Come le misure di sicurezza previste nel GDPR cambieranno il nostro approccio ai rischi che coinvolgono i dati personali

(di Andrea Puligheddu)
18/03/18

Come indicato nel precedente articolo (leggi) la nuova normativa europea relativa alla protezione dei dati personali è alle porte, e con essa viene innovato tutto il sistema privacy ad oggi vigente nei Paesi europei. Benché ormai si susseguano da tempo interventi più o meno autorevoli circa l’interpretazione da accordare ad alcune novità introdotte (Registro dei trattamenti, Valutazione di impatto sulla protezione dei dati personali, Data Protection Officer etc.) gli Enti si scoprono oggi - per la maggior parte - del tutto impreparati anche su adempimenti documentali ed organizzativi di base già vigenti - sotto il Codice Privacy - ormai da vent’anni. Ad affermarlo sono i risultati di una ricerca condotta da Senzing, azienda informatica californiana, intitolata “Finding The Missing Link in GDPR Compliance” secondo cui su un campione ricompreso nell’ordine delle migliaia di imprese, la metà (43%) delle aziende in Italia si dichiara “allarmata”, mentre diverse altre dimostrano una semplice quanto inquietante mancanza di conoscenza circa gli adempimenti e le sanzioni conseguenti all’inosservanza del GDPR. Quale è, tra i tanti, il profilo che emerge come maggiormente critico e sottovalutato in queste circostanze? Naturalmente, la risposta è semplice: quello della sicurezza dei dati personali trattati.

Non basta leggere le ormai croniche notizie dei breach alle infrastrutture critiche pubbliche e para-pubbliche (telefonia, ospedali, trasporti, energia etc.) per dare evidenza di un rischio esistente. Il tessuto imprenditoriale nazionale rischia di disperdere, ancora una volta, il valore generato dai dati personali trattati solo ed unicamente per mancata consapevolezza e scarsa responsabilizzazione. A rimetterci, senza disegnare fantascientifiche apocalissi tecnologiche, rischiano di essere in ultima analisi gli interessati (le persone a cui i dati personali si riferiscono) i quali di fronte ad una mancata sicurezza potrebbero essere oggetto inconsapevole della compressione dei loro diritti e delle loro libertà. In questo senso, con riferimento al versante sicurezza, il GDPR (questo l’acronimo di General Data Protection Regulation) propone all’art. 32 un completo cambio di mentalità, un vero e proprio switch culturale. Viene specificato infatti che: Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati persona- li in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Il Regolamento individua quindi l’approccio alla sicurezza come un reale momento di responsabilizzazione del titolare (coerente con il principio di accountability di cui all’art. 25) e intende dare un vero e proprio colpo di spugna al metodo semplicistico più volte adottato dalle imprese (anche di una certa rilevanza strategica) che in merito alla prevenzione dei rischi si rifanno a meri check standard o alle sole misure minime presenti nell’ALL. B del D.lgs n. 196/2003, il precedente Codice della Privacy.

Con questo atto il GDPR non intende certo comunicare che le misure di sicurezza sino ad ora individuate da atti normativi e para-normativi (come ad esempio quelle sancite dalle Linee Guida AGID per le Pubbliche Amministrazioni) debbano scomparire: al contrario, lo scopo del Regolamento è generare una proattività del Titolare, che si ritiene premiante secondo il meccanismo dettato dal principio di responsabilizzazione poc’anzi menzionato. In tal senso, il Regolamento propone quattro criteri da prendere in esempio e adottare solo se del caso. In particolare viene suggerito di considerare l’adozione di tecniche di pseudonimizzazione rispetto ai dati personali trattati (processo che fa sì che i dati siano conservati in un formato che non identifichi direttamente un individuo specifico senza l'utilizzo di informazioni aggiuntive), assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, adottare sistemi di disaster recovery e ipotizzare procedure di test periodico per verificare l’efficienza delle misure di sicurezza adottate. In questo modo il GDPR disegna un vero e proprio processo di sicurezza, capace di garantire un ragionevole security focus in capo al titolare. Peraltro la norma prosegue specificando che “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo”.

Sono dunque necessarie valutazioni su rischi specifici, parametrate su sinergie con altre previsioni oggetto del GDPR quali ad esempio data breach, codici di condotta, trattamento illecito di dati personali e meccanismi di certificazione. Da ultimo, viene specificata - benché fosse intuibile - l’ampiezza del fronte da perimetrare: “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”. Il deus ex machina dell’intero ciclo è naturalmente il titolare ed in questo senso, in attesa di nuovi sviluppi dettati dalle prassi e dalle interpretazioni che si susseguiranno, questa previsione è ancora una volta coerente con il principio di accountability e mira ad evitare che una parte della filiera sia vulnerabile in ambito sicurezza.

Restano molte domande aperte: quali siano le misure di sicurezza adeguate? A quali standard occorre che ogni titolare si rifaccia per garantire la compliance in ambito security? Quali best practice?

A pochi giorni dall’applicabilità del Regolamento questi restano quesiti aperti che interrogano sia i settori strategici per la produttività del Paese quanto le PMI.