Sono trascorsi ormai più di due anni dalla definitiva applicabilità del Regolamento Europeo sulla Protezione dei Dati Personali (di seguito “GDPR”) ma c’è ancora molta confusione e le organizzazioni faticano a conformarsi a tutti i principi sanciti dalla normativa, primo su tutti quello della data protection by design e by default, cioè della protezione dei dati fin dalla progettazione e con una protezione per impostazione predefinita.
Indice degli argomenti
È ancora lunga la strada per adeguarsi al GDPR
Ma allora da dove iniziare per adeguarsi al Regolamento e come sfruttare un obbligo legale per trasformarlo in opportunità di business e valore aggiunto verso gli stakeholders?
L’attenzione alla tematica è sicuramente cresciuta e la risonanza mediatica, derivante da sanzioni milionarie verso multinazionali, ha fatto preoccupare non di poco le imprese che, diversamente dal passato, devono essere pronte a pagare fino al 4% del fatturato annuo se maggiore dei 20 milioni di euro.
Oltre alle elevate pene pecuniarie, il dato allarmante del periodo 2019/2020 riguarda la varietà di settore delle aziende esaminate e sanzionate dagli organismi preposti alla verifica del rispetto della normativa (IT, Finance e Banking, Healthcare, Oil & Gas, PA ecc.).
In base al Rapporto sulle sanzioni 2020 curato da Reboot per il sito inglese Finbold.com, l’Italia si posiziona al secondo posto con oltre 58 milioni di euro provenienti nella maggior parte dei casi da provvedimenti nei confronti di società di telecomunicazioni (TIM, Wind Tre, Vodafone, Iliad), seguite da aziende ospedaliere che, con la pandemia, sono finite sotto i riflettori sia delle autorità che dei cyber criminali vista la mole di dati personali “particolari” e i pochi investimenti in materia di protezione.
Questo fa comprendere come i 2 anni transitori disposti dal legislatore dalla storica entrata in vigore del GDPR (il 24 maggio 2016), non sono bastati alle organizzazioni per adeguarsi, e si trovano oggi ancora nella fase di studio di piani di azione da intraprendere.
Data protection by design e by default: attività preliminari
Semplificando, da un punto di vista progettuale, la consequenzialità delle azioni da intraprendere nell’analisi di un’organizzazione si compone nella maggior parte dei casi in un’attività di “gap analysis”, cioè comprendere lo stato dell’arte e le lacune presenti nel perimetro in esame, successivamente un “assessment” di approfondimento dei vari punti di controllo determinati e, infine, la definizione di un piano di mitigazione con prioritizzazione delle misure di intervento al fine di mitigare i rischi stabiliti.
L’attività di analisi è abbastanza lineare per le piccole e medie imprese che, al pari delle aziende Enterprise, hanno l’obbligo di conformarsi a tutti i dettami sanciti dalla norma.
Invece, la difficoltà maggiore che si riscontra per le grandi aziende riguarda in prima battuta il perimetro di analisi, spesso molto ampio e con “core business diversificati”, e, in secondo luogo, l’effettivo rispetto e monitoraggio continuo di tutte le misure messe in atto nel lungo periodo di tempo.
Tutto questo senza contare il costo di implementazione reso ancora più elevato dall’analisi successiva all’effettiva messa in produzione di un servizio/prodotto, così da creare rallentamenti rilevanti nell’adeguamento (ipotizziamo ad esempio l’utilizzo di tecnologie divenute ormai obsolete che non permettano l’implementazione di requisiti essenziali come l’ottemperanza ai diritti degli interessati).
Proprio per rimediare a questi inconvenienti, il legislatore ha deciso di rendere vincolante la valutazione sulla protezione dei dati fin dalla progettazione e con una protezione per impostazione predefinita, nota con il termine inglese data protection by design e by default.
In questo modo, qualsiasi trattamento sui dati personali sotteso al servizio/prodotto, nascerebbe nel rispetto della normativa, calcolando fin da subito il relativo costo di implementazione delle misure da applicare.
Il principio, sancito dall’art. 25 del GDPR, dispone al primo paragrafo:
“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Gli ambiti di applicazione della data protection by design e by default
Questa prima parte dell’articolo, intesa come data protection by design, fa capire come prima di procedere a un trattamento di dati personali sia necessario il coinvolgimento dei ruoli e delle figure che progettano processi, servizi e applicazioni.
Pertanto, il principio si applica, prima dell’avvio del trattamento dei dati, in corrispondenza al momento della determinazione dei trattamenti e dei relativi strumenti di gestione (ribadito anche nelle Guidelines n. 4/2019 adottate dal Comitato Europeo per la Protezione dei Dati, il 13 november 2019).
Questo non toglie un riesame continuo durante tutto il ciclo di vita del trattamento, ma aiuta certamente a delimitare il perimetro e a scegliere in maniera ponderata le misure tecniche e organizzative da applicare.
Gli ambiti che prevedono l’applicazione del principio di data protection by design e by default, al fine di assicurare i diritti e le libertà dei soggetti interessati, sono:
- definizione di un nuovo servizio, processo o sistema informativo interno o modifica di quelli già in essere, qualora produca un impatto sui trattamenti effettuati sui dati personali;
- nuovo prodotto, servizio, o bene di consumo offerto alla clientela;
- nuova tipologia di contratto da stipulare con fornitori e/o partner, o modifica a contratti attualmente in essere;
- qualsiasi altra modifica rilevante, ai fini del trattamento dei dati personali.
Un approccio basato sul rischio
E allora quali sono le misure giuste da impiegare? L’approccio basato sul rischio scelto dal regolamento fa supporre che non ci sia una risposta precisa a questa domanda. Infatti, in base al rischio calcolato sul trattamento, comprensivo quindi di un’analisi di una serie di fattori determinanti, come ad esempio il tipo di dati trattati e le finalità ad essi associati, saranno necessarie differenti misure di sicurezza.
La pseudonimizzazione richiamata nel paragrafo è solo un esempio, e qualsiasi misura dovrà inoltre essere rivalutata di volta in volta nel tempo a seconda dello stato dell’arte e dei costi di attuazione (condizionare infatti una normativa a strumenti di sicurezza in continua evoluzione sarebbe stato sicuramente una scelta inappropriata).
La problematica maggiore è che le aziende moderne sono mosse principalmente dal business frenetico e compulsivo, accelerato dalla rapidità di esecuzione delle nuove tecnologie, e mettere in atto delle valutazioni preliminari di questo tipo rallenta considerevolmente i tempi di sviluppo.
Inoltre, troppo spesso, il costo di implementazione di requisiti di sicurezza e di data protection sono visti come una spesa e non come un investimento. Pian piano, anche a seguito delle sanzioni milionarie sopra citate, sta cambiando la tendenza, non soltanto per la sanzione in sé, ma soprattutto per il danno di immagine che potrebbe portare a perdite economiche ben maggiori.
Immaginiamo una grande Enterprise che operi su settori di business differenti, quindi con dipendenti con competenze diverse sparsi magari in tutto il territorio nazionale. Una realtà del genere necessita, per la corretta attuazione del principio in esame, di politiche interne, processi e procedure chiari e trasparenti (come espresso anche dal considerando 78 del GDPR) per permettere agli operatori di svolgerla il più velocemente possibile, senza impattare il business.
L’attuazione, inoltre, dovrebbe essere semplificata da una check-list di domande precompilate che gli operatori dovranno elaborare ogni volta sussista una casistica sopra riportata. Ad esempio, uno strumento elaborato dal Garante Europeo della protezione dei dati, è il Necessity Toolkit, che propone una lista di controlli per verificare la necessità del trattamento. L’European Network and Information Security Agency – ENISA, invece, attraverso il “PETs control matrix” ha sviluppato un Framework per rappresentare degli indicatori di valutazione di strumenti informatici.
Un’adeguata progettazione delle misure di sicurezza
Ad ogni modo, a prescindere da metodologie di riferimento per supportare le valutazioni del Titolare, per arrivare all’adeguata progettazione delle misure di sicurezza durante la fase di progettazione, il primo passo da compiere sarà la corretta applicazione dei principi fondamentali indicati dall’articolo 5 del GDPR “Principi applicabili al trattamento di dati personali”:
- liceità, correttezza e trasparenza (i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato);
- limitazione della finalità (i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali);
- minimizzazione dei dati (i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati);
- esattezza (i dati personali sono esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati);
- limitazione della conservazione (i dati personali sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato);
- integrità e riservatezza (i dati personali sono trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali);
- responsabilizzazione (il titolare del trattamento è competente per il rispetto di quanto descritto nei punti precedenti e in grado di comprovarlo).
Individuare le informazioni sul trattamento dei dati
L’integrità e riservatezza dei dati, raggiunta con la messa in atto delle misure tecniche e organizzative adeguate, non si potrebbe raggiungere in maniera efficace ed efficiente a meno che non si analizzino in maniera ampia tutte le informazioni relative ai trattamenti svolti.
In particolare, è necessario individuare le informazioni sul trattamento di dati personali effettuato nell’ambito del progetto che l’organizzazione è in procinto di realizzare, quali ad esempio:
- le finalità perseguite nell’ambito dei servizi/processi oggetto del progetto, che costituiscono la definizione di trattamento di dati personali;
- la base giuridica del trattamento;
- le categorie di dati personali e degli interessati coinvolti nel trattamento;
- eventuali contitolari al trattamento;
- eventuali responsabili del trattamento;
- eventuali destinatari dei dati personali;
- le persone autorizzate al trattamento dei dati personali;
- i tempi di conservazione dei dati (data retention);
- le modalità di trattamento e gli strumenti utilizzati (cartacei e/o informatici);
- i possibili rischi per i diritti e le libertà degli interessati;
- le misure tecniche e organizzative di sicurezza adeguate al livello di rischio individuato per i diritti e le libertà degli interessati;
Tutte informazioni fondamentali per dimostrare la conformità al regolamento (c.d. accountability), e propedeutiche per l’avvio di ulteriori azioni come la predisposizione dell’aggiornamento dei Registro dei trattamenti o la valutazione di necessità di effettuare la valutazione di impatto (c.d. DPIA).
Data protection by design e by default per la massima tutela dei dati
Il legislatore, inoltre, ha proseguito la disposizione normativa dell’art 25 con un concetto ulteriore, che evidenzia quanto disposto nel primo paragrafo, in ottica di restrizione e attuazione massima della disciplina (c.d. data protection by default):
“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.
Il principio di data protection by default – ossia di protezione dei dati personali per impostazione predefinita – prevede che le impostazioni di tutela dei dati personali relative ai servizi, processi e sistemi siano settate inizialmente in maniera restrittiva, lasciando facoltà in alcuni casi all’interessato di autorizzare un ulteriore trattamento di dati personali.
Ad esempio, una piattaforma di social media deve essere incoraggiata a impostare il profilo degli utenti in modo da rispettare quanto più possibile la privacy, limitando fin dall’inizio l’accessibilità del profilo degli utenti, in modo che non sia accessibile di default a un numero indefinito di persone.
Questo vuol dire che un sistema non deve essere progettato per inserire più dati di quelli richiesti per singola finalità, così come conservare i dati per un periodo eccedente le finalità stesse. Inoltre, per impostazione predefinita, non deve consentirsi l’accesso ai dati personali a un numero indefinito di persone fisiche senza quindi aver individuato i soggetti assegnatari dei poteri di accesso.
Data protection by design e by default: l’accountability
I principi di data protection by design e by default sono parte delle responsabilità delle persone autorizzate al trattamento dei dati in funzione del loro ruolo e mansioni all’interno dell’Organizzazione, nonché di quelle designate per sorvegliare e supportare la corretta applicazione di tali principi.
L’ultimo comma dell’art. 25 GDPR è volto proprio a sottolineare la responsabilizzazione del Titolare nel mettere in piedi un sistema di gestione interno che rispetti il principio di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, permettendo alla certificazione ottenuta dagli organismi designati, di essere strumento di dimostrazione della conformità e mitigazione di eventuali sanzioni da irrogate.
Il paragrafo riporta quanto segue:
“Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo”.
Come giustamente affermato da Alec Ross, ex consigliere del dipartimento di Stato per l’Innovazione con Hillary Clinton, “I dati sono la materia prima dell’era dell’informazione”, e ancor di più le informazioni personali saranno nel futuro utilizzati in maniera diffusa per accedere ai servizi innovativi (basti pensare alla sperimentazione in corso in Cina che permette di sbloccare i tornelli elettrici della metro senza bisogno di obliterare ma con il semplice sistema di riconoscimento biometrico del viso).
Conclusioni
La complessità della materia in continua evoluzione rende indispensabile mettere in atto normative volte a tutelare le persone fisiche che inconsapevoli utilizzano continuamente i loro dati noncuranti delle situazioni che potrebbero ritorcersi contro (si pensi a un controllo di massa nell’esempio sopra citato del riconoscimento facciale, allo scandalo di Cambridge Analytica o al recente dibattito in merito alla modifica dell’informativa privacy di WhatsApp, attenzionata dal Garante per la Protezione dei Dati Personali il 14 gennaio 2021).
L’applicazione zelante e trasparente del principio di data protection by design e by default, che porta all’attuazione delle misure tecniche e organizzative adeguate, permette oltre a dimostrare la compliance perseguita dal titolare, soprattutto di offrire alle persone fisiche che affidano i propri dati all’organizzazione la sicurezza che sia rispettato un loro diritto fondamentale espresso dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea.
L’approccio basato sul rischio permette così una valutazione ad hoc per gestire i rischi per la protezione dei dati sin dalle prime fasi di progettazione di un nuovo trattamento di dati personali, garantendo la protezione dei dati personali in funzione del servizio, processo e/o sistema informativo di riferimento.
La fiducia delle persone interessate verso le organizzazioni virtuose sarà nel tempo motivo di crescita o, al contrario, di collasso per coloro che non rispetteranno i dettami normativi. L’applicazione corretta del principio di data protection by design e by default è infatti il primo dei criteri da osservare per realizzare la c.d. responsabilizzazione, e dimostrare l’effettiva analisi di sostenibilità del giudizio di adeguatezza.
“Governarne l’innovazione in funzione della tutela della persona e delle libertà è, il vero obiettivo, da cui dipendono presente e futuro delle nostre società, con implicazioni che si estendono a ogni campo della vita individuale e collettiva” (cit. Antonello Soro, Relazione 2018, 7 maggio 2019).