La diffusione del coronavirus nel 2020 ha stressato e accelerato, spesso oltre i principi della cautela, il delicato processo di transizione al digitale che già caratterizzava tanto il settore privato quanto le pubbliche amministrazioni. Si è trattato di una rincorsa funzionale a garantire la sopravvivenza stessa di tutte quelle realtà che, in tempi rapidissimi, hanno dovuto fare i conti con il venire meno della presenza fisica dei lavoratori, dei clienti e degli utenti, tutti tristemente confinati dalla pandemia all’interno delle proprie mura domestiche.
È quanto emerge dal report annuale dell’EDPS, in cui si rileva che ci sono diritti e libertà che hanno rischiato – e rischiano – di pagare il costo di questa sfrenata spinta all’efficientamento dei processi.
Indice degli argomenti
La task force dell’EDPS
In questo contesto, l’EDPS ha tempestivamente istituito una task force dedicata ai problemi creati da Covid-19, nel tentativo di coordinare ed intraprendere proattivamente ogni iniziativa necessaria all’interazione tra privacy e pandemia.
Gli sforzi che il gruppo di esperti ha profuso in questi mesi si sono concentrati nel monitoraggio dei cambiamenti in atto e nel tentativo di intervenire, ove necessario, di fronte al pericolo che l’equilibrio tra esigenze produttive e diritti degli interessati venisse irrimediabilmente alterato.
Passaporto vaccinale e GDPR: il parere delle istituzioni europee
In un contesto così dinamico, difatti, perfino le iniziative di contrasto all’emergenza sanitaria avrebbero potuto concorrere alla creazione di flussi di dati non adeguatamente controllati, non sempre necessari, e potenzialmente privi delle necessarie garanzie per i diritti delle persone coinvolte.
Si tratta di un rischio che l’EDPS ha correttamente intercettato, dedicando parte delle proprie iniziative 2020, per esempio, all’analisi degli applicativi sviluppati nell’ambito delle attività di contact tracing oltre che alla redazione di linee guida sulle modalità di rilevazione della temperatura.
Le conseguenze della sentenza Schrems II
Schrems II e la conseguente caduta del Privacy Shield hanno obbligato gli uffici del Garante Europeo ad intervenire su più fronti, approvando una “Strategia per le istituzioni, gli uffici e gli organismi dell’Unione, per ottemperare alla sentenza Schrems II”.
Quello sulla regolamentazione dei flussi tra UE e Stati Uniti, tuttavia, per quanto rivesta carattere di assoluta importanza ed urgenza, è un tavolo di lavoro ancora piuttosto distante dal potersi definire concluso.
Il dilemma: la definizione di “trattamento su larga scala”
Anche nel 2020, l’attività dell’EDPS non ha potuto fare a meno di concentrarsi, in chiave interpretativa, su alcuni concetti che le norme di riferimento considerano chiaramente di fondamentale importanza, ma che non hanno racchiuso in perimetri ben delimitati e definizioni chiare.
A distanza di circa tre anni dal momento in cui è stata coniata, per esempio, l’espressione che definisce i trattamenti “su larga scala”, desta ancora più di un interrogativo.
Ecco, quindi, che l’EDPS si è trovata nelle condizioni di dover promuovere una “consultazione informale” proprio su questo tema. A parere del Garante Europeo, sono due i fattori determinanti per potere definire un trattamento di dati “su larga scala”:
- la proporzione della popolazione coinvolta, così come individuata anche dall’Article 29 Data Protection Working Party nelle proprie Linee Guida sui DPO, all’interno delle quali sono presenti espressi riferimenti al numero delle persone interessate;
- la natura dei dati personali trattati e dei rischi connessi, con riferimento ad un non esaustivo elenco di operazioni che possono comportare un rischio elevato per gli interessati, secondo quanto previsto dall’art. 35 e dal Considerando 91 del GDPR.
Ancora oltre, sempre nel 2020, l’EDPS ha avviato due indagini/sondaggi. La prima, risalente al febbraio 2020, ha avuto ad oggetto le modalità attraverso le quali le istituzioni, gli uffici, gli organi e le agenzie dell’UE (EUI) hanno implementato gli strumenti DPIA.
L’esito della verifica, con risultati sostanzialmente positivi, è stato pubblicato nel luglio 2020, unitamente ai suggerimenti offerti dell’autorità per conseguire ulteriori miglioramenti. La seconda indagine, invece, ha considerato le operazioni e gli strumenti IT implementati durante la pandemia, risale al dicembre 2020, ed il suo esito non è ancora noto.
Crescono le notifiche di data breach
Una parte interessante del report diffuso dall’EDPS, inoltre, è stata comprensibilmente dedicata ai data breach rilevati, segnale dell’eventuale sviluppo patologico del rapporto tra evoluzione e sicurezza. Ai sensi dell’articolo 34 del regolamento (UE) 2018/1725, tutte le EUI hanno il dovere di segnalare le violazioni dei dati personali subite, a meno che risulti improbabile che dalla violazione possa sorgere un rischio per i diritti e le libertà delle persone coinvolte.
Ogni EUI deve provvedere tempestivamente ad inviare la segnalazione, comunque al più tardi entro 72 ore dal momento in cui venga a conoscenza della violazione e, nei casi più gravi, deve notificare l’accaduto anche alle persone fisiche coinvolte. Ai sensi Regolamento (UE) 2016/794, obblighi simili si applicano anche a Europol.
In questo contesto normativo, nel 2020 l’EDPS ha ricevuto e valutato 121 nuove notifiche di violazione dei dati personali ai sensi del regolamento (UE) 2018/1725. Nel complesso, ha registrato un incremento del 20% rispetto alle segnalazioni ricevute nel 2019.
La natura delle violazioni
Una violazione di dati personali può definirsi tale quando sono compromesse la riservatezza, l’integrità o la disponibilità dei dati coinvolti. Nel 2020, il 93% delle segnalazioni ha avuto ad oggetto il profilo della riservatezza, mentre l’errore umano è rimasto la causa principale delle violazioni notificate, anche se rispetto al passato si è registrato un significativo aumento degli incidenti provocati da attacchi esterni.
Gli errori tecnici, dal canto loro, sono semplicemente raddoppiati rispetto all’anno precedente. Per quel che riguarda l’impatto di queste violazioni, l’EDPS ha rilevato come all’incirca il 50% abbia coinvolto un numero di individui compreso tra 1 e 10, mentre solo 8 delle 121 notifiche inviate, per fortuna, sembrerebbe aver compromesso i dati di più di 1000 interessati. Il 23% delle violazioni, peraltro, ha avuto un impatto su categorie particolari di dati, sanitari o giudiziari.
In 45 casi, inoltre, si è reso necessario procedere anche all’invio della comunicazione agli interessati, che l’art. 35 del Regolamento (EU) 2018/1725 prevede come obbligatoria qualora la violazione esponga i loro diritti e libertà a possibili gravi rischi.
L’impatto dello smart working
Una parte dell’incremento registrato nel 2020 rispetto al 2019 si deve senz’altro all’intensificarsi dell’uso di procedure di smart working.
Nel report diffuso dall’Authority, non a caso, si legge testualmente “l’EDPS ha registrato alcuni casi di incidenti di sicurezza principalmente dovuti ad errore umano, come conseguenza del telelavoro, poiché l’impossibilità per il personale EUI di accedere ai propri strumenti di automatizzazione dei processi, disponibili solo in loco, ha comportato la necessità di deviare dalle procedure standard”.
Alcune violazioni si sono verificate anche nell’ambito delle attività di contact tracing. È capitato, difatti, che l’identità di individui affetti da Covid-19 sia stata accidentalmente comunicata ai loro stretti contatti, o che l’identità di uno stretto contatto sia stata rivelata agli altri.
Conclusione
In definitiva, dal report delle attività 2020, emerge chiaramente come anche per l’EDPS si sia trattato di un anno extra-ordinario in un contesto evolutivo, tuttavia, che anche al netto del terremoto Covid-19, prevedibilmente imporrà alle istituzioni impegnate nella data protection un impegno sempre crescente.
L’analisi comparata dei report annuali diffusi dalle Autorità di controllo (nazionali, prima ancora che europee) mostra chiaramente come nuove minacce siano continuamente in fase di sviluppo, si stia allargando la base di trattamenti effettuati e, di conseguenza, stia proporzionalmente aumentando il numero degli incidenti.
Si tratta di analisi da leggere con grande attenzione, poiché è solo dalla loro lettura critica che sarà possibile avvedersi di quanto la “società dei dati” si svilupperà secondo dinamiche fisiologiche.
