MODELLO PRIVACY

Privacy by design, guida pratica: ecco come adottare un sistema efficace di protezione dati

Attuare il principio di privacy by design introdotto dal GDPR significa mettere in piedi un sistema strutturato ed efficace per la protezione dei dati. Ecco una guida pratica per approcciare correttamente questo importante adempimento

20 Dic 2019
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist


L’articolo 25 del Regolamento Generale sulla Protezione dei Dati (Regolamento UE 679/2016, noto anche come GDPR) ha introdotto l’obbligatorietà per tutte le organizzazioni di applicare il principio di protezione dei dati fin dalla progettazione (dall’inglese data protection by design), sintetizzato come privacy by design.

Effectiveness is at the heart of the concept of data protection by design“. Questa frase è il cuore delle Linee Guida sull’art. 25 GDPR e sui principi di data protection by design e by default da poco pubblicate dall’EDPB (al momento in consultazione pubblica fino al 16 gennaio 2020).

Sulla necessità di “effectiveness” si era pronunciata l’autorità spagnola AEPD il mese scorso, nel documento “Guida alla Privacy By Design” e sul tema si sono pronunciate anche altre autorità, tra cui la CNIL francese, l’ICO inglese e la DPA norvegese.

Diventa, quindi, cruciale comprendere come adempiere in modo “effective” agli obblighi previsti, traducendoli in azioni operative all’interno dell’azienda.

Privacy by design: un approccio efficace

L’art. 25 GDPR è un articolo strategico perché il suo corretto adempimento è cruciale per la conformità a numerosi obblighi dettati dal Regolamento e può rivelarsi un processo estremamente virtuoso, anche al di là del mero adempimento alla normativa privacy, poiché obbliga l’azienda:

  1. a progettare ogni servizio o attività in modo minuzioso;
  2. a mantenere il controllo in ogni fase;
  3. ad ottimizzare i processi e i flussi informativi interni.

Possiamo ipotizzare di approcciare l’adempimento di quanto disposto dall’art. 25 nello stesso modo in cui un ingegnere gestisce la progettazione e la realizzazione di un immobile: l’ingegnere incaricato della costruzione ascolta attentamente le esigenze del cliente, indagandone le finalità, verificando la destinazione d’uso dell’immobile, il luogo in cui si vuole costruire.

Sulla base delle esigenze manifestate dal cliente, l’ingegnere, prima di iniziare la realizzazione, effettua uno studio preliminare, valuta ogni obbligo o vincolo presente: verifica i parametri urbanistici, effettua le opportune verifiche del suolo su cui si vuole costruire, per comprendere se l’immobile può essere costruito in sicurezza secondo le specifiche considerate.

Una volta raccolti tutti gli elementi necessari, l’ingegnere predispone una bozza, un layout di massima e verifica che il progetto rispetti gli obblighi normativi e le finalità del cliente e che tutte le misure necessarie siano state previste.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Definito il progetto, l’ingegnere inizia la parte esecutiva, avvalendosi di persone competenti e formate, che saranno formalmente autorizzate ad entrare in cantiere.

Un ingegnere non inizierebbe mai ad eseguire la costruzione prima di avere calcolato la quantità di cemento armato necessaria per far sì che la struttura non crolli. Allo stesso modo, il titolare non dovrebbe eseguire il trattamento prima di avere effettuato tutte le opportune verifiche.

Come traslarlo nella vita quotidiana di un’azienda?

Se l’ingegnere ha l’obiettivo di realizzare un immobile, il titolare del trattamento avrà di volta in volta l’obiettivo di porre in essere una determinata attività o acquistare un servizio o un prodotto. Le garanzie necessarie a proteggere i diritti e le libertà degli interessati devono essere integrate nel processo aziendale già nella fase preliminare, quella nella quale sono effettuate le valutazioni necessarie a determinare se e a quali condizioni procedere.

Nella fase in cui sta progettando, sviluppando, ideando, selezionando l’utilizzo di un determinato servizio o la realizzazione di una specifica attività, che si tratti dell’acquisto di un nuovo applicativo, di uno strumento di marketing o di un impianto di controllo accessi, l’azienda deve inevitabilmente prendere in considerazione diversi elementi, tra cui le specifiche tecniche, i livelli di servizio, l’assistenza e le garanzie prestate dal fornitore e l’affidabilità di quest’ultimo, il costo e l’interazione con i sistemi già esistenti, piuttosto che la necessità di esternalizzare parti dell’attività; insieme a tutti questi elementi dovrà considerare le garanzie necessarie a tutelare gli interessati in relazione ai loro dati personali e a operare in modo conforme al dettato normativo.

Privacy by design, guida pratica: fasi e attività operative

Ipotizziamo, quindi, di costruire allo stesso modo la compliance al principio di data protection by design, schematizzando le fasi e attività fondamentali.

  1. Definire una struttura organizzativa interna all’azienda che identifichi ruoli e responsabilità. La struttura dovrà coinvolgere i soggetti apicali dell’azienda e prevedere figure competenti e preparate che garantiscano l’esecuzione di tutti gli adempimenti. La struttura interna, che è il cemento armato della costruzione, deve risultare efficace: è inutile, infatti, dotarsi di strutture imponenti e ampollose che non risultano idonee sul campo a gestire adeguatamente i processi; meglio optare per una struttura snella ma efficiente e ricomprendere nell’organizzazione figure preparate e competenti.
  2. Dotarsi di procedure che siano “tailored” sulla singola realtà aziendale, coerenti con tutti Modelli già adottati e inserite nei processi esistenti. Le procedure dovrebbero individuare chiaramente i soggetti coinvolti, definire le attività di ciascuno e assegnare le relative responsabilità, predisponendo una matrice di assegnazione delle responsabilità per ciascun processo. Per risultare efficienti, le procedure devono tradursi in istruzioni operative, devono essere scritte in modo semplice e comprensibile a tutti gli attori coinvolti e prevedere meccanismi di revisione e aggiornamento in caso di modifiche. È indispensabile definire il flusso informativo e che ci sia sinergia e collaborazione tra le divisioni coinvolte. Lo scopo delle procedure deve essere quello di definire le strategie per traslare in termini pratici e operativi i principi di privacy by design.
  3. Progettare. La definizione del progetto avverrà, quindi, secondo quanto stabilito nella procedura aziendale, che potrà prevedere le seguenti fasi:
    1. Definizione del contesto dell’iniziativa. Il soggetto individuato come responsabile di questa fase (ad es. il Project Manager) dovrà raccogliere le informazioni necessarie per le verifiche, ovvero, almeno:
      – una chiara descrizione dei trattamenti che si intende effettuare;
      – quali dati personali si intende trattare, identificando se si tratta di dati comuni o se si reputa necessario il trattamento di categorie particolari di dati o dati relativi a condanne penali e reati;
      – quali sono gli interessati coinvolti;
      – quali sono le finalità per le quali si intende trattare i dati;
      – quali sono le modalità di raccolta dei dati ipotizzate;
      – quali soggetti, internamente all’azienda, dovranno trattare i dati e con quali profili di accesso;
      – quali soggetti terzi, siano autonomi titolari o responsabili del trattamento, si ritiene dovranno essere coinvolti e che attività dovranno svolgere.
      – quali tempi di conservazione dei dati sono ipotizzati;
      – eventuali trasferimenti dei dati personali intra UE e/o extra UE.
    2. Studio di fattibilità. Una volta raccolte le informazioni, occorrerà considerare ulteriori elementi necessari per la realizzazione del progetto, quali:- Le basi giuridiche di ciascun trattamento e gli adempimenti che ne derivano: se la base giuridica sarà il consenso occorrerà determinare la modalità di raccolta e conservazione, verificarne la legittimità, identificare le modalità di revoca dello stesso; se, diversamente, il trattamento fosse fondato sul legittimo interesse, si dovrà effettuare un assessment, un bilanciamento con i diritti e le libertà dell’interessato di cui sarà opportuno tenere traccia in un documento.
      – Il coinvolgimento di fornitori esterni: considerando che il titolare può ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, secondo quando prescrive l’art. 28 GDPR, ne consegue che già in questa fase il titolare deve valutare la sua affidabilità non solo in termini economici e in relazione alla sua capacità di erogare i servizi richiesti, ma anche in merito al fatto che sia in grado di adottare le misure adeguate per far sì che il trattamento sia conforme al GDPR e garantisca la tutela degli interessati. Già in questa fase, quindi, sarà opportuno inserire un meccanismo idoneo a rendere effettiva questa verifica.
      – I testi da predisporre, per determinare già in fase di progettazione come renderli disponibili e in che forma: l’informativa per gli interessati potrà essere resa con modalità differenti, a seconda che si predisponga un form di raccolta dati in una pagina di un sito web oppure che si raccolgano i dati attraverso la compilazione di un modulo cartaceo. È importante valutare in questa fase la modalità con la quale si intende presentare l’informativa agli interessati per poterla correttamente implementare nella soluzione individuata, in modo che soddisfi i requisiti di trasparenza, chiarezza, accessibilità, rilevanza, comprensibilità.
      – L’identificazione del periodo di conservazione dei dati personali oggetto di trattamento, per verificare di poter implementare idonei meccanismi di cancellazione o anonimizzazione dei dati.
      – La verifica del rispetto delle condizioni di cui al capo V del GDPR in caso di previsione di trasferimenti dei dati extra-UE.
      – La possibilità di implementare meccanismi efficienti che permettano agli interessati l’esercizio effettivo dei propri diritti.
    3. Dimensionamento. Al fine di assicurare che la costruzione sia solida, sarò opportuno tenere in considerazione anche:
      1. L’architettura logica del sistema informativo a supporto del servizio e, di conseguenza, delle caratteristiche di sicurezza, dei profili di accesso, della localizzazione dei dati e dei flussi informativi.
      2. Il livello di rischio per i diritti e le libertà degli interessati associato ai trattamenti oggetto dell’iniziativa, individuate le minacce e le vulnerabilità. A seguito dell’analisi del rischio, si determinerà il grado di probabilità e il danno che ne potrebbe conseguire in modo da determinare se le soluzioni individuate risultino sufficienti oppure occorre modificarle. Questo permetterà di anticipare il rischio (“preventative”, come richiedono le Linee Guida dell’EDPB), anziché dovere poi riparare il danno, di assumere un atteggiamento proattivo, anziché reattivo. Dall’analisi del rischio potrebbe emergere la necessità di effettuare una DPIA (Data Protection Impact Assessment). In questo caso, prima di procedere al trattamento si procederà a svolgere la valutazione d’impatto dei trattamenti previsti e si dovranno prevedere meccanismi che assicurino l’integrazione nel progetto delle misure di sicurezza che dovessero rendersi necessarie sulla base dei risultati della DPIA.
      3. Le misure di sicurezza da adottare, sulla base dei rischi rilevati, per proteggere la riservatezza, integrità e disponibilità dei dati. Fin dalla prima fase, infatti, dovrò inserire nel progetto le misure volte a minimizzare i dati, anche successivamente alla raccolta, valutando l’opportunità di aggregarli o anonimizzarli e di utilizzare misure tecnologiche specifiche, come la pseudonimizzazione o la crittografia.
  4. Predisposizione del progetto esecutivo. A seguito dell’analisi di conformità, sarà possibile predisporre il progetto esecutivo, tenendo conto di tutto quanto sopra e verificando che siano rispettati i principi a tutela degli interessati. In particolare, occorrerà:
    – Prevedere di raccogliere e trattare la minore quantità possibile di dati, sia con riferimento al numero di interessati che al volume di dati personali, con attenzione anche ai tipi di dati, alle categorie e al livello di dettaglio che il trattamento necessita. Occorre, quindi, assicurarsi che i dati che si intende raccogliere siano solo quelli indispensabili per il perseguimento delle finalità individuate ed escludere quei dati che dalla verifica risultino irrilevanti. Potrebbe essere opportuno prevedere l’anonimizzazione o la cancellazione di parte dei dati personali inizialmente raccolti, non appena il loro trattamento non risulti più necessario.
    – Valutare, identificare e adottare ogni misura idonea per gestire adeguatamente gli accessi ai dati personali da parte del personale interno all’azienda, prevedendo l’adozione di misure che restringano l’accesso ai dati secondo il principio di “need to know”, sia in relazione alle divisioni aziendali e ai ruoli coinvolti, sia in relazione al periodo di tempo per il quale l’accesso è necessario. Per contro, occorrerà adottare anche le misure che rendano inaccessibili quei dati ai soggetti non autorizzati, eliminando i link eventualmente esistenti tra datasets e isolando i database (raccogliendo e conservando i dati personali in database differenti o applicazioni indipendenti).
    – Prevedere idonei meccanismi di informazione per l’interessato e di gestione di eventuali data breach.
    – Inserire dei meccanismi di aggiornamento e revisione delle scelte fatte e di analisi della conformità dei trattamenti in tutti i casi in cui intervengano delle modifiche rilevanti, in modo da assicurare l’individuazione di eventuali non conformità dei trattamenti di dati personali e poter intervenire in tempi rapidi a sanare la situazione.
    – Documentare ogni scelta per essere sempre in grado di dimostrare di avere effettuato le opportune valutazioni prima dell’adozione.
  5. Formazione. Nulla di quanto previsto fino ad ora potrà funzionare senza un elemento fondamentale, che a mio parere corrisponde, per tornare al paragone inziale, alle fondamenta della costruzione: la formazione di tutti i soggetti coinvolti, gli autorizzati, gli incaricati. Non esiste misura di sicurezza informatica sufficiente, se il personale che operativamente e quotidianamente tratta i dati personali non ha un’adeguata formazione, che deve essere concreta e specifica, sui principi normativi e sulle basilari regole di “cyber hygiene”; la formazione deve essere mirata e tale da permettere agli autorizzati di sapere come devono comportarsi quotidianamente per non violare la normativa e, in caso di dubbio o incertezza, sapere che devono chiedere chiarimenti o indicazioni e sapere a chi chiederle. I soggetti autorizzati, poi, dovranno essere adeguatamente istruiti, che si utilizzi una nomina a incaricato o altro documento equivalente, l’importante è che siano determinati per ciascun ruolo o funzione gli ambiti del trattamento autorizzato.

L’osservanza effettiva ed efficace del principio di data protection by design permette di far nascere il trattamento già in compliance con il dettato del GDPR e permette di approntare una seria tutela degli interessati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4