Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ADEGUAMENTI PRIVACY

Data protection, il (difficile) approccio by design al GDPR: linee guida

Dopo 6 mesi di piena applicazione del Regolamento europeo per la protezione dati, in gran parte del nostro Paese si stenta nell’applicare l’importante principio della valutazione dei rischi sin dalla progettazione delle attività. Ecco che c’è da sapere per ottenere una reale compliance al GDPR

17 Gen 2019
P
Stefano Posti

Responsabile della protezione dati e Valutatore di Sistemi di gestione


La data protection by design e by default incarna secondo molti il “futuro” della protezione dati personali.

Tutti ne parlano, tutti ne descrivono l’importanza. Ma nei fatti e nella sostanza, è davvero cambiato qualcosa nella riorganizzazione dei processi di enti e imprese?

Non abbastanza”, sarebbe una risposta comoda e politically correct.

Purtroppo, in realtà, dai confronti con gli esperti del settore e degli addetti ai lavori, la situazione in Italia è tutt’altro che rosea.

Forse “un disastro” è un’espressione scomoda e poco consona, ma sicuramente più realistica, per descrivere il livello attuale di applicazione dell’importantissima privacy by design.

Infatti se nello sviluppo di tecnologia, sia dal punto di vista hardware che software, le necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili al fine di soddisfare i requisiti del regolamento e tutelare i diritti delle persone fisiche hanno cavalcato l’onda di un profondo rinnovamento del mercato digitale e del business correlato, dobbiamo constatare che per la gran parte degli aspetti relativi alla gestione squisitamente organizzativa della protezione dati, poco o nulla è cambiato, relegando le azioni da mettere in atto a meri adempimenti formali per le evidenze di accountability di titolari e dei responsabili del trattamento.

E quindi oggi, in un ente o impresa che si autocelebra GDPR compliant, troviamo qualcuno che si ricorda che per la finalizzazione di un capitolato di gara di appalto per l’affidamento di servizi a fornitori, deve essere contattato il responsabile o l’ufficio protezione dati per modificare i “riferimenti normativi privacy nell’articolo XXX del capitolato”, e poi, successivamente all’aggiudicazione dell’appaltatore, per preparare l’atto di nomina a responsabile del trattamento.

E invece per la gestione interna, con un bel documento al personale di “Nomina a designati” (sui titoli, se ne sentono davvero di tutti i colori), un’informativa aggiornata e un po’ di rinnovate istruzioni sul trattamento e, perché no, una procedura per il data breach, siamo a posto.

Ma chi vogliamo prendere in giro?

Protezione delle persone fisiche by design e by default

Sappiamo che il Regolamento 679/2016 pone con forza l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento stesso, e il criterio di partenza è proprio quello sintetizzato dall’espressione inglese “data protection by default and by design”.

Ma senza un importante cambio culturale, non è possibile.

Infatti, l’onere di prendere in considerazione tutti gli aspetti di protezione dei trattamenti di dati personali sia dalla progettazione di un servizio, di un prodotto, e di gestirne il rischio nell’intero ciclo di vita, impone nell’organizzazione la piena consapevolezza e il coinvolgimento di tutte le funzioni aziendali o istituzionali coinvolte in una generale valutazione del rischio, che rientra nell’approccio generale risk-based imposto dal Regolamento.

Ed è tale valutazione che determina la misura delle responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.

I Considerando 75 e 76 introducono in maniera piuttosto ampia il concetto di rischio per i trattamenti di dati personali e della relativa valutazione, quale strumento necessario a implementare le idonee misure per la protezione.

Il Considerando 78, poi, e l’articolo 25 del GDPR introducono la previsione a monte di misure tecniche e organizzative adeguate a garantire la protezione dei trattamenti fin dalla progettazione di un’attività o di un sistema, e per assicurare che, per impostazione predefinita siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento.

La valutazione dei rischi dal punto di vista organizzativo

Qui viene il difficile.

Perché serve uno sforzo, e invece siamo piuttosto indolenti, soprattutto quando si tratta di compiere valutazioni proattive.

Finché la valutazione del rischio è qualcosa che non ci riguarda, che viene svolta dagli esperti, va tutto bene; se invece ci viene posta come processo al quale dobbiamo partecipare anche noi, è un problema. Considerare anche agli aspetti di protezione del trattamento prima, o mentre si effettua una certa attività, è dunque qualcosa che la maggior parte delle persone tende ad evitare; questo perché non si pensa ai trattamenti come processi che appartengono alle attività che vengono svolte; ci si concentra solo sui dati e sugli stessi adempimenti privacy, che nell’immaginario collettivo restano ancora complicate formule legali in contratti o documenti in generale, o sofisticate tecniche informatiche.

Questo è lo scoglio culturale da superare.

La privacy non è “problema”.

Non è una scocciatura della quale ci dobbiamo ricordare nelle documentazioni contrattuali; il diritto alla protezione dei trattamenti di dati personali, invece, ha una connotazione positiva, perché estende la tutela dell’individuo nelle relazioni sociali; ecco perché il Regolamento si preoccupa di disporre la protezione dei trattamenti di dati personali sin dalla progettazione, per assicurarne una circolazione con misure di garanzia adeguate a limitare gli eventuali danni per le persone fisiche.

Dobbiamo dunque permeare l’approccio alla valutazione dei rischi nella nostra operatività, senza timore. Infatti, vale la pena ricordarlo, tutti noi in fondo effettuiamo valutazioni nella vita di tutti i giorni, di continuo. Possiamo definire il rischio come l’effetto dell’incertezza sugli obiettivi; l’incertezza è legata al manifestarsi di eventi, che possono avere delle conseguenze, con un certo impatto, negativo o positivo, su qualcosa. Quando l’impatto generato è negativo, si parla appunto di rischio, mentre se l’effetto è positivo, si parla di opportunità.

Noi esseri umani tendiamo a spostare il focus soprattutto sull’opportunità, escludendo o sottovalutando i rischi; e comunque, identifichiamo generalmente il rischio percepito, e non quello reale, con valutazioni spesso molto soggettive.

Inoltre, non tutti riescono a tenere comportamenti equilibrati; nei confronti del “rischio” si riscontra spesso, infatti, un atteggiamento di tipo “fatalista” (se succede qualcosa, poi vediamo) o di tipo “paranoico” (e se succede questo? Oddio, che faccio? E se si verifica quest’altro evento? Cosa mi fanno?).

Ecco perché sensibilizzare il personale, e darsi una metodologia di valutazione, è di fondamentale importanza.

Le difficoltà di attuazione

Il titolare del trattamento, dunque, a prescindere da quale metodologia venga selezionata, si dovrebbe preoccupare, ad esempio, di prevedere e pianificare, nella progettazione di attività di trattamento, alcuni step essenziali, quali:

  • individuazione del contesto (incluse basi giuridiche e giustificazione delle finalità) e delle potenziali categorie di persone fisiche che potranno diventare interessati delle attività di trattamento, ragionando innanzitutto sui potenziali impatti per tali persone;
  • identificazione dei flussi dei dati personali e dei trattamenti, ipotizzando da subito la minimizzazione delle informazioni da trattare nel ciclo di vita complessivo all’interno o all’esterno dell’organizzazione;
  • valutazione di quali rischi possano derivare dal fatto che le informazioni agli interessati non vengano rese, o non vengano comunque comprese, e di quali potenziali rischi possano invece compromettere la semplicità di esercizio dei diritti degli interessati;
  • identificazione puntuale dei requisiti di sicurezza che i processi, le persone coinvolte (sia interne all’organizzazione che esterne), i sistemi informativi e l’infrastruttura tecnologica devono soddisfare per tutelare la riservatezza, integrità e disponibilità dei dati personali;
  • definizione degli standard tecnici che consentano di implementare applicazioni esenti da vulnerabilità;
  • attività di verifica della corretta implementazione dei requisiti di sicurezza definiti, sia a livello di processi, che a livello organizzativo e infrastrutturale, e attività di test volte a verificare l’efficacia delle misure di sicurezza e degli standard implementati.

Come possiamo immaginare, il dover dimostrare la piena attuazione di queste attività implica sforzi da non sottovalutare affatto.

Fra le evidenze che il titolare dovrà predisporre ci sarà, ad esempio, non solo l’evidenza di aver fornito ai soggetti che operano per suo conto istruzioni e procedure, quanto la dimostrazione di aver ragionevolmente considerato e verificato eventuali rischi di incomprensioni o di disapplicazione da parte dei soggetti che trattano dati; e quindi più della forma e dei titoli da dare ai documenti, sono le verifiche di efficacia (con questionari, surveys, simulazioni e audit veri e propri) che contano.

Tornando all’esempio iniziale del capitolato della gara di appalto, è proprio nel documento di capitolato che il titolare del trattamento, mentre si descrive come deve essere realizzato il servizio, dovrebbe inserire tutti i requisiti necessari per la proposta da parte degli appaltatori, dopo aver valutato i potenziali rischi per i trattamenti di dati personali. È dunque scontato che il responsabile della protezione dati e/o la funzione preposta alla compliance, insieme gli addetti ai lavori, siano stati coinvolti necessariamente in fase di progettazione del servizio, per definire le garanzie di affidabilità richieste, le modalità di verifica, le misure più idonee e le conseguenti istruzioni da fornire ai processors.

Purtroppo, invece, soprattutto ed in modo importante nella pubblica amministrazione, anche per le nuove attività di trattamento, ci si trova purtroppo ad operare “ex post”, come per i trattamenti già in essere.

E scattano dunque i falsi miti delle “nomine a responsabili” risolutrici, imposte nei modi più bizzarri dai titolari ai responsabili, o proposte da questi ultimi ai titolari, spesso in modo ciclostilato e sterile.

L’atto giuridico fra titolare e responsabile (“nomina” è un termine improprio e inutile) è invece un documento sostanziale che non può prescindere da una valutazione dei rischi afferenti ai trattamenti.

Facile a dirsi, ma non banale da farsi, soprattutto per i trattamenti già in essere affidati a fornitori; in questo caso, infatti, il titolare ha già diversi nodi da sciogliere, fra cui due non di poco conto:

  • dimostrare che ha valutato i rischi per l’attività di trattamento, e che ha posto in essere idonee garanzie per integrare le tutele nel trattamento già in fase di progettazione, applicando per impostazione predefinita i principi di minimizzazione e necessità dei dati personali nell’attività, poi affidata all’esterno dell’organizzazione;
  • dimostrare che il responsabile del trattamento al quale ha già affidato il trattamento presenta le garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a garantire i diritti degli interessati.

Quindi forse, prima del famigerato “atto giuridico”, per attuare le valutazioni di rischio necessarie che, realisticamente, non sono state fatte in precedenza, e ricostruire al meglio le evidenze, occorrono scambi costruttivi e collaborativi, e approfondimenti sostanziali non di poco conto, fra titolari e responsabili.

Conclusioni

È difficile, difficilissimo.

Perché, come spiegato, in Italia è complicato inserire logiche costruttive in ambiti che sono relegati a formalismi burocratici; per un tema come quello della protezione dati, si è purtroppo ancorati alle disposizioni prescrittive delle normative solo al fine di evitare le sanzioni.

Il timore reverenziale dei fornitori nei confronti dei loro clienti, specialmente se questi sono inconsapevoli pubbliche amministrazioni, e la posizione dei DPO ancora forse non abbastanza forte da scuotere le organizzazioni, sono elementi sui quali c’è da lavorare; e anche la consapevolezza di attori importanti del processo di digitalizzazione del paese, forse non ha raggiunto il livello necessario di idoneità.

Fortunatamente, con il tempo è possibile che la sensibilizzazione sul tema possa però diffondersi sempre più rapidamente, e grazie anche a due degli istituti posti a garanzia della privacy by design (la designazione del responsabile della protezione dati e la valutazione di impatto), e alle inevitabili sanzioni che prima o poi arriveranno, l’approccio risk based sin dalla progettazione possa pian piano instaurarsi in modo corretto nelle organizzazioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5