General Data Protection Regulation: come cambia la tutela dei dati personali

Il GDPR, ossia il Regolamento con cui la Commissione europea ha voluto armonizzare il trattamento dei dati personali dei cittadini Ue all’interno (ed all’esterno) dell’Ue, diventerà esecutivo il 25 maggio 2018, dopo un periodo di transizione durato due anni al termine del quale sostituirà finalmente la Direttiva 95/46/EC sulla protezione dei dati e si coordinerà con il noto Codice per la protezione dei dati personali (Dlgs. 196/2003). Società, aziende, imprese ed enti con sede legale nel territorio dell’UE (e non) che trattino dati personali di residenti Ue dovranno garantire la sicurezza dei dati gestiti, la facilità nell’ottenerne la cancellazione o rettifica, la loro portabilità e che la raccolta sia eseguita solo dietro esplicito consenso, con poche eccezioni di ordine meramente pratico. In caso contrario le sanzioni previste sono consistenti, nell’ordine dei 10-20 milioni di Euro oppure fino al 2% (o al 4%, a seconda della violazione) del fatturato globale dell’anno precedente.

E’ corretto parlare di una nuova «cultura» della sicurezza in considerazione delle costanti analisi dei rischi e necessità di documentazione delle misure adottate?

L’«upgrade» della normativa privacy innescato nel corso degli ultimi due anni dal Legislatore europeo è a un tempo presupposto e risultato di un radicale cambiamento di prospettiva nei confronti della tutela di uno dei diritti fondamentali dell’Unione. L’evoluzione della normativa si innesta di fatto sul paradigma totalmente rinnovato della dimensione relazionale della nostra società, la cui struttura portante si fonda sul trattamento digitalizzato dei dati. La tutela, in una prospettiva olistica, non coincide più pertanto con la semplice protezione della singola persona interessata, come dettava l’approccio della direttiva 95/46/CE, ma con la tutela dell’intera società e dunque investe l’interesse pubblico europeo. Alla luce di queste premesse può intuirsi l’importanza cruciale della sicurezza in rapporto alla protezione dei dati, anche come strumento per favorire la fiducia nel mercato digitale (si veda in proposito il considerando n. 7 del Regolamento 679/2016, in seguito GDPR – General Data Protection Regulation).
Occorre prestare tuttavia attenzione a non confondere e sovrapporre questi due aspetti (protezione e sicurezza del dato): l’adeguamento al GDPR impone non solo l’adozione di nuove misure tecnologiche, ma anche e soprattutto un nuovo approccio legale e organizzativo basato sull’analisi del rischio (e relativa documentazione delle scelte effettuate sulla base della stessa). Il rinnovamento dello scenario normativo, infatti, ruota attorno al perno dell’approccio basato sull’accountability (ovvero “responsabilizzazione”) che comporta per il Titolare del trattamento l’attuazione di tutte le misure di sicurezza in termini sì tecnologici, ma soprattutto organizzativi, per dimostrare (documentando appunto) di aver strutturato i trattamenti di dati personali conformemente ai principi della Privacy by design e della Privacy by default.
Ancora, occorre leggere con sufficiente attenzione il testo del Regolamento, al fine di calibrare in maniera opportuna l’approccio alla sicurezza in ambito privacy e collocarlo appropriatamente nel percorso di adeguamento richiesto dal Legislatore. La sicurezza dovrebbe coronare un percorso di auto-analisi, strutturato preferibilmente su un piano di assessment da estendere a tutti i trattamenti, le basi di dati, i sistemi documentali, supportato da una corretta formazione e informazione: solo queste premesse possono garantire lo sviluppo delle necessarie misure, appropriate per il contesto di riferimento, nel concreto. Ecco perché l’approccio alla sicurezza non deve essere inteso come eccessivamente rigido, ma anzi deve tener conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, si devono mettere in atto misure tali da garantire un livello di sicurezza adeguato al rischio” (art. 32).
Con la piena esecutività del Regolamento, a partire dal 25 maggio 2018, l’analisi dei rischi diventerà pertanto non solo obbligatoria, ma indispensabile e da porre in essere prima dell’attivazione di nuovi trattamenti o modifiche significative alle proprie politiche di trattamento. Queste modifiche potranno interessare sia il sistema informativo, che la struttura funzionale della propria organizzazione, in base all’introduzione, ad esempio, di nuove minacce, variazioni normative, nuovi trattamenti / applicativi / sistemi, cambiamenti dell’ambiente fisico infrastrutturale, disponibilità di nuove tecnologie etc… .
Ogni valutazione deve quindi tener conto della situazione specifica: lo sforzo di analisi risulterà tanto più efficiente, quanto più l’organizzazione si dimostrerà capace di concentrarlo in un unico progetto sistematico ed organico, da estendere all’intera struttura (non solo IT), ricomprendendo tutti i processi / trattamenti, superando la tendenza ad analizzare ogni trattamento in maniera isolata, procedendo “a singhiozzo”. Questo è d’altronde l’impianto metodologico alla base delle Linee guida per l’analisi dell’impatto sulla protezione dei dati, stilate dal Gruppo di lavoro ex articolo 29 dei Garanti europei in previsione della fatidica data del 25 maggio 2018.
Ma qual è la chiave per l’elaborazione di un’analisi dei rischi efficiente? La chiave risiede nella capacità di documentare, in maniera organica, completa ed esauriente. Del resto non si può non ricordare come le più gravi sanzioni del GDPR siano ascrivibili a violazioni di carattere formale e documentale (cioè, quelle sino a 20 milioni di euro).
La sicurezza informatica deve essere intesa solo come un processo necessario e conseguente nella più ampia accezione della protezione del dato personale e, per poter essere utile ai fini del GDPR, deve essere anche documentata dal Titolare e dal Responsabile del trattamento dei dati, in osservanza del principio di accountability precedentemente menzionato. Inoltre, anche se sembra superfluo ricordarlo, le misure devono essere continuamente adattate alle nuove esigenze e ai cambiamenti del contesto, sulla base di audit o in seguito all’accurata analisi degli eventi ed eventuali incidenti o di rapporti, indagini etc. e dunque necessariamente documentate in modo sistemico e costantemente rintracciabile.
La protezione del dato personale deve in un certo senso entrare a far parte del core business e della cultura dell’organizzazione di riferimento (aziendale / amministrativa) attraverso una sensibilizzazione continua sia degli esperti sia di tutto il personale che partecipa ai trattamenti, in modo che sia ben visibile e documentabile l’impegno del management nella promozione dell’attuazione sostenibile della sicurezza del dato, in ambito aziendale o amministrativo. La protezione del dato personale (e anche del patrimonio informativo come conseguenza della stessa) deve diventare così parte integrante di una gestione responsabile e essere attuata ogni giorno, da tutti, come componente imprescindibile dei processi di lavoro.
La «cultura» della protezione e della sicurezza dei dati, delle informazioni e dei documenti tradotta nella valutazione dell’impatto sistemico ed interdisciplinare, serve non solo a promuovere la consapevolezza e la facile individuazione e riduzione di potenziali nuove minacce, ma anche a favorire la fiducia e la soddisfazione dei clienti / cittadini, nel lungo termine. Non da ultimo, la sensibilizzazione nei riguardi della sicurezza può rivelare ricadute concrete in termini di tutela e conoscenza dell’organizzazione, assicurando la continua innovazione e il successo della stessa.
Anche se come qualcuno ha detto, ormai, (e mai come oggi) il compito a cui dobbiamo lavorare, non è di arrivare alla sicurezza, ma di arrivare a tollerare l’insicurezza (Erich Fromm).