La protezione del dato personale non è solo questione di sicurezza informatica, anzi... - Studio Legale Lisi

EDITORIALE pubblicato sul numero 3 – dicembre 2017 di KnowIT rivista specializzata dedicata ai manager dell’innovazione digitale e della privacy

Ultimamente si ascolta troppo spesso l’affermazione, riferita dai tanti nuovi “esperti della materia” (spuntati in giro come funghi), che l’adeguamento al GDPR (General Data Protection Regulation – Regolamento 679/2016) sarebbe al 90% questione di sicurezza informatica. In assenza di specifiche argomentazioni a sostegno di questa tesi, solitamente i discorsi proseguono con un elenco di improbabili ricette miracolose, tutte strettamente informatiche (e poco decifrabili da chi non è alfabetizzato in materia), che consentirebbero a qualsiasi organizzazione (pubblica o privata che sia) di superare indenne la fatidica data del 25 maggio 2018. Data in cui, come ben sappiamo, il GDPR diventerà pienamente esecutivo.

Non c’è nulla di più assurdo e sbagliato di queste prese di posizione. Sviluppare a casaccio straordinarie procedure di sicurezza informatica, elencando scienza crittografica, tecniche di pseudonimizzazione, azioni di penetration test, analisi dei rischi, Privacy Impact Assessment, gap analysis e così via, in un fritto misto incomprensibile e indigesto, non serve a nulla.

Le politiche di sicurezza informatica vanno infatti precedute da un’organizzata verifica e da un’approfondita mappatura di strumenti, persone, sistemi, banche dati, applicativi e procedure che servono all’impresa o alla PA per sviluppare trattamenti di dati. Dopo questa forma di “registrazione affidabile” di tutto ciò che ha a che fare con il trattamento dei dati personali, occorrerà procedere con una verifica dettagliata dei flussi (interni ed esterni) in cui sono coinvolti tali dati e quindi delle aree più critiche e sensibili, per poi proseguire sviluppando una corretta organizzazione a tutela dei dati mappati. E quell’organizzazione è fatta, prima di tutto, di risorse umane che vanno istruite, di processi e procedure che vanno posti in essere a presidio del corretto trattamento e a protezione dei vari perimetri individuati e degli specifici rischi insiti in ognuno di quei perimetri. Solo dopo questa approfondita e documentata azione di carattere giuridico/organizzativo/manageriale sarà possibile procedere con un Privacy Impact Assessment per le aree a maggior rischio individuate e predisporre così adeguate misure di sicurezza, anche di carattere informatico.

Questa è, quindi, l’accountability di cui tanto si parla e discute in questi giorni e che prevede, così, che il Titolare del trattamento debba essere in grado di dimostrare di aver adottato un processo complessivo di misure giuridiche, organizzative, tecniche per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi (in qualche modo analoghi a quelli utilizzati nell’applicazione del D.lgs. 231/2001).

Aziende e PA devono pertanto dotarsi di strumenti per valutare lo stato della propria accountability (secondo i principi della privacy by design e privacy by default) e dimostrarlo all’Autorità Garante. Infatti, il Regolamento UE 2016/679 rovescia la prospettiva della disciplina in materia di protezione dei dati personali, in quanto tutto il nuovo quadro normativo è prevalentemente incentrato sui doveri e sulla responsabilizzazione del Titolare del trattamento.

Questa impostazione, che in qualche modo comporta per i Titolari (e i Responsabili del trattamento) il dovere costante di dimostrare di avere effettuato un’approfondita autoanalisi seguita da opportune scelte ben ponderate e documentate, si ritrova anche nell’apparato sanzionatorio, dove la gravità delle sanzioni segue i principi dell’accountability, rendendo più gravi proprio quei comportamenti che si discostino da tali principi e/o dal generale dovere di trasparenza, di organizzazione e di adeguata documentazione delle scelte effettuate.

Infatti, le inadempienze più gravi previste dal GDPR (che comportano l’applicazione di sanzioni amministrative pecuniarie fino a 20.000.000 di euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore) sono riconducibili alla violazione delle seguenti fattispecie:

a) principi generali applicabili al trattamento (art. 5), condizioni di liceità del trattamento (art. 6), condizioni per il consenso (art. 7) e trattamento di categorie particolari di dati personali (art. 9);

b) diritti degli interessati (artt. da 12 a 22);

c) trasferimenti di dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale (artt. da 44 a 49);

d) obblighi previsti dalle legislazioni degli Stati membri adottate a norma del capo IX (giornalismo, espressione accademica o letteraria, accesso ai documenti delle PA, rapporti di lavoro, archiviazione nel pubblico interesse, ricerca scientifica, storica o statistica);

e) negato accesso all’autorità di controllo durante l’esercizio dei propri poteri di indagine o inosservanza di un suo provvedimento di carattere correttivo.

Mentre le sanzioni più lievi (pur se sempre di grande rilievo economico, perché comportano l’applicazione di sanzioni amministrative pecuniarie fino a 10.000.000 di euro o, per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore) sono riconducibili a violazioni per lo più legate a procedure di sicurezza informatica o a procedure specifiche quali:

a) obblighi del Titolare del trattamento e del Responsabile del trattamento:

consenso dei minori (art. 8)
trattamento che non richiede l’identificazione (art. 11)
principi di privacy by design e by default (art. 25)
accordo interno per determinare le responsabilità tra contitolari (art. 26)
nomina del rappresentante dei Titolari o dei Responsabili non stabiliti nell’Unione e suoi compiti (art. 27)
compiti e responsabilità del Responsabile del trattamento (art. 28)
trattamento da parte dei dipendenti e collaboratori del Titolare o del Responsabile (art. 29)
tenuta dei registri delle attività di trattamento (art. 30)
cooperazione del Titolare o del Responsabile del trattamento con l’autorità di controllo (art. 31)
adozione di misure di sicurezza adeguate (art. 32)
notifica all’autorità di controllo di una violazione di dati personali (art.33)
comunicazione all’interessato di una violazione di dati personali (art. 34)
valutazione d’impatto (art. 35)
consultazione preventiva (art. 36)
designazione del DPO (art. 37)
obblighi del Titolare e del Responsabile nei confronti del DPO (art.38)
esecuzione dei propri compiti da parte del DPO (art. 39)
obblighi in materia di certificazione (art.42);

b) obblighi dell’organismo di certificazione (artt. 42 e 43);

c) obblighi dell’organismo di controllo (art. 41, paragrafo 4).

Occorre pertanto prestare particolare attenzione a non confondere e sovrapporre i due aspetti della protezione e della sicurezza del dato: l’adeguamento al GDPR – lo ribadiamo – impone non solo l’adozione di nuove misure tecnologiche, ma anche e soprattutto un nuovo approccio legale e organizzativo basato sull’analisi del rischio (e relativa documentazione delle scelte effettuate sulla base della stessa). Il rinnovamento dello scenario normativo, infatti, ruota attorno al perno dell’approccio basato sull’accountability (ovvero “responsabilizzazione”), che comporta per il Titolare del trattamento l’attuazione di tutte le misure di sicurezza in termini sì tecnologici, ma soprattutto organizzativi, per dimostrare (documentando appunto) di aver strutturato i trattamenti di dati personali conformemente ai principi della privacy by design e della privacy by default.

Per concludere, il Titolare – quale soggetto che determina le finalità e i mezzi del trattamento, nonché le misure (anche tecnologiche) di sicurezza – ha maggiore discrezionalità nel decidere come conformarsi alle disposizioni del nuovo Regolamento, ma ha l’onere di dimostrare le ragioni a supporto di tali decisioni e le motivazioni per cui ritiene che le medesime siano in linea con il Regolamento. La sicurezza, pertanto, diventa parte integrante della protezione del dato, ma solo in conseguenza di queste scelte documentate.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

La protezione del dato personale non è solo questione di sicurezza informatica, anzi…

La protezione del dato personale non è solo questione di sicurezza informatica, anzi…

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA