Il principio della Privacy by Design introdotto dal Regolamento Europeo in materia di protezione dei dati personali, richiede alle aziende ed alla pubblica amministrazione un approccio alla protezione dei dati personali proattivo e non più reattivo, rendendo necessario prevedere modalità operative, configurazioni e misure di sicurezza in grado di salvaguardare la riservatezza, l’integrità e la disponibilità dei dati personali (RID) “by default”, ovvero nel momento in cui essi “entrano” nell’organizzazione.
Il principio, nella sua enunciazione, appare di ovvietà e semplicità disarmanti, ma non appena si entra nel merito ci si rende immediatamente conto che la sua attuazione ha delle implicazioni organizzative, procedurali e tecnologiche non banali.
Un esempio che può aiutare a capirne la complessità riguarda i processi deputati alla gestione del ciclo di vita delle applicazioni (SLM) che trattano dati personali: per essere conformi al principio della Privacy by Design occorre integrarli, quantomeno, con le attività di:
- identificazione del flusso dei dati personali e dei trattamenti a cui saranno sottoposti durante tutto il loro ciclo di vita all’interno dell’organizzazione
- identificazione puntuale dei requisiti di sicurezza che le applicazioni e l’infrastruttura tecnologica a supporto devono soddisfare per tutelare la RID dei dati personali, in qualunque stato essi si trovino (in use, in motion, at rest)
- definizione degli standard di programmazione che consentano di implementare applicazioni esenti da vulnerabilità dovute a tecniche di programmazione non sicure
- definizione degli standard architetturali necessari a soddisfare i requisiti di sicurezza definiti
- definizione delle tecniche di mascheramento (o similari) dei dati personali qualora se ne preveda l’utilizzo in ambienti diversi da quello di produzione (test, formazione, …)
- integrazione dei piani di test con le attività di verifica della corretta implementazione dei requisiti di sicurezza definiti, sia a livello applicativo che infrastrutturale
- prevedere delle attività di test volte a verificare l’efficacia delle misure di sicurezza e degli standard applicativi e architetturali implementati (ethical hacking, penetration test, vulnerability assessment, code review,…)
- …
Ma chi definisce i requisiti, gli standard, le soluzioni tecnologiche e sulla base di quali criteri ? E ancora, chi definisce le regole etiche/comportamentali e le relative sanzioni ? Chi ha la responsabilità di formare il personale ? Di primo acchito verrebbe da dire: chi altri, se non il DPO ? Certamente il DPO ha, semplificando, la responsabilità di definire il framework per la protezione dei dati personali, quindi anche del modello per la Privacy by Design, di verificarne la corretta attuazione ed efficacia nel tempo, ma ciò non significa che deve operare in completa autonomia, anche perchè non potrà e non dovrà avere approfondite competenze tecniche, legali, organizzative e procedurali funzionali ad una efficace implementazione del principio della Privacy by Default. Tutte le principali funzioni aziendali (Information Security, Risk Management, ICT, Legal, Compliance, Organizzazione, HR, Internal Audit,…), dovranno dare il loro contributo, con il supporto ed il coordinamento del DPO, alla revisione ed integrazione, per quanto di loro competenza, dei processi e delle tecnologie in uso al fine di implementare un modello di Privacy by Design definito e condiviso e di garantirne l’efficacia nel tempo.
Poichè il modello per la gestione della Privacy by Default (PbD) non può prescindere dall’output generato dai processi tipici dei sistemi per la gestione della sicurezza delle informazioni, ne consegue che i primi passi da compiere, prima di intervenire sui processi consistono, volendo riallacciarci all’esempio precedente, nel definire o rivedere, in ottica PbD, almeno i seguenti processi:
- data classification, per la corretta identificazione e classificazione dei dati gestiti dall’organizzazione, tra cui quelli personali, in tutte le sue possibili declinazioni
- risk management, sulla cui base identificare l’esposizione al rischio dei dati personali e le conseguenti misure organizzative, procedurali e tecnologiche da porre in essere per salvaguardarne la sicurezza. Le misure identificate andranno ad alimentare l’elenco dei requisiti di sicurezza che le applicazioni e le infrastrutture tecnologiche a supporto dovranno soddisfare per tutelare la RID del dato personale
- Vulnerability management, che, tra l’altro, definisce, sulla base della data classification e dell’analisi del rischio, le attività/analisi da effettuare in fase di test dell’applicazione al fine di identificare, prima che la stessa vada in produzione, eventuali vulnerabilità che potrebbero compromettere la sicurezza dei dati personali trattati
- Data Masking, per offuscare i dati personali utilizzati in ambienti di test e/o di training
- Hardening, per la definizione ed implementazione di configurazioni sicure per sistemi ed applicativi che trattano dati personali
- Training, per formare i tecnici sugli standard di programmazione sicura e sulle architetture sicure
- Awareness, per sensibilizzare il personale sugli aspetti e le implicazioni inerenti la protezione e la gestione dei dati personali
- Internal auditing, per integrare il piano di audit ed il framework dei controlli interni al fine di effettuare le necessarie verifiche di efficacia del modello posto in essere
Da tale indicativa e non esaustiva elencazione di pre-requisiti, risulta evidente come l’implementazione del principio della Privacy by Design sia subordinata alla definizione ed implementazione del framework deputato alla gestione dei dati personali in conformità al GDPR. Ciò non significa che la PbD sia da considerarsi solo nelle fasi finali del progetto di readiness al GDPR ma, anzi, occorre tenerla ben presente sin dalla fase di disegno del framework affinchè i processi di data classification, risk management, ecc. producano gli output necessari ad una sua corretta ed efficace attuazione e gestione nel tempo.
Durante la definizione del modello per la Privacy by Design, ma ancor più durante la definizione del framework per la conformità al GDPR, non dobbiamo dimenticarci che il dato personale va tutelato sempre e comunque, quindi anche quando non è in formato digitale. Si rende allora necessario estendere quanto detto in riferimento al SLM anche ai processi di gestione documentale al fine di proteggere i dati personali riportati nei documenti cartacei. A tale scopo occorre prevedere, quantomeno:
- la definizione di linee guide per la gestione di documenti contenenti informazioni personali (document classification, clean desk, trasmissione dei documenti, secure printing, …)
- l’adozione di schedari, portadocumenti, contenitori, ecc. dotati di serratura, per l’archiviazione sicura dei documenti cartacei riportanti dati personali
- la rivisitazione delle modalità operative per il trattamento dei dati personali “analogici”, al fine di renderle conformi al principio della PbD
Infine, stanti le sanzioni previste dal GDPR, può rendersi necessario rivedere il sistema sanzionatorio interno, in particolare per chi, in violazione al codice etico, alle procedure ed alle policy in essere, dovesse compromettere i dati personali trattati dall’azienda, siano essi digitali od “analogici”.