Certificazioni GDPR, ecco i primi modelli UK: smaltimento risorse IT, verifica età e design privacy per i minori - Cyber Security 360

L'approfondimento

Certificazioni GDPR, ecco i primi modelli UK: smaltimento risorse IT, verifica età e design privacy per i minori

Smaltimento delle risorse IT, verifica dell’età degli utenti online e design privacy di servizi e prodotti destinati ai minori sono i tre ambiti contemplati dai primi tre schemi di certificazione approvati dal Garante privacy inglese ai sensi dell’UK GDPR

09 Set 2021
B
Riccardo Berti

Avvocato, Centro Studi Processo Telematico

Z
Franco Zumerle

Avvocato, Coordinatore Commissione Informatica Ordine Avvocati Verona

Smaltimento delle risorse IT, verifica dell’età degli utenti online e design privacy di servizi e prodotti destinati ai minori: sono gli ambiti disciplinati dai primi tre schemi di certificazione approvati dal Garante privacy inglese, ai sensi dell’art. 42 dell’UK GDPR, ovvero il testo del GDPR comunitario che è divenuto a tutti gli effetti legge del Regno Unito dopo la Brexit.

Questo passo marca un significativo “sorpasso” da parte dell’ICO rispetto all’Unione Europea, con quest’ultima che ad oggi non ha approvato alcuno schema di certificazione, sebbene l’EDPB abbia pubblicato, ancora nel 2018, delle Linee Guida riguardo il processo di approvazione e le caratteristiche della certificazioni ai sensi dell’art. 42 e 43 GDPR (Linee Guida 1/2018).

Le motivazioni dietro a questo “ritardo” dell’Unione Europea derivano dal più complesso processo di approvazione degli schemi (che coinvolge l’EDPB) e dal fatto che gli schemi di certificazione da applicarsi in un solo stato membro UE possono essere approvati con più snella procedura davanti ai singoli Garanti.

Cosa dicono le certificazioni UK

Le certificazioni approvate dall’ICO, significativamente, includono due schemi che saranno utili alle aziende britanniche (o che comunque operano sul mercato britannico) per adeguarsi al l’Age Appropriation Design Code (anche detto “Children’s Code”), un vero e proprio codice di condotta che dal 2 settembre 2021 impone ai prestatori di servizi della società dell’informazione che operano nel Regno Unito, di soddisfare determinati standard e requisiti nel caso in cui i loro servizi siano presumibilmente utilizzati da minori.

Gli standard rivolti alla verifica dell’età degli utenti online e al design privacy di servizi e prodotti destinati ai minori saranno quindi un puntuale complemento per il processo di adeguamento delle aziende a questa nuova norma “made in UK” che innova rispetto al GDPR e verosimilmente anticipa futuri sviluppi nella medesima direzione anche in sede europea.

Come funzionano le certificazioni GDPR

Come anticipato, la normativa inglese in tema di dati personali è costituita in larga parte dalla “nazionalizzazione” del GDPR europeo e quindi le regole per l’ottenimento di una certificazione nel Regno Unito e in Europa è in larga parte sovrapponibile. L’art. 42 del GDPR (e dell’UK GDPR) prevedono infatti la promozione di meccanismi di certificazione della protezione dei dati e di sigilli e marchi di protezione dei dati, che siano coerenti e conformi al GDPR.

Questi meccanismi (che possono anche essere utilizzati anche per dimostrare di aver adottato garanzie appropriate nel trattamento dei dati e quindi, ad esempio, escludere audit o ispezioni in capo ai responsabili del trattamento e concorrere a legittimare il trasferimento di dati all’esterno dell’Unione Europea) sono volontari e devono essere accessibili tramite una procedura trasparente.

Certificazione GDPR, cos’è e quali regole per una reale conformità

La certificazione, una volta approvata nel suo schema dall’Autorità Garante (o dall’EDPB in sede comunitaria se si tratta di una certificazione rivolta a trattamenti localizzati in più stati UE) viene rilasciata da appositi organismi di certificazione accreditati, ha validità massima di tre anni e può essere rinnovata per uguale periodo se permangono le condizioni (sarà quindi necessaria una nuova verifica di compliance alla scadenza).

Resta ferma, infine, la possibilità di revoca della certificazione, da parte degli organismi di controllo e/o dalle Autorità Garanti, ove sia accertato che i requisiti di certificazione non sono o non sono più rispettati. Il sistema delle certificazioni apre quindi ad un fiorente mercato che, nelle complessità del GDPR, può indirizzare con maggior sicurezza (diminuendo così il rischio sanzione) gli operatori.

Age Check Certification Scheme

Age Check Certification Scheme ha sviluppato la certificazione omonima Age Check Certification Scheme (ACCS), schema che include criteri di protezione dei dati per le organizzazioni che operano o utilizzano prodotti di garanzia dell’età. Questi strumenti consentono agli operatori di stimare o verificare l’età di una persona in modo che possano accedere a prodotti o servizi soggetti a limiti di età e saranno, come anticipato, estremamente importanti per adempiere agli obblighi del Children’s Code, in vigore in UK dal 02 settembre 2021, in tema di verifica dell’età per calibrare l’offerta di servizi e prodotti rivolti ai minorenni.

Gli strumenti proposti si suddividono in strumenti per determinare l’età (con precisione all’anno), strumenti per categorizzare l’età (ovvero per inserire in categorie o fasce di età l’utente) e strumenti per stimare l’età (ovvero per inserire in una o più categorie o fasce di età l’utente con metodo deduttivo). Lo scopo è produrre un sistema di verifica dell’età connesso al rischio intrinseco rispetto al servizio offerto e che preveda strumenti tesi a impedire agli utenti di aggirare il processo di verifica dell’età (sembra che nel Regno Unito le pagine web che si limitano ad un banner in cui auto-dichiarare l’età dell’individuo avranno vita breve).

Il sistema di verifica dell’età, una volta implementato, viene verificato dall’organismo accreditato sulla base di una serie di fattori e l’organismo accreditato per emettere la certificazione è Age Check Certification Services Ltd., emanazione del promotore dello schema. Tra i fattori esaminati ci sono quelli del funzionamento dello strumento di verifica dell’età (se basato su video-identificazione) in diverse condizioni di illuminazione ed ambientali, del funzionamento della verifica dei documenti di identità se prevista, del funzionamento del “social proofing” (ovvero della conferma dell’età tramite richiesta di conferma a contatti verificati del soggetto), di eventuali verifiche biometriche e, infine, di verifiche riguardo all’acquisizione del consenso dei genitori una volta accertata la minore età dell’interessato.

Ulteriore profilo di interesse è quello per cui la certificazione si propone come strumento per certificare non solo i processi effettuati da prestatori di servizi IT, ma anche (e forse soprattutto) di soggetti specializzati nei processi di age verification e di soggetti specializzati nel brokeraggio di dati, ovvero soggetti che consentono agli operatori che ne hanno necessità, di accedere a database di utenti già verificati per età, centralizzando così il processo di verifica (con un conseguente vantaggio, anche in termini di tempo e di organizzazione, anche per l’utente).

Age Appropriate Design Certification Scheme

Sviluppato ancora una volta da Age Check Certification Scheme, lo schema Age Appropriate Design Certification Scheme (AADCS) fornisce criteri per la progettazione adeguata all’età dei servizi della società dell’informazione. Lo schema si propone apertamente come strumento di garanzia di compliance per la normativa di cui al Children’s Code britannico, aiutando gli operatori a implementare concretamente i vari principi contenuti nel Children’s Code.

Lo schema, sfortunatamente, non offre molti criteri per risolvere la principale problematica definitoria del Children’s Code, ovvero quella relativa ai destinatari della nuova normativa, che secondo l’ICO sono tutti quei servizi della società dell’informazione rivolti ai minori di 18 anni o che comunque verranno presumibilmente utilizzati da minori. La definizione, evidentemente, è difficile da gestire in quanto potenzialmente tutti i siti web sono “presumibilmente” utilizzati o almeno utilizzabili da minori. La certificazione, sul punto, lascia la soluzione del problema ad una apposita valutazione di impatto, a carico del soggetto certificato, che indichi se il servizio è indirizzato ad un pubblico di minori e, in caso negativo, se i minori possono comunque accedere al servizio.

La certificazione torna quindi al problema della verifica dell’età, considerando l’auto-dichiarazione dell’utente un semplice “punto di partenza” per il processo di verifica, che poi proseguirà con strumenti di intelligenza artificiale, conferme da parte di altri utenti già registrati, conferme tramite servizi di terze parti ovvero infine “hard identifiers” ovvero verifiche effettuate tramite documenti di identità. La gradazione di questi strumenti dovrà ovviamente tener conto dei rischi relativi al servizio offerto, all’aumentare del rischio aumenterà la possibilità di utilizzare strumenti di controllo sempre più incisivi e “certi”.

La certificazione passa poi a precisare una serie di controlli per presidiare le impostazioni privacy di default proposte ai minori (più riservate), per evitare o limitare la condivisione di dati, ove possibile, per evitare per quanto possibile la profilazione dell’utente minorenne, prescrivendo infine di evitare tecniche di pressione per convincere gli utenti minorenni ad aderire ad un servizio IT, esemplificando simili tecniche anche con la preselezione di fasce di età più elevate rispetto a quelle reali (lo schema di certificazione si preoccupa però di legittimare tecniche di pressione “positive”, come ad esempio la proposta di prendersi momenti di pausa dal servizio o indirizzarlo a risorse di supporto anche emotivo o sanitario in presenza di fattori di rischio). Anche qui, come nel caso dell’Age Check Certification Scheme, l’organismo accreditato per emettere la certificazione è Age Check Certification Services Ltd.

Smaltimento delle risorse IT

L’Asset Disposal and Information Security Alliance (ADISA) ha sviluppato uno standard che garantisce che i dati personali siano stati gestiti in modo appropriato quando le apparecchiature IT vengono dismesse o cedute. Lo schema di certificazione è quindi rivolto alle aziende che forniscono servizi di smaltimento delle risorse IT e riguarda aspetti quali ripristino delle risorse, smaltimento e sanificazione dei dati. Al contrario degli altri schemi approvati dall’ICO questo schema non indica il promotore della certificazione (ADISA) quale certificatore accreditato, anche se è da presumere che l’azienda, già certificatore accreditato per altri settori, presto otterrà l’accreditamento.

Lo standard disciplina il processo di smaltimento a trecentosessanta gradi, individuando procedure e modalità operative basate sul rischio (rischio che coinvolge sia il tipo di operazione che la tipologia di dati da smaltire) in tutte le fasi dello smaltimento, concentrandosi ad esempio sulle modalità per evitare problematiche durante le fasi di inventario dei dispositivi, loro recupero e trasporto. Questa certificazione è di sicuro interesse perché spesso quello dello smaltimento delle risorse IT è un settore trascurato dalla normativa, che si limita a prescrivere “misure adeguate” senza scendere nel dettaglio fornendo informazioni aggiornate al contesto tecnologico.

In Italia, ad esempio, lo smaltimento delle apparecchiature elettroniche è normato dal risalente provvedimento del Garante Privacy n. 1571514 del 13.01.2008 (Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali) che prescrive modalità di smaltimento in parte ad oggi non più attuali, superate dall’evoluzione tecnologica.

Conclusione

In questi giorni si sta assistendo alla declinazione in pratica degli effetti giuridici della Brexit. Il Garante inglese (ICO) ha scelto una strada in piena continuità con il GDPR, a valle della scelta del legislatore inglese di trasformare il GDPR in una legge inglese. L’ambito di intervento dell’ICO è poi in piena continuità anche con il trend comunitario (e globale) che recentemente ha interessato la tutela dei dati personali dei minori e che ha in particolare investito in pieno il social network TikTok.

La differenza fra il diritto comunitario e quello inglese, però, è quello della velocità con cui il legislatore britannico ora può agire, offrendo agli operatori strumenti operativi tempestivi senza le ingessature del diritto comunitario e dalla ricerca del compromesso, come le certificazioni di cui abbiamo parlato, tra cui uno strumento come la certificazione dedicata allo smaltimento dei dispositivi IT, che di solito è relegato tra gli ultimi strumenti ad essere presi in considerazione da legislatore e dalle autorità privacy. Il trade-off inglese è però evidente e consiste nel fatto che la qualità della normativa inglese non può raggiungere il livello di quella comunitaria, frutto di una unica sintesi dialettica fra tradizioni giuridiche dalla storia millenaria.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5