Il 25 maggio 2018 sarà direttamente applicabile in tutti i Paesi dell’Unione Europea il nuovo Regolamento UE 2016/679. Si tratta di una vera e propria svolta storica sotto il profilo della protezione dei dati personali, volta a garantire una maggior sicurezza per i diritti e le libertà delle persone fisiche. In attesa di vederne i frutti concreti, verranno presentate alcune “pillole” da cui trarre spunto per ulteriori riflessioni sulle interrelazioni tra protezione dei dati personali e sicurezza.
Il Regolamento, come detto, introdurrà diverse regole e adempimenti, rivolte sia al settore pubblico che a quello privato. Oltre ad una maggior chiarezza e semplicità in materia di informativa e consenso, il tentativo del Regolamento (altrimenti detto GDPR, General Data Protection Regulation) sarà quello di garantire maggiori tutele per tutti i cittadini dell’Unione, benché per ogni Stato sarà possibile adattarsi autonomamente ai contenuti del Regolamento. Pregio di questa nuova legislazione è quella di uscire unitamente ad un altro strumento, la c.d. Direttiva PNR (n. 680/2016) sulle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, volta a favorire la circolazione dei dati personali tra le Autorità per la Sicurezza. Ancora una volta l’istituzione deputata a svolgere questo compito sarà il Garante Privacy, che diviene vera e propria Autorità di Controllo Nazionale. Non giunge inaspettato – in tal senso – anche il recente protocollo firmato tra l’Autorità e il DIS nel quadro di una maggiore sicurezza della Repubblica (v.link). Vediamo ora insieme 5 punti chiave della nuova normativa, che potranno sicuramente impattare – con le dovute attenuanti e peculiarità – anche per il Sistema Difesa:
1) Introdotto il concetto di “responsabilizzazione” del Titolare (Accountability)
Con il GDPR si richiede al Titolare del trattamento (la persona fisica o giuridica che da solo o insieme ad altri determina le finalità e gli strumenti del trattamento di dati personali) di compiere un passo verso una maggior responsabilizzazione di fronte agli interessati (i soggetti a cui i dati personali trattati si riferiscono). In particolare è fatto obbligo al Titolare di documentare ogni sua scelta, attiva o omissiva, rispetto alle attività di trattamento: sono ricomprese in questa logica le decisioni in materia di sicurezza dei dati, di conservazione, di tutela dei diritti degli interessati e di analisi dei rischi per i diritti e le libertà dell’individuo, in modo da ingenerare un meccanismo premiale nei confronti dei titolari virtuosi su questi temi e penalizzare con un maggior grado di responsabilità i Titolari più incuranti.
2) Obbligo di segnalazione all’Autorità in caso di violazione di dati personali (data breach)
Il GDPR introduce l’obbligo di comunicazione delle violazioni di dati personali in capo a tutti i Titolari di trattamenti di dati personali. Anche gli enti pubblici, oltre alle imprese, dovranno comunicare tempestivamente all’Autorità Garante qualsiasi violazione sui dati personali degli interessati. Si noti che per “violazione di dati personali”, il Regolamento intende una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Va da sé quindi che anche il mero accesso e visualizzazione corrisponde pacificamente ad un data breach, mentre per azioni meno impattanti –quali ad esempio il port scanning – non vi sono ad oggi indicazioni specifiche. Tra le prescrizioni previste all’interno dell’art. 34 del GDPR, norma di riferimento sul data breach, ricompreso un termine di notifica di 72h dal momento in cui il Titolare viene a conoscenza della violazione, entro il quale è necessario che siano comunicate alcune specifiche della violazione all’Autorità: nei casi più gravi, tale obbligo sarà esteso anche nei confronti degli interessati al trattamento.
3) Specifiche tutele per i dati personali degli interessati da trattamenti basati su decisioni automatizzate
Con il nuovo Regolamento l’interessato dovrebbe avere il diritto di non essere sottoposto a una decisione che possa includere una misura che valuti aspetti personali a lui riferiti, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardino o incida in modo analogo sulla sua persona. Tale trattamento comprende la "profilazione", che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona. Tuttavia, è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò è espressamente previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, anche a fini di monitoraggio e prevenzione delle frodi e dell’evasione fiscale secondo i regolamenti, le norme e le raccomandazioni delle istituzioni dell’Unione o degli organismi nazionali di vigilanza e a garanzia della sicurezza e dell’affidabilità di un servizio fornito dal titolare del trattamento, o se è necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, o se l’interessato ha espresso il proprio consenso esplicito. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. Tale misura non dovrebbe riguardare un minore. Si noti che, tale assunto varrebbe anche e soprattutto con riferimento alle possibili decisioni che una AI (Artificial Intelligence) potrebbe prendere per valutare – ad esempio – la messa in sicurezza di un luogo o la pericolosità di un individuo (sappiamo che oggi, algoritmi come questo volti a prevenire il crimine – c.d. Pre-crimine – sono la realtà) .
4) Obbligo di condurre una valutazione d’impatto sulla protezione dei dati personali (DPIA)
Viene previsto all’art. 35 del Regolamento l’obbligo per i soggetti titolari o responsabili di effettuare una Valutazione d’impatto sulla protezione dei dati personali, c.d. “DPIA” (Data Protection Impact Assessment), volta a mappare i rischi prospettabili –rispetto ad un trattamento- per i diritti e le libertà degli interessati. La DPIA è un procedimento particolarmente complesso, con specifiche tecniche estremamente stringenti. Dovrà essere compiuta quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Una singola valutazione può anche esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. Ci sono diversi casi di obbligatorietà della DPIA, tutti e quattro impattanti sotto il profilo della tutela della sicurezza della pubblica:
a) quando sia compiuta una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) quando sia effettuato il trattamento, su larga scala, di categorie particolari di dati personali (es. sulla salute, opinioni politiche, convinzioni religiose etc.) o di dati giudiziari
c) quando sia effettuata una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
5) Introdotta ufficialmente la nuova figura del Data Protection Officer (DPO)
Il Regolamento introduce infine la nuova figura del DPO, Data Protection Officer. Si tratta a tutti gli effetti di una figura di Responsabile sulla protezione dei dati (così tradotta anche in italiano) che tra i suoi compiti ha di assicurare la correttezza – sotto il profilo privacy – costante e aggiornata della sicurezza dei dati e della conformità dell’Ente/Impresa al GDPR.
Si noti che, per gli enti pubblici, tale figura è obbligatoria e deve poter riferire direttamente al vertice dirigente.
(foto: U.S. DoD)
