avrebbero potuto sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza, poiché tale valutazione avrebbe dovuto essere rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati, ai sensi dell’articolo 32 del Regolamento, aggiunge anche che – in tema di misure tecniche e organizzative di sicurezza – titolari e responsabili del trattamento potranno mantenere in essere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni, richiamando, tra gli altri, il Provvedimento del 12 maggio 2011, contenente “Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie”, in quanto misure atte a garantire e dimostrare che il trattamento è effettuato conformemente al Regolamento.
Tra gli altri adempimenti, il citato provvedimento, a titolo esemplificativo, prevede il tracciamento delle operazioni bancarie, attraverso l’adozione di specifiche misure: “Devono essere adottate idonee soluzioni informatiche per il controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database. Tali soluzioni comprendono la registrazione dettagliata, in un apposito log, delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari, quando consistono o derivano dall’uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti di consultazioni di dati in forma aggregata non riconducibili al singolo cliente. In particolare, i file di log devono tracciare per ogni operazione di accesso ai dati bancari effettuata da un incaricato, almeno le seguenti informazioni:
- il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso;
- la data e l’ora di esecuzione;
- il codice della postazione di lavoro utilizzata;
- il codice del cliente interessato dall’operazione di accesso ai dati bancari da parte dell’incaricato;
- la tipologia di rapporto contrattuale del cliente a cui si riferisce l’operazione effettuata (ad esempio, numero del conto corrente, fido/mutuo, deposito titoli)”.
Disposizioni di dettaglio che inevitabilmente limitano l’ambito di discrezionalità riservato a titolari e responsabili operanti nel settore bancario, imponendo di fatto l’adozione di soluzioni tecnologiche disegnate sulla base delle indicazioni fornite dal Garante o, quantomeno, compatibili con queste ultime.
Difficoltà nell’applicazione del principio di privacy by design
Si tratta solo di una breve panoramica esemplificativa, che consente tuttavia di comprendere come la “declinazione” a livello nazionale del GDPR, anche se sulla base di mere raccomandazioni, può comportare delle problematiche nella messa a terra del principio di privacy by design e, quindi, nell’ambito delle relazioni contrattuali tra operatori stabiliti in diversi Paesi europei.
Nella pratica, infatti, discostarsi da quelle che sono le raccomandazioni della propria autorità di controllo comporta inevitabilmente l’esposizione ad un rischio, che comprensibilmente ciascuna organizzazione tende ad evitare. D’altro canto, è comprensibile che, per le ragioni sopra accennate, partner commerciali basati in diversi Paesi possano avere implementato misure tecniche ed organizzative non perfettamente omogenee tra loro, sulla base degli input delle rispettive autorità nazionali.
E – nonostante il Regolamento preveda un meccanismo di coerenza, finalizzato appunto a favorire un’applicazione quanto più possibile uniforme delle nuove disposizioni – il divario da Paese a Paese è probabilmente destinato a dilatarsi ulteriormente via via che le singole autorità nazionali adotteranno, nei prossimi mesi e nei prossimi anni, specifici provvedimenti su base locale che potranno offrire delle interpretazioni in senso difforme di svariate problematiche, con gli inevitabili impatti nei rapporti tra organizzazioni basate in differenti Paesi dell’Unione.
Del resto, il carattere molto generale delle disposizioni del Regolamento lascia inevitabilmente ampio spazio alla “case law” delle singole autorità di controllo.
Tra i soggetti più impattati, figurano senz’altro i fornitori di tecnologia, i quali saranno sempre più spesso chiamati ad avere una visione in chiave europea del Regolamento, prestando la massima attenzione a quanto accade, non solo nel Paese nel quale sono stabiliti, ma anche nei diversi Paesi dell’Unione nei quali intenderanno proporre i propri prodotti ed i propri servizi, e ad applicare misure, volte alla protezione dei dati, che siano – per quanto possibile – compatibili con le indicazioni fornite dalle diverse autorità nazionali.
