Serve un approccio transdisciplinare per concretizzare al meglio il principio di data protection by design in azienda. Il concetto della protezione dei dati “by design” è ormai entrato nel glossario dei soggetti che hanno portato avanti un progetto di adeguamento al GDPR. Tuttavia, il regolamento non esprime che un principio generale, ed è compito delle organizzazioni definire le migliori prassi per garantirne l’attuazione.
Appare evidente che occorre dotarsi di metodi e di capabilities in grado di assicurare che ogni iniziativa progettuale, specie se a carattere altamente innovativo, sia costruita e coordinata secondo un approccio transdisciplinare, perché non basta guardare distintamente le singole componenti.
Indice degli argomenti
Data protection by design, che cos’è
Il Regolamento 679/2016 (GDPR), in vigore da più di due anni, all’articolo 25 prevede:
«Il titolare del trattamento metta in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica».
Non si tratta di un concetto completamente nuovo; infatti, formulato in modo diverso, era già presente nel precedente art.3, “Principio di necessità nel trattamento dei dati” del Decreto legislativo n° 196/2003. La differenza fondamentale è tutta in quella espressione “by design”, che tradotta nella nostra lingua significa: sin dalla progettazione. Questo principio è alla base del concetto di responsabilizzazione e consapevolezza dei rischi, intesi come misura delle conseguenze del trattamento sui diritti e le libertà dell’interessato.
In tal senso i trattamenti dovranno essere progettati fin dall’inizio in modo da limitare il più possibile i rischi, adottando le misure di sicurezza ritenute adeguate. Non si tratta più quindi solo di configurare i sistemi preposti al trattamento dei dati, riducendo al minimo l’utilizzazione di dati personali, ma si tratta di progettare questi sistemi già data protection by design ovvero rispettosi di tutti i requisiti di data protection, ma anche ricchi di tutte quelle funzionalità che rendono possibili nel tempo le operazioni richiesta dal Regolamento, ad esempio la cancellazione dei dati “a scadenza”, la tracciabilità delle richieste degli interessati nell’esercizio dei loro diritti, nonché le risposte da dare agli interessati stessi ecc., agevolando il titolare nella gestione operativa di tutti gli adempimenti necessari.
Il concetto è apparentemente semplice, occorre però considerare che per trattamento si intende ogni operazione che elabori dati personali (ad esempio l’archiviazione, la consultazione o la cancellazione di dati personali), anche per ragioni profondamente interne ai sistemi, e che mai come nell’epoca che stiamo vivendo, l’elaborazione dei dati è stato così pervasiva.
La trasformazione digitalee l’impatto sulla data protection
Il cambiamento che è in atto da alcuni anni, noto come trasformazione digitale, sta modificando sostanzialmente tutti gli aspetti della società e delle relazioni umane: si vanno via via trasformando le dinamiche correlate al lavoro, quelle per gli spostamenti, per gli acquisti, per lo sport e il tempo libero, e vengono generati servizi di ogni genere, da quelli essenziali a quelli meramente ludici. E questo grandioso e vasto “paesaggio datificato” è a disposizione della stragrande maggioranza della popolazione.
Il mondo interconnesso che si va creando prospera in un ambiente digitale, che produce, elabora e condivide incessantemente dati. Poiché quasi tutto ciò che un’organizzazione fa si fonda oggi sullo scambio e sull’elaborazione di dati, c’è da attendersi che creatività e tecnologia consentiranno di raggiungere in futuro traguardi via via più ambiziosi.
La circolazione di questa massa crescente di dati dovrà avvenire garantendo il posizionamento centrale dell’utente fruitore dei servizi e il suo diritto individuale di proteggere i propri dati personali.
Il Regolamento persegue certamente la finalità di rendere sempre più possibile l’uso dei servizi digitali, – si pensi ad esempio al nuovo diritto alla portabilità, che stabilisce che “l’interessato ha il diritto di ricevere da un operatore di servizi i dati personali che lo riguardano, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e ha il diritto di tramettere questi dati ad un altro operatore“. Ciò avviene attraverso la definizione di regole a favore della creazione di un clima di fiducia fondato sulla trasparenza, e di un quadro di certezze normative, che assicura alle persone fisiche il controllo sui propri dati personali – sia ex-ante al trattamento, fornendo o negando il consenso, sia ex-post, potendo esercitare nel tempo i propri diritti.
Grazie all’internet delle cose ci attendono quindi nuovi servizi e nuovi prodotti che oggi non riusciamo neanche a immaginare, e che avranno alla base nuove operazioni di trattamento di dati personali. Vale la pena soffermarci però sul fatto che ogni nuovo servizio o prodotto, non è altro che la trasformazione di un processo esistente, o l’adozione di nuovi modelli attraverso i quali raggiungere i propri obiettivi, più tipicamente di business, ma anche a fini scientifici, sociali, culturali e via dicendo.
Una trasformazione di tale portata, che introduca nuovi patterns of business activities, per usare una terminologia cara ad ITIL (Information Technology Infrastructure Library), o che pur mantenendo lo stesso modello, adotti nuovi mezzi per il trattamento dei dati, non può prescindere da progetti di implementazione, in grado di coordinare tutte le complesse tematiche sottese.
Una visione olistica dell’iniziativa progettuale
Se da un lato è noto che una delle caratteristiche salienti atte a definire un progetto è il fatto di impiegare team multi disciplinari, per un progetto di trasformazione digitale, che abbia a fondamento il trattamento di dati personali, è auspicabile un approccio transdisciplinare, ovvero l’adozione di practice di project management, che garantiscano una visione integrata che superi le frontiere, spesso artificiali, che separano e distinguono le varie discipline.
Questo significa che vi sarà sempre bisogno di specializzazioni verticali – analisti di business, data steward, architetti per la sicurezza informatica, esperti legali saranno parte del team di progetto – ma ciò non dovrà far perdere quella visione d’insieme di ciò che il progetto andrà a realizzare, del contesto specifico in cui andrà a collocarsi in integrazione con altri sistemi e/o banche dati, del quadro legislativo vigente applicabile, non tralasciando di analizzare preventivamente ricadute positive o negative sugli interessati, ovvero su coloro cui saranno destinati, direttamente o indirettamente i prodotti del progetto, una volta concluse tutte le fasi realizzative.
In sostanza, quindi, si ritiene di poter generare del vero valore da una visione circolare e correlata di tutte le tematiche afferenti al dominio del progetto. Un valore che se da un lato richiede la capacità di integrare nelle practice di project management tutta una serie di aspetti che ad oggi non ne fanno parte, dall’altro garantisce la costruzione di una visione trasversale delle iniziative, che potrebbe essere di stimolo per innovare continuamente i modelli di business di un’organizzazione.
La progettazione by design anche per il cantiere del progetto
Non è raro che il project management debba contemplare due ambiti: uno che guarda al progetto e uno che guarda a ciò che il progetto deve realizzare. Come prescrive anche la ISO 27001 la sicurezza delle informazioni deve essere indirizzata in seno ad ogni metodologia di project management, e per qualsiasi tipologia di progetto. Se il progetto si trova a dover trattare dati personali, l’ambiente del progetto dovrà essere disegnato tenendo conto di ogni requisito di sicurezza necessario a garantire la protezione dei dati.
Si pensi, ad esempio, a progetti di migrazione/integrazione dati in cui le fasi culminanti hanno bisogno di impiegare dati personali reali degli ambienti di produzione, o progetti di indagine statistica in cui una fase del progetto è costituita proprio dalla raccolta dei dati presso gli interessati. Ogni project manager ha l’obbligo di approntare un quadro sicuro e soprattutto deve fare in modo che tutto il team di progetto operi in un quadro sicuro. La metodologia stessa di project management dovrebbe prevedere che:
- il piano dei rischi di progetto includa i rischi per la sicurezza delle informazioni, ovvero l’impatto potenziale di una violazione dei dati durante il progetto;
- il piano dei costi includa i costi per l’implementazione delle contromisure di sicurezza necessarie, ad esempio, per la definizione di ambienti più sicuri, per le operazioni di backup dei vari ambienti impiegati, di gestione di scambi di informazioni cifrate, di procedure di “entrata” e di “uscita” dei componenti dal team di progetto e relative aperture e chiusure di utenze con le autorizzazioni necessarie e via dicendo.
Non si deve dimenticare che in generale gli archivi di progetto sono una ricca fonte di documenti preziosi e, a causa della natura temporanea dei lavori, i controlli di accesso ai sistemi di documentazione non sono sempre adeguati e i log non vengono mantenuti, dato che il progetto si chiuderà e il team di progetto verrà sciolto.
Tra le fasi “tecniche” del progetto deve aggiungersi anche la progettazione di una fase di “accompagnamento” atta a trasferire tutti i requisiti a coloro che dovranno farsi carico della gestione operativa di ciò che il progetto ha realizzato. Non è raro infatti riscontrare che talune categorie di requisiti possano apparire secondarie ad altre; specie nelle circostanze in cui ci si deve focalizzare sul corretto funzionamento, i requisiti di protezione dei dati possono passare in secondo piano.
La responsabilità del titolare del trattamento
Un’ultima riflessione: il GDPR affida al titolare del trattamento la protezione dei dati fin dalla fase di progettazione. Nella realtà dei fatti però il titolare si trova sempre più spesso ad impiegare sistemi, servizi, applicazioni, realizzati da altri soggetti, che solo in taluni casi sono poi coinvolti nel trattamento dei dati, allorquando questo avviene in concreto.
Lo spunto di riflessione viene leggendo il considerando n. 78, ove – in effetti il Regolamento non si rivolge solo al titolare del trattamento, ma cita espressamente «i produttori dei prodotti, dei servizi e delle applicazioni», che «in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni… dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni».
La responsabilità per la progettazione sicura del trattamento è in concreto del titolare, anche se il principio sembra rivolgersi anche e soprattutto a chi progetta e realizza sistemi, applicazioni, servizi. In effetti in assenza di requisiti incardinati nei sistemi, servizi, applicazioni ex-ante, come potrebbe il titolare dimostrare compiutamente di adempiere agli obblighi di protezione richiesti? Anche per questa ragione è necessario che la practice di project management si arricchisca di tutti quegli aspetti che garantiscano una accurata selezione delle sole soluzioni ICT che siano rispettose dei requisiti data protection by design specifiche dell’organizzazione.
