Linee guida ufficiali per fare luce sul principio di data protection by default introdotto dalla normativa europea, per non commettere errori che violino il GDPR. Le raccomandazioni sono state pubblicate a fine gennaio da Enisa, l’Agenzia Europea per la sicurezza delle reti e dell’informazione.
Il focus è sulle comunicazioni per via telematica e sui servizi online: il documento analizza a fondo il principio della privacy by default, per impostazione predefinita, poiché viene spiegato che il principio “data protection first” introdotto con il GDPR non è la regola solitamente adottata nei metodi di software design. Il documento in primis sottolinea che l’articolo 25 del GDPR chiede esplicitamente pre settings che siano data protection friendly, di modo da gestirne il meno possibile e da rendere minimo anche l’accesso a tali dati.
Indice degli argomenti
L’obiettivo delle raccomandazioni
Lo scopo del documento di Enisa è far luce su che cosa significhi in concreto la protezione dei dati by default nell’ambito nell’information technology design e come le norme del GDPR possono supportare i controllers nel formulare impostazioni in questa direzione.
Le raccomandazioni contenute nel testo sono rivolte ai responsabili del trattamento dei dati e produttori di servizi e applicazioni, agli utenti finali, ai agli organismi regolatori e ai responsabili politici oltre che al mondo della ricerca, ma ci sono anche raccomandazioni per modellare la tecnologia in base a quanto prevede la normativa del GDPR.
Giovanna Ianni, avvocato, partner Lexalia, spiega: «Il GDPR non contiene un’elencazione di misure minime che il titolare è tenuto ad applicare, ma rimette allo stesso, assieme al Responsabile del trattamento dei dati, il compito di adottare le misure idonee a “garantire un livello di sicurezza adeguato al rischio” derivante dall’attività svolta (articolo 32, par. 1 GDPR), dopo un’analisi che tenga conto dello stato dell’arte, dei costi di attuazione, dell’oggetto, del contesto e delle finalità del trattamento».
Ianni rileva che «Proprio la definizione e l’analisi di stato dell’arte è il tema della pubblicazione Reinforcing trust and security in the area of electronic communications and online services, avente lo scopo di fornire linee guida utili alle piccole e medie imprese circa i parametri da tenere in considerazione nella valutazione dei rischi legati al trattamento dei dati e nella conseguente scelta delle adeguate misure di sicurezza da adottare, sia dal punto di vista organizzativo che tecnico».
La pseudonimizzazione: un’importante misura di sicurezza
Nella sezione Recommendations on shaping technology according to GDPR provisions, sono contenute due raccomandazioni: «La prima – raconta Ianni – si concentra sulla necessità che il trattamento dei dati si fondi sul principio di privacy by default (articolo 25, par. 2 GDPR). Le impostazioni predefinite di trattamento dei dati personali devono infatti prevedere che vengano raccolti ed elaborati solo i dati necessari in base allo scopo specifico, e che questi vengano conservati per il minor tempo possibile. Il documento fornisce inoltre alcuni esempi pratici di applicazione del principio».
La pseudonimizzazione è invece il tema centrale della seconda di queste raccomandazioni, che ne chiarisce il significato e la definisce come «il processo grazie al quale i dati non possono più essere associati ad un interessato senza l’uso di informazioni aggiuntive, consentendo così di nascondere l’identità dell’interessato. Inoltre vengono descritte diverse tecniche utilizzabili a tale scopo, come, fra le altre, la crittografia». Secondo l’avvocato Ianni, un testo sicuramente utile anche se la ricerca continua è indispensabile: «Enisa sottolinea come, in questi ambiti, ulteriore ricerca e studio siano indispensabili al fine di ottenere un quadro sempre più chiaro e dettagliato in tema di misure di sicurezza. Simili report rimangono in ogni caso fondamentali per aumentare la sensibilizzazione dei titolari e dei responsabili al trattamento dei dati riguardo gli obblighi e gli adempimenti necessari al rispetto delle disposizioni del GDPR».
La reazione del mercato
Secondo Alessandro Vallega, Information & Cyber Security Advisor, Integration and Change, Community Management at P4I – Partners4Innovation – Digital360 Group, la reazione del mercato alle raccomandazioni Enisa saranno positive: «Credo che il mercato apprezzerà la nuova pubblicazione di Enisa sulla data protection by default perché contribuisce a colmare la distanza che c’è tra i principi di legge e il modo in cui il software e i sistemi informativi devono essere progettati. Infatti, il mondo legale e quello IT sono fondamentalmente estranei pur condividendo i dati personali».
L’esperto ha «apprezzato l’evidenza data alle raccomandazioni per i produttori di prodotti, servizi e applicazioni che pur non avendo una responsabilità diretta ai sensi di legge devono fare uno sforzo per supportare i responsabili del trattamento con una progettazione adeguata, strumenti di supporto e assistenza appropriata. Visto che è incredibilmente difficile aggiungere il by default e il by design ex-post, si richiede al mercato (i fornitori e i loro clienti) una diversa e incrementata sensibilità. Il paper di Enisa aiuterà lo sviluppo di un mercato più consapevole».
