Il 2017 è l’anno nel quale le aziende hanno iniziato ad implementare le prescrizioni previste dal GDPR.
Un compito non certo facile vista la complessità e gli impatti di una normativa che richiede interventi di natura tecnica, organizzativa, legale nonché un radicale cambio di mentalità (con conseguente attività di formazione e sensibilizzazione). Purtroppo la complessità della materia spesso non viene percepita, così come quali siano i reali impatti nei vari ambiti sopra citati. Spesso nelle aziende è la funzione IT a prendere l’iniziativa, altre volte è la funzione legale, ma in entrambi i casi vi è il rischio di una visione molto parziale che si traduce, nel caso in cui siano coinvolti fornitori esterni, in richieste di offerte generiche, mal poste, senza alcun capitolato e senza una conseguente capacità di confronto delle offerte dei diversi fornitori.
Ovviamente i fornitori di soluzioni tecniche proporranno i loro prodotti come una panacea, gli esperti di sicurezza proporranno qualche schema di certificazione, i legali si limiteranno agli aspetti formali, ma nella realtà solo un approccio olistico ed integrato può portare ad essere pronti nel maggio del 2018.
Senza la pretesa di essere esaustivo, nel seguito dell’articolo propongo una riflessione quantomeno sui possibili impatti nel mondo IT dell’applicazione del GDPR e sui conseguenti interventi da effettuare.
Tale esposizione può anche essere utile per valutare (almeno lato IT) un potenziale fornitore al quale si è richiesta una generica offerta di adeguamento al GDPR.
Troppo spesso per quanto attiene all’IT sento parlare di interventi nell’ambito della sicurezza, dimenticando che ben più ampia è la portata delle richieste del GDPR.
LA PROTEZIONE FIN DALLA PROGETTAZIONE
Assolutamente trasversale a tutto il GDPR è l’articolo 25, che richiede espressamente l’adozione di misure organizzative o tecniche, previa valutazione del titolare, quali la PSEUDONIMIZZAZIONE.
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78)
- Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
- Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
Ovviamente il titolare può valutare altre tipologie di soluzioni, ma è certo che oneroso è il lavoro di analisi progettuale necessario per individuare le soluzioni che meglio si adattino alle esigenze della singola organizzazione, valutandone nel contempo i relativi impatti economici.
Va precisato che tale analisi dovrebbe spingersi al di là del considerare le comuni misure di sicurezza e dovrebbe portare ad esempio a distinguere fra la lecita accessibilità al dato (determinata da un profilo autorizzativo) ed il legittimo accesso effettuato da un incaricato (determinato dal fatto che l’accesso sia giustificato da una reale finalità del titolare e non già da un interesse dello stesso incaricato).
Una capacità di analisi quindi che richiede una grande padronanza della materia, ma anche della propria organizzazione e dei propri processi (al riguardo ricordo che uno dei requisiti del DPO è proprio la conoscenza specifica del settore nel quale andrà ad operare, requisito che vanifica le ambizioni di molti consulenti candidatosi come potenziali DPO per i più diversi settori).
LE MISURE DI SICUREZZA
Quando si parla di GDPR e di IT vengono subito in mente le misure tecniche ed organizzative che un titolare deve mettere in atto al fine di garantire, in base ad una valutazione del titolare, un adeguato livello di sicurezza al trattamento dei dati e che comprendono, in base a quanto previsto dall’articolo 32 – 1:
- a) la pseudonimizzazione e la cifratura dei dati personali;
- b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Gli aspetti da considerare per effettuare tale valutazione sono declinati dall’articolo 32 – 2:
Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
e nel considerando 83.
Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.
Quelli citati non sono i soli riferimenti alle misure di sicurezza presenti nel GDPR.
Già l’articolo 5- 1 f recita infatti:
- I dati personali sono:
…
f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
e il relativo considerando 39:
È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.
I PRINCIPI
L’articolo 5 (Principi) appena citato, prevede altre prescrizioni che hanno rilevanti impatti sui sistemi informativi.
Pur non presentando sostanziali novità rispetto alla normativa vigente, il mancato rispetto di quanto prescritto da questo articolo comporta l’applicazione della sanzione amministrativa più alta fra quelle previste dal GDPR (l’attuale normativa non prevede viceversa specifiche sanzioni).
Sono in particolare il principio di ESATTEZZA (dati esatti e aggiornati) ed il principio di LIMITAZIONE DELLA CONSERVAZIONE (dati conservati per il tempo strettamente necessario) che hanno un impatto diretto sui sistemi informativi.
Il concetto di dato ESATTO non va confuso e limitato a quello di dati INTEGRO, che costituisce uno dei punti cardini degli aspetti di sicurezza.
Di un dato si può garantire l’integrità una volta che sia stato caricato sul sistema informativo, ma se questo era sbagliato all’origine avremo un dato integro, ma non esatto. Ne consegue che il rispetto di questo principio rientra in un più generale processo di gestione della qualità dei dati che parte già dalla raccolta e caricamento degli stessi sul sistema informativo.
Se infatti qualche dato personale può essere frutto di elaborazioni o di acquisizione automatizzata, nella maggior parte dei casi vi è ancora una originale imputazione manuale dei dati.
Ovviamente la prima parte del processo nulla ha a che fare con il sistema informativo. In fase di raccolta si dovranno prevedere dei controlli che consentano di verificarne la validità, ma è all’atto del caricamento che il sistema informativo può essere di aiuto anche nel valutarne la correttezza (si pensi ad un codice fiscale ed all’algoritmo di controllo della sua validità).
In questo contesto la esattezza del dato viene garantita se il sistema informativo mette in atto una serie di controlli e facilitazioni per l’incaricato addetto al caricamento del dato stesso (controlli sui campi, facilità d’uso delle applicazioni, verifica di coerenza e completezza dei dati, formazione degli incaricati in merito all’uso delle applicazioni, flussi informativi fra applicazioni che evitino una doppia imputazione dello stesso dato su diversi applicativi…).
Tabella 1 – I fattori di mitigazione degli errori nel caricamento dei dati
| Caricamento dati: fattori di mitigazione | |
| validazione dati | tipo, lunghezza… |
| valore atteso | |
| range dei valori possibili | |
| scostamento valore rispetto al precedente | |
| obbligatorietà | |
| selezione da valori predefiniti | |
| verifica di coerenza dei dati inseriti | |
| segnalazione dei dati errati | |
| rifiuto di dati incompleti | |
| completezza delle maschere | |
| facilità d’uso del caricamento dati | |
| facilità d’uso dell’applicazione | |
| standardizzazione delle videate | |
| standardizzazione dei comandi | |
| documentazione adeguata | |
| help on line | |
| formazione utenti | |
| tracciatura delle operazioni eseguite
(tempo, autore, dato modificato) |
|
Tratta dal volume: GDPR nuova privacy. La conformità su misura. G.Butti, A. Piamonte http://www.iter.it/gdpr/
Analogamente dopo il caricamento dovranno essere previsti controlli di coerenza sui flussi informativi fra le applicazioni, o sulle elaborazioni effettuate sui dati.
Anche la qualità e la maturità del software utilizzato hanno la loro importanza. Un applicativo altamente collaudato sarà meno soggetto a creare alterazione dei dati derivanti da un errore applicativo.
Si tratta in pratica, di mettere in atto di una serie di controlli ben definiti e noti agli addetti ai lavori, la cui presenza viene di norma verificata nel corso di un audit in ambito applicativo.
Di fatto, la presenza di un report di audit su sistema informativo, applicativi, data quality, può costituire un ottimo strumento per dimostrare la conformità ai requisiti del GDPR.
Prendiamo ora in considerazione il principio di LIMITAZIONE DELLA CONSERVAZIONE; per rispettare questo principio, fra gli altri richiamato in numerosi punti del GDPR, è necessario ovviamente definire per ogni tipologia di dato il tempo di conservazione, ma anche definire i relativi interventi tecnici, come peraltro indicato, ad esempio, dal considerando (39).
I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica.
La definizione di un termine di conservazione in alcuni casi è imposto dalla legge (ad esempio di norma 10 anni per gli ambiti fiscali), ma non sempre è così e quindi sarà compito del titolare definire e giustificare un termine corretto.
Tuttavia anche quando il termine è fissato per legge non sempre è predeterminabile. Ad esempio i dati relativi ad un mutuo devono essere conservati per 10 anni dalla cessazione di questo, ma la durata di un mutuo, anche se predeterminata, può subire numerose variazioni nel tempo e con essa anche il tempo di conservazione del dato. Nel mondo informatico questo comporta non pochi problemi, in quanto diventa necessaria una puntuale gestione dei tempi di conservazione e quindi delle sopracitate regole di cancellazione per ogni singolo dato, che a volte mal si conciliano con la facilità con cui si è soliti effettuare copie massive, ai fini di sicurezza, di rilevanti ed indistinte quantità di dati.
L’organizzazione e ottimizzazione dei database comporta inoltre spesso, il trattamento dello stesso dato per finalità diverse, ognuna delle quali potrebbe avere dei tempi di conservazione differenziati. È quindi necessario far sì che i tempi effettivi di conservazione siano coerenti con quelli di maggior durata.
Tabella 2 – Principi applicabili al trattamento di dati personali
| Principi applicabili al trattamento di dati personali | |
| “liceità, equità e trasparenza” | liceità |
| equità | |
| trasparenza | |
| Finalità
“limitazione della finalità” |
determinate |
| esplicite | |
| legittime | |
| Rispetto alle finalità per le quali sono trattati
“minimizzazione dei dati” |
adeguati |
| pertinenti | |
| limitati | |
| “esattezza” | esatti |
| aggiornati | |
| “limitazione della conservazione” | conservati per il tempo strettamente necessario |
| Adeguata sicurezza dei dati personali da
“integrità e riservatezza” |
trattamenti non autorizzati |
| trattamenti illeciti | |
| perdita | |
| distruzione | |
| danno accidentali | |
Tratta dal volume: GDPR nuova privacy. La conformità su misura. G.Butti, A. Piamonte http://www.iter.it/gdpr/
I DIRITTI DEGLI INTERESSATI
Anche la gestione dei diritti degli interessati comporta interventi in ambito tecnico, in particolare per quanto attiene ai diritti nuovi o diversamente formulati, introdotti dal GDPR, quali il diritto all’oblio.
Per quest’ultimo in particolare l’articolo 17 – 2 precisa:
- Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
Anche il diritto alla limitazione del trattamento, così come definito dall’articolo 4 prevede interventi sui database:
3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
È probabile che anche il rispetto dell’articolo 22:
Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione (C71, C72)
- L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
comporti qualche intervento di natura informatica, ma sicuramente quello che impatta maggiormente è il diritto alla portabilità dei dati, del quali ho già parlato in un precedente post al quale rimando per approfondimenti:
https://blog.europrivacy.org/it/2017/04/17/data-portability/
NOTIFICA DELLE VIOLAZIONI
Ultima nota in questa breve presentazione riguarda l’obbligo, previsto dall’articolo 33 -1, di notificare una violazione di dati personali:
1 In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
Al riguardo è necessario mettere in atto strumenti e procedure non solo per intercettare eventuali violazioni di dati personali, ma soprattutto per prevenirle.
Fra queste si possono annoverare tutte le misure che limitano l’accesso ai dati, fra l’altro già previste dalla normativa (profilazione degli utenti, minimizzazione del trattamento…), quelle che fanno sì che una eventuale violazione non comporti danni per gli interessati (ad esempio attraverso la cifratura dei dati), quelle per monitorare le attività svolte sui dati da parte degli incaricati (nel rispetto di quanto prescrive il rinnovato articolo 4 della legge 300/70).
Anche di questo argomento ho in parte già parlato in un mio post:
https://blog.europrivacy.org/it/2017/02/20/fraud-and-gdpr/
pur con un taglio diverso.
Probabilmente questo adempimento, fra quelli che prevedono interventi in ambito sicurezza, è fra i più invasivi del GDPR e deve essere accompagnato da policy e procedure ben collaudate non solo per quanto attiene la gestione degli incidenti, ma anche per quanto attiene l’iter gerarchico di approvazione ed inoltro della notifica stessa.
Ulteriori implementazioni devono essere messe in atto per il rispetto di quanto richiesto dall’articolo 34 -1, che prevede anche la capacità di individuare singolarmente i soggetti interessati dalla violazione:
- Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo.
Ovvero meglio è mettere in atto le misure che consentono di non dover effettuare alcuna comunicazione agli interessati, come previsto ad esempio dall’articolo 34-3 a
- Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
- a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;