Il Regolamento GDPR tra Sicurezza e Privacy

di Massimo Montanile - Data Protection Officer di Elettronica S.p.A. Presidente dell’Associazione Privacy Safe. Delegato Federprivacy Roma e Fellow dell’Istituto Italiano per la Privacy. Membro dell’Advisory Board di Privacy Italia. Socio dell’Associazione Scientifica per la Sanità Digitale. Laureato nel 1983 in Scienze dell’Informazione con lode presso l’Università degli Studi di Salerno, da oltre trent’anni si occupa di Information Technology e di Sicurezza delle Informazioni e pubblica articoli e lavori sulla Privacy su prestigiose riviste. Già Lead Auditor UNI EN ISO 9001 Cepas, è certificato TÜV “Privacy Officer e Consulente della Privacy” ed iscritto nel Registro TÜV Videosorveglianza. Provisional ISMS Auditor Cepas. Lead Auditor IEC/ISO 27001 qualificato Cepas/DNV-GL. Data Protection Officer (DPO) Certificate – ECPC - Maastricht University. Docente del Master in “Competenze digitali per la protezione dei dati, la cybersecurity e la privacy” presso l’Università degli Studi di Roma Tor Vergata.

I principi ispiratori del Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation - Regolamento UE 2016/679) stimolano le organizzazioni ad affrontare il tema della conformità con un approccio basato sulla continua valutazione del rischio. La corretta attuazione di un modello GDPR compliance obbliga le organizzazioni a rivedere l’approccio burocratico e cartaceo sinora adottato, soprattutto in Italia, per presidiare il tema della Privacy, per giungere ad un concetto di responsabilizzazione. L’innovazione tecnologica propone continuamente nuovi strumenti per un pianeta sempre più connesso, ma al tempo stesso espone a nuove minacce i dati personali e, più in generale, il prezioso patrimonio informativo, anche di infrastrutture critiche, ormai esposte alla minaccia cyber.

Si pensi all’esplosione del modello Cloud ed a tutte le implicazioni organizzative, di compliance e di sicurezza connesse, alla diffusione di dispositivi biometrici, grafometrici, alla profilazione, spesso embedded nei sw di sviluppo dei siti web, al tumultuoso sviluppo dell’IoT, che secondo le stime più prudenti interconnetterà tra di loro oltre 50 miliardi di dispositivi nel 2020. Questi modelli vanno ben compresi, valutandone di volta in volta l’adozione, bilanciando i possibili reali benefici di cui sono portatori con i rischi di violazione Privacy, e non solo, connessi al loro utilizzo.

NEL COMPARTO SICUREZZA

Il mercato della sicurezza fisica si avvantaggia giustamente della continua innovazione, modificando a volte in modo radicale le classiche soluzioni (videosorveglianza, controllo accessi, sistemi d’allarme) o introducendone di nuove (soluzioni biometriche). La risposta più adeguata per sostenere i profondi cambiamenti richiesti dal GDPR consiste nell’implementazione di un modello di gestione privacy (SGP – Sistema di Gestione per la Privacy), auspicabilmente integrato con gli altri Sistemi di Gestione aziendali, adottati per garantire all’azienda la conformità a schemi di Certificazione volontari o per il rispetto di normative cogenti. Uno dei “motori” dell’SGP è il processo DPIA (Data Protection Impact Assessment, cioè la valutazione d’impatto sulla protezione dei dati). Disciplinato dall’art. 35 del GDPR, ha l’obiettivo non solo di garantire la sicurezza dei dati, ma soprattutto di individuare i rischi privacy specifici del trattamento.

DPIA

Una DPIA consiste in una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali (attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli). Nel caso delle aziende del nostro comparto, è in questa fase che va effettuato un attento bilanciamento tra sicurezza e privacy. Per valutare dall’inizio la necessità e proporzionalità di un certo trattamento e per poi valutarne i rischi verso la libertà delle persone. La DPIA è dunque uno strumento importante in termini di responsabilizzazione (accountability), in quanto aiuta il titolare a dimostrare l’adozione di misure idonee a garantire il rispetto di tali prescrizioni. La valutazione d’impatto privacy dovrebbe essere sempre condotta, anche se dovessero configurarsi le condizioni previste dal GDPR grazie alle quali potersi sottrarre a tale obbligo. Deve infatti prevalere, a mio avviso, una vision da parte del titolare che abbracci il rischio in modo ampio, interiorizzando in tutte le pieghe dell’organizzazione, l’approccio risk-based. Così come, prima di avviare un qualsiasi progetto, se ne valutano i costi ed i possibili benefici attraverso il business plan, è auspicabile che, prima di avviare un trattamento di dati personali, se ne valutino i rischi privacy attraverso la DPIA, allo scopo di mitigarli. Per l’Art. 35 (3) del GDPR la DPIA è richiesta nel caso di “…sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. I servizi del nostro comparto dovrebbero quindi essere sempre valutati con la lente della DPIA. E’ importante che siano identificati i rischi verso gli interessati (non limitandosi ai soli impatti da data breach, ma considerando anche i rischi intrinseci del Trattamento che, seppur sicuro e con una bassa esposizione a rischi di violazioni, potrebbe esso stesso violare la privacy dell’interessato). Quindi è conveniente estendere l’analisi ai compliance risk ed ai rischi relativi all’organizzazione, giacché i rischi privacy verso l’interessato di solito hanno associati rischi di compliance e verso l’organizzazione.

MINIMIZZARE IL RISCHIO

L’organizzazione dovrebbe quindi identificare le azioni da attuare per contrastare i rischi, tenendo presente che l’obiettivo realistico del DPIA è di ridurre il rischio ad un livello accettabile, non quello di eliminare completamente l’impatto privacy. Ancora una volta il focus è sulla privacy, non solo sulla sicurezza del dato, per un corretto approccio di privacy by design. La fase di valutazione degli impatti determina quali potrebbero essere le conseguenze per gli interessati, e quindi per l’organizzazione, qualora i dati personali trattati perdessero uno o più dei requisiti di sicurezza che le caratterizzano (Caratteristiche RID) dovuti a: accesso non autorizzato o divulgazione indebita ®; alterazione accidentale o indebita delle informazioni (I); indisponibilità delle informazioni (D). Normalmente le organizzazioni determinano, come scelta strategica, quello che viene definito rischio accettabile RA. Ciò consente di sviluppare un piano di interventi, dando la priorità a quelli relativi ad eventi che presentino un livello di rischio stimato R > RA. È in questa fase che si decide se i livelli di rischio residuo risultano accettabili o richiedono una mitigazione, consultando eventualmente l’autorità di controllo (nei casi previsti dalla cd. Consultazione preventiva, art. 36.1).

PIANO DI AZIONI

L’output principale della DPIA è il piano di azioni, che costituisce chiaramente una registrazione del SGP e un sostegno all’accountability. Esso consente di definire un piano condiviso delle misure da adottare, delle responsabilità di esecuzione e di verifica e quindi di assunzione, da parte dell’Alta Direzione, della consapevolezza del rischio residuo connesso al trattamento in esame. La formazione degli addetti al trattamento può essere una delle misure di mitigazione del rischio che suggerisco di considerare quando si conduce una DPIA. Qualora ne fosse riconosciuta l’efficacia in tal senso, deve diventare un input al processo aziendale di formazione, sempre nell’ottica di integrazione del SGP con i processi dell’organizzazione. Altra misura normalmente individuata consiste nel rafforzamento della sicurezza connessa alle caratteristiche RID delle informazioni trattate, relativamente agli asset coinvolti. Anche il consolidamento del presidio della filiera di fornitura è una delle misure che si rivelano efficaci allo scopo di mitigare i rischi connessi ad un trattamento di dati personali. Infine, il ricorso al parere legale per scongiurare possibili condizioni di trattamento illecito è un’utile misura che potrebbe essere suggerita nelle fasi iniziali di un processo DPIA.