Data protection by design e by default, best practice e raccomandazioni operative - Cyber Security 360

LINEE GUIDA EDPB

Data protection by design e by default, best practice e raccomandazioni operative

Il rispetto dei requisiti di data protection by design (fin dalla progettazione) e by default (per impostazione predefinita) costituisce un ruolo cruciale nella promozione della privacy e della protezione dei dati personali. Ecco le raccomandazioni operative dell’EDPB per applicare correttamente i due principi

11 Nov 2020
M
Francesca Mistretta

Specialista in Protezione dei Dati, Funzione Compliance

Il Comitato Europeo per la Protezione dei Dati (di seguito “EDPB”), al termine della fase di consultazione pubblica, ha adottato la versione finale delle Linee Guida afferenti la tematica della Data Protection by Design e by Default.

L’EDPB ritiene che il rispetto dei requisiti di protezione dei dati personali by design (e quindi dal momento della progettazione) e by default (per impostazione predefinita) costituisce un ruolo cruciale nella promozione della privacy e della protezione dei dati personali.

Pertanto, è fondamentale che i data controllers assumano seriamente detta responsabilità e si adoperino per attuare gli obblighi sanciti dal GDPR fin dalla fase di progettazione delle operazioni riguardanti i trattamenti di dati personali.

Le sopracitate Linee Guida forniscono un orientamento generale sull’obbligo di protezione dei dati by design e by default come meglio previsto dall’ articolo 25 del GDPR. Si tratta di un obbligo che riguarda tutti i titolari del trattamento, indipendentemente dalle dimensioni e dalla complessità del trattamento dei dati.

È necessario, quindi, che il data controller comprenda i principi di protezione dei dati personali, la loro portata, nonché i diritti e le libertà dei data subjects allo scopo di potere soddisfare l’obbligo sancito dal predetto articolo.

L’obbligo principale consiste nell’adozione di misure tecniche e organizzative adeguate e di garanzie necessarie volte ad assicurare by design e by default un’efficace attuazione dei principi di data protection e, conseguentemente, i diritti e le libertà dei soggetti interessati.

A mente dell’articolo 25 del GDPR, infatti, il titolare del trattamento deve mettere in atto – sia nel momento di determinazione dei mezzi del trattamento sia all’atto del trattamento stesso – misure tecniche e organizzative adeguate (e.g. pseudonimizzazione) volte ad attuare in modo efficace i principi di protezione dei dati (e.g. principio di minimizzazione) e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i principi in materia di protezione dei dati personali previsti dal GDPR e di tutelare i diritti e le libertà degli Interessati.

Infatti, in virtù del principio di accountability il titolare del trattamento deve essere in grado di dimostrare che ha adottato misure di sicurezza adeguate al fine di garantire l’attuazione dei principi di protezione dei dati personali e di tutelare i diritti e le libertà dei data subjects.

Ed ancora, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche.

Le Linee Guida contengono altresì indicazioni su come applicare in modo efficace i principi generali di protezione dei dati previsti all’articolo 5 del GDPR, elencando gli elementi chiave di design e di default.

L’EDPB fornisce, infine, alcune raccomandazioni su come i data controllers e i data processors possono cooperare per garantire la protezione dei dati by design e by default, incoraggiandoli altresì ad adottare codici di condotta e certificazioni.

L’importanza della data protection by design e by default

Le Linee Guida analizzano l’enunciato normativo di cui all’articolo 25, comma 1°, del GDPR che prevede il principio di “Data protection by design”. In virtù del predetto principio, le misure tecniche e organizzative appropriate e le garanzie necessarie, adottate dal titolare del trattamento, hanno lo scopo di tutelare i diritti e le libertà dei soggetti interessati, nonché di garantire che la protezione dei loro dati personali sia integrata nel trattamento posto in essere.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Queste misure tecniche e organizzative appropriate e le necessarie garanzie possono essere intese in senso lato come qualsiasi metodo o mezzo che un titolare del trattamento può impiegare nel trattamento. “Essere appropriati” significa che le misure e le garanzie necessarie devono essere idonee a raggiungere lo scopo perseguito, ossia garantire la compliance ai principi di protezione dei dati.

Capiamo quindi che il requisito dell’adeguatezza è strettamente correlato al requisito dell’efficacia. A tale riguardo, è necessario ricordare che una misura tecnica e organizzativa può essere di qualsiasi natura e può consistere nell’adozione di soluzioni tecniche avanzate, nella formazione del personale, nella pseudonimizzazione di dati personali, nella memorizzazione di dati personali disponibili in un formato strutturato e comunemente leggibile da un computer, nel disporre di sistemi di rilevamento di malware, e quant’altro.

Gli standard, le best practice e i codici di condotta riconosciuti dalle associazioni e da altri organismi che rappresentano le categorie dei data controllers possono essere utili per determinare le misure appropriate. Tuttavia, è necessario che il titolare del trattamento verifichi l’adeguatezza delle misure che intende porre in essere tenendo conto del trattamento in questione.

Il già menzionato articolo deve essere analizzato in combinato disposto con l’articolo 5 del GDPR che sancisce i principi generali che si applicano al trattamento dei dati personali. I dati personali devono essere:

  1. trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  2. raccolti per finalità determinate, esplicite e legittime;
  3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  4. esatti e, se necessario, aggiornati;
  5. conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
  6. trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Diventa lecito affermare che l’adozione di misure tecniche e organizzative appropriate è correlata all’effettiva attuazione di ciascuno dei suddetti principi. Il concetto di efficacia è infatti il fulcro della protezione dei dati personali fin dalla progettazione.

L’obbligo di applicare i principi in modo efficace determina che i data controllers devono attuare le misure necessarie e le garanzie per proteggere tali principi al fine di tutelare i diritti e le libertà delle persone interessate.

Questo implica che il data controller, tenuto conto del contesto del trattamento, deve adottare delle misure di sicurezza specifiche e solide e deve essere in grado di attuarne ulteriori per ridurre un potenziale aumento del rischio.

Inoltre, il data controller deve essere in grado di dimostrare (principio di accountability) di avere posto in essere tutte le misure tecniche e organizzative volte a garantire il rispetto dei principi di protezione dei dati sanciti dal GDPR.

A tale fine, il data controller può determinare la raccolta dei cd. key performance indicators (KPI) per dimostrare l’efficacia con cui il predetto garantisce la protezione dei dati. I KPI possono essere di tipo quantitativo (e.g. riduzione dei reclami, riduzione del tempo di risposta quando gli interessati esercitano un loro diritto) oppure di tipo qualitativo (e.g. valutazione di prestazioni, valutazioni di esperti).

In alternativa ai KPI, il data controller può dimostrare l’effettiva attuazione dei principi di protezione dei dati fornendo la logica che sta alla base dell’assessment dell’efficacia delle misure e delle garanzie scelte.

L’articolo 25, sempre al comma 1°, del GPDR elenca gli elementi che il titolare del trattamento deve tenere in considerazione nel determinare misure di un trattamento specifico.

Data protection by design e by default: misure tecniche e organizzative

Tutti questi elementi contribuiscono a determinare se una misura sia idonea ad attuare efficacemente i principi di cui sopra.

Il primo elemento da prendere in considerazione è “lo stato dell’arte”, ossia un concetto dinamico che non può essere definito staticamente in un momento determinato ma che deve essere valutato costantemente nel contesto del progresso tecnologico.

Ecco, quindi, che il data controller deve tenere conto dei progressi attuali nella tecnologia che è disponibile sul mercato al fine di determinare le misure tecniche e organizzative più adeguate allo scenario posto in essere.

Il data controller deve avere una conoscenza approfondita e un aggiornamento costante dei progressi tecnologici per capire come la tecnologia può impattare sulle operazioni di trattamento dei dati personali e come implementare o aggiornare le misure di sicurezza che garantiscono l’effettiva attuazione dei principi e dei diritti dei dati.

Infatti, di fronte a progressi tecnologici, un data controller potrebbe rendersi conto che una misura, che in passato aveva garantito un adeguato livello di protezione, ora deve essere cambiata. Dunque, l’assenza di conoscenza e di aggiornamento degli sviluppi tecnologici attuali potrebbe tradursi in un mancato rispetto dell’articolo 25.

Il criterio dello “stato dell’arte” non si applica solo alle misure tecnologiche, ma anche organizzative. La mancanza di adeguate misure organizzative, quali l’adozione di politiche interne di governance, la formazione aggiornata sulla tecnologia, la gestione della sicurezza, può ridurre o addirittura pregiudicare l’efficacia di una tecnologia scelta.

Il secondo elemento presente nell’articolo 25 è rappresentato dai “i costi di attuazione” nella scelta e nell’applicazione delle misure tecniche e organizzative adeguate. Il costo si riferisce alle risorse in generale, come il tempo e le risorse umane.

Il “costo di attuazione”, che è un fattore che deve essere preso in considerazione fino dalla fase di progettazione di un trattamento di dati, non impone al data controller di spendere una quantità sproporzionata di risorse, piuttosto di adottare delle misure tecniche e organizzative idonee a garantire la protezione dei dati.

Il terzo elemento che il data controller deve considerare nella scelta delle misure è dato da “la natura, l’ambito di applicazione, il contesto e le finalità del trattamento”. Il concetto di “natura” riguarda le caratteristiche intrinseche del trattamento, mentre “l’ambito di applicazione” le dimensioni e la gamma del trattamento. Il “contesto” concerne le circostanze che caratterizzano il trattamento e che potrebbero influenzare le aspettative dell’interessato, mentre le “finalità” riguardano appunto i fini del trattamento.

Il quarto elemento previsto nell’art. 25 è costituito dai “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche derivanti dal trattamento”.

Il data controller deve dunque individuare i rischi che una potenziale violazione dei principi potrebbe comportare per i diritti dei soggetti interessati e deve determinare la loro probabilità e gravità allo scopo di adottare le misure idonee a ridurre e/o eliminare i rischi individuati.

Pertanto, quando viene effettuata la predetta valutazione del rischio, diventa altrettanto essenziale effettuare una valutazione sistematica e approfondita del trattamento.

A tale riguardo, si ricorda che le Linee Guida dell’EDPB sulla valutazione d’impatto sulla protezione dei dati (DPIA) (Gruppo di Lavoro Articolo 29 – WP 248) si concentrano sulla determinazione se un’operazione di trattamento può comportare o meno un rischio elevato per l’interessato e forniscono orientamenti su come valutare i potenziali rischi emersi.

Il quinto elemento che emerge è l’aspetto temporale. Nello specifico, l’articolo 25 prevede che la protezione dei dati fin dalla fase della progettazione venga attuata “sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”.

Con il riferimento al “momento di determinazione dei mezzi” il legislatore europeo intende il periodo di tempo in cui il data controller stabilisce le modalità in cui il trattamento sarà condotto e le misure di sicurezza più appropriate allo scopo di applicare in modo efficace i principi sanciti dal GDPR e tutelare i diritti e le libertà degli interessati.

Inoltre, dal punto di vista dei costi-benefici, è anche nell’ interesse del titolare del trattamento prendere in considerazione la protezione dei dati fin dalla fase della sua progettazione (by design) poiché potrebbe risultare costoso apportare successive modifiche a piani già realizzati e a trattamenti già posti in essere.

Con il riferimento “all’atto del trattamento stesso” il legislatore europeo intende evidenziare come, una volta avviato il trattamento, il data controller sia tenuto a mantenere la protezione dei dati sia by design che by default, per esempio rimanendo aggiornato sullo stato dell’arte, rivalutando il livello di rischio.

Infatti, la natura, la portata e il contesto del trattamento, nonché il rischio possono cambiare nel corso del trattamento, e questo significa che il data controller deve rivalutare il trattamento mediante revisioni e valutazioni periodiche dell’efficacia delle misure e delle garanzie scelte.

Gli obblighi di cui sopra di mantenere, rivedere e aggiornare, se necessario, il trattamento si applicano anche ai sistemi preesistenti.

Ciò significa che i sistemi designati prima dell’entrata in vigore del GDPR sono sottoposti a revisione per garantire l’adozione delle idonee misure e garanzie che attuano i principi e i diritti delle persone interessate in modo efficace, come indicato nelle presenti Linee Guida.

Detto obbligo si estende anche a qualsiasi trattamento effettuato mediante i data processors. Infatti, le operazioni di quest’ultimi dovrebbero essere regolarmente riesaminate e valutate dai data controllers per garantire che le stesse siano compliant con i principi e consentire al titolare del trattamento di adempiere ai propri obblighi.

L’articolo 25, comma 2°, del GDPR prevede la protezione dei dati by default, ossia per impostazione predefinita. Detto comma prevede che “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”.

Con il termine “per impostazione predefinita” nel trattamento dei dati personali il legislatore europeo si riferisce alle scelte concernenti i valori/le opzioni di configurazione impostati in un processing system (e.g. software, device, procedure di elaborazione manuale).

Il data controller dovrebbe scegliere ed essere responsabile dell’attuazione delle impostazioni predefinite di un trattamento affinché solo il trattamento che è strettamente necessario al raggiungimento del fine prefissato sia lecito.

Questo significa che per impostazione predefinita il titolare del trattamento non deve raccogliere/trattare/conservare dati più del necessario e delle finalità stabilite. Il titolare del trattamento è tenuto a predeterminare per quali finalità specifiche, esplicite e legittime i dati personali sono raccolti e trattati.

Le misure devono essere by default adeguate ad assicurare che solo i dati personali – necessari per ogni specifica finalità del trattamento – siano trattati.

A tale riguardo si evidenzia che le Guidelines afferenti alla “valutazione della necessità e della proporzionalità delle misure che limitano il diritto alla protezione dei dati personali” possono essere utili per decidere quali dati devono essere trattati per raggiungere lo scopo prefissato.

Inoltre, nel caso in cui il data controller utilizzi un software di parti terze è tenuto a eseguire un assessment del rischio del prodotto e ad assicurarsi che le funzioni che non hanno una base giuridica o che non sono compatibili con le finalità previste del trattamento siano disattivate.

Le stesse considerazioni valgono per le misure organizzative concernenti il trattamento. Le predette dovrebbero essere concepite in modo da trattare solo la quantità minima di dati personali necessari per operazioni specifiche. Questo dovrebbe essere considerato specialmente quando si dà accesso al personale con diversi ruoli l’accesso ai dati.

Inoltre, il comma 2° del predetto articolo prevede che l’obbligo di minimizzazione dei dati “vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità”.

Ed ancora, il comma 3° dell’articolo sopracitato prevede la possibilità di utilizzare la certificazione ai sensi dell’articolo 42 per dimostrare la conformità con la data protection by design e by default.

Questo significa che quando un trattamento, posto in essere dal data controller o dal data processor, è certificato a norma dell’articolo 42, le autorità di controllo devono tenerlo in considerazione nel loro assessment di compliance con il GDPR, in particolare per quanto concerne la protezione dei dati by design e by default.

In tale ipotesi, gli elementi che contribuiscono a dimostrare la compliance con l’articolo 25, commi 1° e 2° sono costituiti dai processi di determinazione dei mezzi del trattamento, dalla governance e dalle misure tecnico e organizzative volte ad attuare i principi di protezione dei dati.

Si evidenzia altresì che anche nell’ipotesi in cui un trattamento sia certificato ex articolo 42 il data controller ha l’obbligo di monitorare con costanza e garantire la compliance con i criteri sanciti dall’articolo 25.

I poteri correttivi delle autorità di controllo

Le autorità di vigilanza possono valutare il rispetto dell’articolo 25 secondo le quanto stabilito dall’articolo 58, comma 2°, del GDPR che prevede una serie di poteri correttivi, tra cui

  1. emettere degli avvertimenti al titolare del trattamento o al responsabile del trattamento;
  2. emettere degli ammonimenti;
  3. ingiungere un ordine per garantire il rispetto dei diritti dei soggetti interessati;
  4. imporre una limitazione provvisoria o definitiva al trattamento (incluso il divieto di trattamento);
  5. infliggere una sanzione amministrativa pecuniaria i sensi dell’articolo 83;
  6. ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

La data protection by design e by default rappresenta un fattore determinante per le sanzioni di carattere pecuniario previste dal GDPR.

Data protection by design e by default: le raccomandazioni dell’EDPB

Nonostante non siano direttamente disciplinati dall’articolo sopracitato, anche i data processors e i producers sono riconosciuti come essenziali “facilitatori” per la protezione dei dati personali by design e by default e dovrebbero essere consapevoli che i data controllers devono trattare solo dati personali mediante sistemi e tecnologie integrati per la protezione dei dati.

Nel caso di trattamento per conto dei data controllers o di fornitura di soluzioni a data controllers, i data processors e i producers dovrebbero utilizzare le loro competenze per creare fiducia e guidare i loro clienti, comprese le PMI, nella progettazione di soluzioni/servizi che integrino la protezione dei dati nel trattamento.

Con le Linee Guida adottate, l’EDPB fornisce una serie di raccomandazioni ai data controllers e ai data processors allo scopo di facilitare e migliorare l’attuazione dei principi di protezione dei dati by Design e by Default.

Tra le predette raccomandazioni si evidenziano che quelle seguono:

  1. i titolari del trattamento dovrebbero pensare alla protezione dei dati fin dalle fasi iniziali di pianificazione di un trattamento, anche prima della determinazione dei mezzi del trattamento;
  2. qualora il titolare del trattamento si avvalga di DPO, l’EDPB incoraggia un coinvolgimento attivo dello stesso al fine di integrare la protezione dei dati by Design e by Default nelle procedure di procurement e di sviluppo, oltre che nell’intero ciclo di vita del trattamento;
  3. un trattamento può essere certificato. La capacità di ottenere un processing certificato fornisce un valore aggiunto al data controller quando sceglie tra diversi software di elaborazione, hardware, servizi e/o sistemi di producers o data processors. Pertanto, i producers dovrebbero dimostrare che la data protection by Design e by Default è assicurata nell’ intero ciclo di vita dei loro processing systems. La presenza di una certificazione potrebbe altresì guidare i data subjects nelle loro scelte tra i diversi beni e servizi. Pertanto, avere la capacità di ottenere un trattamento certificato può rappresentare un vantaggio competitivo per i produttori, i responsabili del trattamento e i titolari del trattamento, oltre che accrescere la fiducia dei soggetti interessati nel trattamento dei dati personali;
  4. i producers e i data processors dovrebbero cercare di facilitare l’attuazione della data protection by Design e by Default al fine di sostenere la capacità del titolare del trattamento di ottemperare agli obblighi di cui all’articolo 25. Pertanto, i data controllers non dovrebbero scegliere produttori o data processors che non offrono sistemi che consentano o sostengano i data controllers di conformarsi all’articolo 25, in quanto i quest’ultimi sono responsabili della mancata attuazione del predetto articolo;
  5. i producers e i data processors dovrebbero svolgere un ruolo attivo nel garantire che i criteri per lo “Stato dell’arte” sono soddisfatti e notificare ai data controllers le potenziali modifiche del predetto stato in quanto potrebbero influire sull’efficacia delle misure poste in essere;
  6. l’EDPB raccomanda ai data controllers di esigere che i produttori e i data processors dimostrino in quale modo i loro hardware/software/servizi/sistemi permettono di essere compliant con i requisiti di responsabilità previsti per la protezione dei dati by design e by default (e.g con l’utilizzo di specifici key performance indicators per dimostrare l’efficacia delle misure di salvaguardia adottate);
  7. l’EDPB sottolinea altresì la necessità di un approccio armonizzato per l’attuazione di principi e dei diritti in modo efficace, e incoraggia le associazioni o gli organismi a elaborare codici di condotta a norma dell’articolo 40 includendo anche orientamenti specifici in materia di protezione dei dati by design e by default;
  8. i titolari del trattamento devono essere leali nei confronti degli interessati e trasparenti su come essi valutano e garantiscono la data protection by design e by default in attuazione del principio di accountability previsto dal GDPR.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA