E se il GDPR non bastasse più? La nuova frontiera della tutela dei dati
È il 2016, e dopo 13 anni di Dlgs 196/2003 (italiano), arriva il Regolamento europeo sulla Privacy, noto come GDPR. Una rivoluzione sostanziale per la tutela dei dati personali sotto molteplici aspetti:
(Nella foto: l'Ing. Gianluca Lombardi. E' Delegato Federprivacy nella provincia di Como)
- La normativa trova diretta ed immediata applicazione in tutti gli stati europei, senza le necessarie norme di recepimento nazionali (come avvenne in passato con la Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995)
- Non ci troviamo più di fronte ad una legge prescrittiva, ma ad un Regolamento basato sul principio di accountability, ovvero di “responsabilizzazione del Titolare”
- Il Regolamento tutela il cittadino della comunità europea anche nei confronti di Titolari che risiedono al di fuori dello Spazio Economico Europeo
- L’opportunità di svolgere o meno un trattamento è basata sulla valutazione del rischio, quindi, un trattamento può essere effettuato solo se il rischio residuo è accettabile
- Nasce la figura del DPO (Data Protection Officer) che ha il compito di affiancare il Titolare in tutti i processi di valutazione del rischio e di costruzione/gestione del sistema privacy
- La legiferazione è costante e i Garanti dei singoli stati devono tenere, sempre più, in debita considerazione presente, il contesto generale e non solo quello interno.
Ecco, dunque, che ci troviamo di fronte ad una modalità di operare completamente nuova rispetto al passato. Ciò ha comportato e comporta tutt’oggi studio, confronto, approfondimento, adattamento e soprattutto specializzazione nella materia.
GDPR dal 2016 a oggi - Sono passati ormai 6 anni dalla pubblicazione del GDPR e i professionisti del settore sono molti, con qualifiche e specializzazioni tra le più disparate.
I dibattiti hanno caratterizzato tutto il periodo dall’emissione della norma in poi e le autorità dei vari stati sono stati generosi nella pubblicazione di linee guida, pareri e sentenze nonché nell’adozione di misure aggiuntive a livello nazionale (per l’Italia si veda il D.lgs. 101/2018).
Le sanzioni hanno riguardato molte realtà: il paese che ha totalizzato la somma maggiore è stato il Lussemburgo (746.273.600 €) mentre quello che ha emesso il maggior numero di multe è la Spagna (453). A luglio 2022 la somma totale di multe comminate è andata oltre i 1.670.000.000 €. La sanzione pecuniaria più salata è stata comminata ad Amazon Europe Core S.à.r.l. (sede in Lussemburgo…) con 746.000.000€ per “Mancato rispetto dei principi generali di trattamento dei dati” . [Dati agosto 2022 - CMS.Law GDPR Enforcement Tracker]
L’aspetto che in questo momento sembra essere ad un ulteriore punto di svolta è quello legato al tema stesso di “protezione dei dati personali”, che deve necessariamente andare oltre il GDPR e deve abbracciare tutta una serie di ambiti molto più complessi.
Cybersecurity e tutela dei dati - L’ambito più complesso che coinvolge la protezione dei dati è quello della cybersecurity. La maggior parte dei nostri dati sono oggi archiviati in formato digitale, principalmente su database informatici. Questo significa che per proteggere i dati personali, la rete informatica su cui sono ospitati deve fornire opportune misure secondo quanto definito dal GDPR.
Per un Titolare diventa quindi fondamentale saper scegliere i supporti digitali che garantiscano riservatezza, disponibilità, integrità e resilienza dei dati da lui trattati. Di conseguenza dovrà saper individuare i Responsabili che forniscano le garanzie adeguate, compresa la gestione dei sub-responsabili.
Ovviamente è difficile che il Titolare possa avere tutte le competenze necessarie e spesso si affida a consulenti specializzati sulla materia. Ecco, quindi, che entra in gioco la figura del consulente privacy/DPO che per fornire un servizio di alto livello deve avere le opportune conoscenze anche in campo informatico.
Attenzione! Questo non significa che il DPO o il consulente privacy debbano essere esperti IT, ma è fondamentale che nell’ambito del loro ruolo sappiano dialogare con il referente IT del Titolare così da poter collaborare all’obiettivo condiviso della messa in sicurezza della rete.
Analytics e il trasferimento verso gli USA - Uno dei temi di confronto del 2022, in ambito GDPR, è senza dubbio quello legato al provvedimento del Garante del 9 giugno 2022 a Caffeina Media srl. Una sentenza che sulla carta avrebbe dovuto riguardare solo l’azienda medesima e la presunta illiceità del trasferimento di dati verso gli USA.
In realtà il messaggio che il Garante italiano ha voluto far passare è che tutti gli editori di siti che utilizzano Google Analytics siano nella stessa situazione, e nei 90 giorni prescritti per trovare un rimedio si adeguino a mantenere i dati su suolo UE o a trasferirli in modo lecito.
In aggiunta un nuovo provvedimento del 14 luglio 2022, questa volta del Garante Danese, ha vietato l’utilizzo di Google Workspace, sempre in relazione a possibili trasferimenti verso paesi extra UE.
Due esempi che fanno comprendere che la tutela del dato personale passa anche attraverso la capacità di analizzare gli strumenti utilizzati, di comprenderne il funzionamento e di predisporre un’analisi dei rischi capace di definire se quel tool possa essere utilizzato o meno. Un’attività non semplice dato che il panorama di partenza presenta come attori protagonisti tool gratuiti a larghissima diffusione e Responsabili con una forza contrattuale sproporzionata rispetto al Titolare delle più comuni realtà aziendali.
ISO e audit - Uno degli aspetti che sono stati sottolineati nell’introduzione di questo articolo è il nuovo approccio che si deve avere verso il GDPR, che va inteso come un "sistema" in costante evoluzione (e non come una legge prescrittiva) in maniera similare a quello che accade per le certificazioni ISO.
La normativa ISO, seppur caratterizzata dalla volontarietà di adeguarsi, ha due principali aspetti in comune col Regolamento Europeo privacy:
- Basa il suo approccio sulla valutazione del rischio
- Punta a creare sistemi in costante evoluzione, monitorati tramite audit periodici
Avere una prospettiva allargata che vada oltre la mera legge privacy, consente ai professionisti più trasversali ed elastici di gestire tutti gli aspetti di tutela del dato con un metodo strutturato, seguendo per esempio le modalità di audit indicate dalla ISO 19011 e approcciando l’organizzazione delle attività aziendali secondo il classico ciclo di Deming: Plan – Do – Check – Act.
In aggiunta è possibile garantire un livello maggiore di tutela e protezione della rete attraverso certificazioni specifiche come la ISO 27001 – ISO 27017 – ISO 27018, che possono essere inserite in sistemi integrati che ottimizzino i tempi di creazione e di gestione del sistema stesso.
I nuovi professionisti della protezione dati - Sono dunque molte le motivazioni per cui i professionisti della protezione dati non possono più essere solamente esperti del GDPR. Le loro competenze devono spingersi oltre, verso aspetti informatici di cybersecurity, verso aspetti più tecnici legati alle modalità di funzionamento delle principali piattaforme di big data (Chrome, Analytics, Microsoft, Meta, …) e verso sistemi di certificazione internazionali.
Un valido DPO, oggi, deve essere in grado di comprendere se una rete informatica è sufficientemente sicura dialogando con le figure IT che la gestiscono. Deve essere in grado di supportare il Titolare sull’opportunità o meno di utilizzare tool e strumenti che potrebbero effettuare trasferimenti all’estero. Deve comprendere i concetti di organizzazione aziendale per far sì che il sistema privacy (o meglio, il sistema di protezione dei dati) si integri con la singola realtà produttiva. Infine, deve comprendere le logiche di sistemi di certificazione come le ISO affinché siano integrabili con gli aspetti di privacy e cybersecurity.
