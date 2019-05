* di Sarah Yacoubi – L’entrata in vigore del nuovo regolamento europeo in materia di protezione dei dati personali GDPR 679/2016 ha determinato un radicale cambiamento nell’approccio adottato nella regolamentazione della materia, introducendo nel sistema legislativo di settore principi prima estranei al nostro ordinamento ed attribuendo, tra questi, un ruolo di preminente centralità e di guida a quello così detto “responsabilizzazione” del titolare e del responsabile del trattamento. Il concetto di cui si parla è quello di “accountability”, che trova in italiano la traduzione più adatta in“responsabilizzazione”. Per comprenderne appieno il significato possiamo dire che l’esigenza sottesa al principio di responsabilizzazione mira al raggiungimento della protezione effettiva del dato personale oggetto di trattamento: i soggetti che determinano finalità e mezzi del trattamento, o che trattano i dati per loro conto, dunque il titolare ed il responsabile del trattamento, devono si agire secondo le migliori prassi ma altresì dimostrare di aver posto in essere tutte le misure di sicurezza opportune e necessarie, fornendo una giustificazione al perché delle decisioni ed azioni intraprese.

Un primo riferimento alle misure di sicurezza è contenuto nel disposto dell’art. 22 del GDPR, il quale dispone che il titolare del trattamento dei dati personali debba adottare delle misure tecniche e organizzative idonee al fine di assicurare, ed essere poi in grado di dimostrare, che il trattamento dei dati personali è realizzato in modo conforme alla disciplina dettata dal Regolamento stesso. Questa norma è, in particolare, in linea con il principio della responsabilizzazione (c.d. accountability) che sta alla base del nuovo approccio promosso dal Regolamento europeo.

Facendo poi un passo più avanti, l’art. 32 del GDPR si occupa nello specifico della sicurezza del trattamento dei dati personali (“Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”), che dovrà essere garantita attraverso l’adozione di una serie di misure concrete.

Secondo questa norma, infatti, il titolare e il responsabile del trattamento dei dati personali dovranno predisporre ed attuare delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

Per fare questo essi dovranno tenere debitamente conto dell’attuale stato dell’arte (della tecnologica disponibile, dei sistemi informatici, ecc), dei costi di attuazione, della natura dei dati e dei meccanismi adottati, del campo di applicazione, del contesto e delle finalità del trattamento dei dati, oltre che del rischio per i diritti e le libertà delle persone fisiche che può essere più o meno probabile e più o meno alto a seconda di ciascun diverso contesto.

Più nello specifico, alcune delle misure che il titolare o il responsabile del trattamento dei dati potranno concretamente adottare sono, come stabilito dall’art. 32, paragrafo 1:

la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Per quanto concerne ad esempio la pseudonimizzazione, questa deve essere intesa come un particolare trattamento dei dati personali realizzato in modo tale che i dati stessi non potranno più essere attribuiti direttamente ed automaticamente ad un interessato specifico. Infatti, i trattamenti saranno pseudonimizzati quando tali dati potranno essere ricondotti all’interessato cui si riferiscono solo attraverso l’impiego di altre informazioni aggiuntive, che dovranno essere, a tal fine, conservate separatamente e con l’impiego di precauzioni tecniche e organizzative adeguate (la definizione datane direttamente dal GDPR, all’art. 4, num. 5, è la seguente: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”). La finalità ultima è difatti quella di garantire che i dati personali non possano essere attribuiti ad una persona fisica identificata o identificabile.

Un’altra misura che potrà essere adottata è quella della cifratura dei dati, da realizzare attraverso l’utilizzo di meccanismi che normalmente prevedono l’impiego di algoritmi di crittografia. Questi ultimi in particolare, mediante l’utilizzo di una passphrase (una tipologia particolare di password, ma più complessa), consentono in una prima fase di “occultare” i dati per poi renderli disponibili in un secondo momento (solitamente attraverso un processo di autenticazione). Si tratta quindi di un meccanismo che permette di protegge i dati conservati attraverso modalità che, nella maggior parte dei casi, non sono superabili o aggirabili da malintenzionati.

La norma fa poi riferimento al concetto di resilienza dei sistemi e dei servizi informatici che trattano i dati personali. Questo concetto si riferisce, in termini molto generali, alla capacità intrinseca di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura al fine di assicurare sempre la disponibilità dei servizi che vengono forniti e la adeguata protezione dei dati che vengono trattati con tali sistemi.

La norma attribuisce rilievo anche al concetto di disaster recovery, che consiste nella capacità di reagire in modo efficace e tempestivo ad eventuali criticità dovute ad incidenti fisici o tecnici, allo scopo di ripristinare la disponibilità e l’accesso dei dati personali oggetto di trattamento.

A tale riguardo, sarà quindi importante per i titolari predisporre un programma specifico attraverso cui analizzare innanzitutto i rischi che potrebbero andare a colpire il sistema informatico; prevedere poi le adeguate misure da adottare per minimizzarli; ed infine predisporre un piano di emergenza che permetta di attuare un sistema alternativo di elaborazione dei dati da utilizzare in attesa della completa riattivazione.

Ribadendo che, come previsto dall’art. 32, paragrafo 1 sopra richiamato, le misure di sicurezza dovranno essere tali da “garantire un livello di sicurezza adeguato al rischio” creato dal trattamento, che l’elencazione delle misure fatta dal GDPR deve essere necessariamente considerata esemplificativa e non esaustiva e, in questo senso, aperta all’individuazione di altre diverse possibili misure ideate in base al contesto concreto in cui vengono poste in essere.

Come precisato poi dalle linee guida del Garante della Privacy in materia, per lo stesso motivo, non potranno sussistere dopo il 25 maggio 2018 -data in cui il GDPR sarà pienamente applicabile in tutti gli stati membri dell’Unione Europea- obblighi generalizzati di adozione di misure minime di sicurezza, come previsto attualmente dall’art. 33 del Codice in materia di protezione dei dati personali (e dal relativo allegato tecnico).

Una valutazione di questo tipo infatti sarà rimessa direttamente al titolare e al responsabile del trattamento, che dovranno compierla caso per caso in relazione ai rischi specificamente individuati, come stabilito del resto dallo stesso art. 32 del GDPR.

Infine, è opportuno richiamare l’attenzione anche sulla possibilità dell’utilizzo di specifici codici di condotta o meccanismi di certificazione che consentano di documentare l’idoneità delle misure di sicurezza adottate.

Le prime sanzioni a livello europeo. Il Garante privacy francese vs Google (50 milioni di euro) sia perché di particolare risalto mediatico (basti pensare che il destinatario della stessa è il colosso del web di origine californiana).

La sanzione comminata dal Garante privacy austriaco. Nel mese di ottobre 2018, l’Autorità Garante della Privacy austriaca (Datenschutzbehörde), ha erogato, a seguito di apposita ispezione, una sanzione da 4 mila euro ad una azienda che utilizzava il sistema di video sorveglianza in modo non appropriato

La sanzione comminata dal Garante privacy tedesco. Lo scorso 22 novembre 2018, il Garante per la protezione dei dati personali dello Stato di Baden –Württemberg (Landesbeauftragte Für Den Datenschutz Und Die Informationsfreiheit – LFDI) sanzionava il sito di chat online Knuddels.de (“Coccole”), popolare negli anni 2000 prima dell’avvento di Facebook, al pagamento della multa di circa ventimila euro.

La prima sanzione del Garante privacy portoghese. Altra rilevante applicazione pratica delle sanzioni GDPR è rappresentata dal caso Hospitalar Barreiro Montijo, dove il Comissão Nacional de Protecção de Dados (CNPD) ha sanzionato per un importo complessivo di 400 mila euro una struttura ospedaliera.

La prima sanzione del Garante privacy polacco. L’Autorità polacca per la protezione dei dati personali (UODO) ha sanzionato una società per aver omesso di informare circa sei milioni di persone riguardo al trattamento ai fini commerciali dei loro dati tratti da fonti accessibili al pubblico. Agli interessati è stato così precluso la possibilità di esercitare i diritti loro riconosciuti dal GDPR, tra cui in primis quello di opposizione. La vicenda è meritevole di attenzione poiché la multa di 943.000 zloty polacchi, pari a circa 220.000 euro

I primi provvedimenti del Garante privacy italiano: la sanzione all’Associazione Rousseau. Ancora un provvedimento del Garante privacy italiano. La sanzione inflitta al medico accusato di aver utilizzato dati di ex-pazienti per propaganda elettorale

A ben capire le prime sanzioni non sono tardate ad arrivare. Tuttavia, alla luce di quanto sopra elencato, le Autorità Nazionali per la tutela dei dati personali hanno agito in modo tale da assicurare il rispetto del GDPR senza però punire eccessivamente i titolari sanzionati al chiaro scopo di garantire una applicazione graduale e progressiva del Regolamento europeo e di orientare, a fini preventivi, titolari e responsabili verso una corretta applicazione del GDPR.

Occorre chiedersi che cosa devono fare le aziende di casa nostra (Italia).

La risposta. Le aziende italiane devono avere la consapevolezza della necessità dell’esistenza di una giustificazione in ogni scelta e decisione compiuta; avere altresì la giusta accortezza, accompagnata da un razionale senso di preoccupazione, nell’adeguarsi prima possibile alle migliori prassi operative e di sicurezza e nell’adottare i provvedimenti più idonei ed opportuni.

Infine, non ci si può esimere dall’ammonire sul peso che avrà il provvedimento del Garante privacy italiano ben al di là del caso specifico che ha coinvolto la piattaforma Rousseau. La politica, infatti, come ogni altro aspetto e settore della nostra vita sono già da tempo oggetto di un processo di datificazione a tutti noi noto, e questo farà del Garante per la protezione dei dati personali, ogni giorno di più, un’Autorità importantissima per la tutela della democrazia, così come dell’economia e del progresso in generale.

*Privacy consulent & security

University professor Pegaso