Sistemi antintrusione e GDPR: quando la sicurezza fisica diventa anche protezione dei dati personali
Nel panorama della protezione dei dati personali esistono argomenti che, pur essendo estremamente diffusi nella pratica quotidiana, ricevono un'attenzione inferiore rispetto a quella che meriterebbero. Tra questi rientrano certamente i sistemi antintrusione.
Il tema viene spesso affrontato in modo semplicistico. Da un lato vi è chi ritiene che gli impianti antintrusione siano sostanzialmente estranei alla disciplina del GDPR, poiché finalizzati esclusivamente alla tutela di beni e persone. Dall'altro vi è chi tende ad assimilarli automaticamente ai sistemi di videosorveglianza, applicando indistintamente regole e adempimenti elaborati per le telecamere.
Entrambe le impostazioni rischiano di condurre a conclusioni errate. Il GDPR, infatti, non disciplina le tecnologie in quanto tali, ma i trattamenti di dati personali. Ne consegue che la corretta qualificazione di un sistema antintrusione non può essere effettuata sulla base della sua denominazione commerciale o della funzione dichiarata dal produttore, ma richiede un'analisi concreta delle modalità di funzionamento e dei dati effettivamente raccolti.
È questo il primo aspetto che consulenti privacy, Data Protection Officer e professionisti della compliance dovrebbero tenere presente.
Un sistema costituito esclusivamente da sensori di apertura, contatti magnetici o rilevatori di movimento che si limitano a segnalare il verificarsi di un evento senza consentire l'identificazione di una persona fisica potrebbe non determinare alcun trattamento di dati personali rilevante ai sensi dell'articolo 4 del GDPR.
La situazione cambia radicalmente quando il sistema registra informazioni riconducibili a soggetti identificati o identificabili. Si pensi ai log che registrano quale utente abbia attivato o disattivato l'impianto, alle applicazioni che consentono il controllo da remoto mediante credenziali personali, ai sistemi che tracciano gli accessi, alle piattaforme cloud che conservano cronologie operative o agli impianti che integrano funzionalità video attivabili in caso di allarme.
In tutte queste ipotesi il dato personale emerge in maniera evidente e con esso trova applicazione l'intero impianto normativo del Regolamento (UE) 2016/679.
Tuttavia, limitarsi a questo profilo significherebbe affrontare soltanto metà del problema. Esiste infatti un aspetto che, a parere di chi scrive, è spesso sottovalutato anche dagli stessi professionisti della privacy.
I sistemi antintrusione non rappresentano soltanto una possibile fonte di trattamento di dati personali. Essi costituiscono, al tempo stesso, una misura di protezione dei dati personali. È questo il vero paradosso giuridico dell'antintrusione.
L'articolo 32 del GDPR impone al titolare e al responsabile del trattamento di adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio. Quando si parla di sicurezza del trattamento, tuttavia, si tende a pensare quasi esclusivamente a firewall, antivirus, autenticazione multifattore, backup o sistemi di cifratura.
La sicurezza richiesta dal legislatore europeo è invece un concetto molto più ampio. La protezione fisica degli ambienti nei quali sono conservati dati personali rappresenta una componente essenziale della sicurezza del trattamento. Archivi cartacei, locali server, postazioni di lavoro, uffici amministrativi, centrali operative e infrastrutture tecnologiche devono essere protetti anche contro accessi non autorizzati, furti, manomissioni e intrusioni.
In tale prospettiva un sistema antintrusione può costituire una misura pienamente coerente con gli obblighi previsti dall'articolo 32 del GDPR.
(Nella foto: l'Avv. Carlo Pikler)
La questione diventa quindi particolarmente interessante perché il medesimo strumento può assumere una duplice valenza giuridica: da un lato misura di sicurezza destinata a proteggere dati personali e infrastrutture; dall'altro possibile fonte di un autonomo trattamento che deve rispettare i principi di liceità, correttezza, trasparenza, minimizzazione e limitazione della conservazione.
È proprio questa duplice natura che impone una valutazione particolarmente accurata. L'approccio corretto non consiste nel domandarsi se l'impianto sia o meno conforme al GDPR, ma nel comprendere quali dati raccolga, per quali finalità, con quali modalità e per quanto tempo. Particolare attenzione merita il principio di minimizzazione sancito dall'articolo 5 del Regolamento.
La disponibilità tecnica di una determinata funzionalità non implica automaticamente la sua necessità sotto il profilo della protezione dei dati. Molti sistemi consentono di registrare eventi dettagliati, creare profili di utilizzo, conservare cronologie operative estese o monitorare costantemente le attività degli utenti. Il fatto che tali funzioni siano disponibili non significa che debbano essere necessariamente utilizzate.
Il GDPR impone una logica diversa: raccogliere soltanto i dati realmente necessari al raggiungimento della finalità perseguita. In questo senso assume particolare rilevanza il principio di privacy by design di cui all'articolo 25 del Regolamento.
Un sistema antintrusione correttamente progettato dovrebbe perseguire il massimo livello di sicurezza compatibile con il minimo trattamento possibile di dati personali. Non si tratta di una limitazione tecnologica, ma di una precisa scelta progettuale che trova fondamento nell'approccio risk based adottato dal legislatore europeo.
La vera sfida per i professionisti della privacy non consiste quindi nel qualificare frettolosamente un impianto come sistema di sicurezza o come strumento di controllo. Occorre piuttosto comprendere come sicurezza fisica e protezione dei dati possano convivere all'interno di un modello unitario di governance del rischio.
In un contesto nel quale gli impianti diventano sempre più intelligenti, connessi e integrati con servizi cloud e piattaforme di monitoraggio remoto, il tema è destinato ad assumere un'importanza crescente.
Ed è proprio in questa capacità di leggere contemporaneamente la funzione di protezione e quella di trattamento che si misura oggi la maturità del professionista privacy.
Perché il sistema antintrusione non rappresenta soltanto una tecnologia di sicurezza. Rappresenta uno dei casi più interessanti nei quali il GDPR dimostra come la protezione dei dati non sia un ostacolo alla sicurezza, ma parte integrante della sua stessa progettazione.
