Il GDPR, ossia il Regolamento con cui la Commissione europea ha voluto armonizzare il trattamento dei dati personali dei cittadini Ue all’interno (ed all’esterno) dell’Ue, diventerà esecutivo il 25 maggio 2018, dopo un periodo di transizione durato due anni al termine del quale sostituirà finalmente la Direttiva 95/46/EC sulla protezione dei dati e si coordinerà con il noto Codice per la protezione dei dati personali (Dlgs. 196/2003).
Società, aziende, imprese ed enti con sede legale nel territorio dell’UE (e non) che trattino dati personali di residenti Ue dovranno garantire la sicurezza dei dati gestiti, la facilità nell’ottenerne la cancellazione o rettifica, la loro portabilità e che la raccolta sia eseguita solo dietro esplicito consenso, con poche eccezioni di ordine meramente pratico. In caso contrario le sanzioni previste sono consistenti, nell’ordine dei 10-20 milioni di Euro oppure fino al 2% (o al 4%, a seconda della violazione) del fatturato globale dell’anno precedente.
E’ corretto parlare di una nuova «cultura» della sicurezza in considerazione delle costanti analisi dei rischi e necessità di documentazione delle misure adottate?
L’«upgrade» della normativa privacy innescato nel corso degli ultimi due anni dal Legislatore europeo è a un tempo presupposto e risultato di un radicale cambiamento di prospettiva nei confronti della tutela di uno dei diritti fondamentali dell’Unione. L’evoluzione della normativa si innesta di fatto sul paradigma totalmente rinnovato della dimensione relazionale della nostra società, la cui struttura portante si fonda sul trattamento digitalizzato dei dati. La tutela, in una prospettiva olistica, non coincide più pertanto con la semplice protezione della singola persona interessata, come dettava l’approccio della direttiva 95/46/CE, ma con la tutela dell’intera società e dunque investe l’interesse pubblico europeo. Alla luce di queste premesse può intuirsi l’importanza cruciale della sicurezza in rapporto alla protezione dei dati, anche come strumento per favorire la fiducia nel mercato digitale (si veda in proposito il considerando n. 7 del Regolamento
679/2016, in seguito GDPR – General Data Protection Regulation).
Occorre prestare tuttavia attenzione a non confondere e sovrapporre questi due aspetti (protezione e sicurezza del dato): l’adeguamento al GDPR impone non solo l’adozione di nuove misure tecnologiche, ma anche e soprattutto un nuovo approccio legale e organizzativo basato sull’analisi del rischio (e relativa documentazione delle scelte effettuate sulla base della stessa). Il rinnovamento dello scenario normativo, infatti, ruota attorno al perno dell’approccio basato sull’accountability (ovvero “responsabilizzazione”) che comporta per il Titolare del trattamento l’attuazione di tutte le misure di sicurezza in termini sì tecnologici, ma soprattutto organizzativi, per dimostrare (documentando appunto) di aver strutturato i trattamenti di dati personali conformemente ai principi della Privacy by design e della Privacy by default.
Ancora, occorre leggere con sufficiente attenzione il testo del Regolamento, al fine di calibrare in maniera opportuna l’approccio alla sicurezza in ambito privacy e collocarlo appropriatamente nel percorso di adeguamento richiesto dal Legislatore. La sicurezza dovrebbe coronare un percorso di auto-analisi, strutturato preferibilmente su un piano di assessment da estendere a tutti i trattamenti, le basi di dati, i sistemi documentali, supportato da una corretta formazione e informazione: solo queste premesse possono garantire lo sviluppo delle necessarie misure, appropriate per il contesto di riferimento, nel concreto. Ecco perché l’approccio alla sicurezza non deve essere inteso come eccessivamente rigido, ma anzi deve tener conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, si devono mettere in atto misure tali da garantire un livello di sicurezza adeguato al rischio” (art. 32).
Con la piena esecutività del Regolamento, a partire dal 25 maggio 2018, l’analisi dei rischi diventerà pertanto non solo obbligatoria, ma indispensabile e da porre in essere prima dell’attivazione di nuovi trattamenti o modifiche significative alle proprie politiche di trattamento. Queste modifiche potranno interessare sia il sistema informativo, che la struttura funzionale della propria organizzazione, in base all’introduzione, ad esempio, di nuove minacce, variazioni normative, nuovi trattamenti / applicativi / sistemi, cambiamenti dell’ambiente fisico infrastrutturale, disponibilità di nuove tecnologie etc…
Ogni valutazione deve quindi tener conto della situazione specifica: lo sforzo di analisi risulterà tanto più efficiente, quanto più l’organizzazione si dimostrerà capace di concentrarlo in un unico progetto sistematico ed organico, da estendere all’intera struttura (non solo IT), ricomprendendo tutti i processi / trattamenti, superando la tendenza ad analizzare ogni trattamento in maniera isolata, procedendo “a singhiozzo”. Questo è d’altronde l’impianto metodologico alla base delle Linee guida per l’analisi dell’impatto sulla protezione dei dati, stilate dal Gruppo di lavoro ex articolo 29 dei Garanti europei in previsione della fatidica data del 25 maggio 2018.
Ma qual è la chiave per l’elaborazione di un’analisi dei rischi efficiente? La chiave risiede nella capacità di documentare, in maniera organica, completa ed esauriente. Del resto non si può non ricordare come le più gravi sanzioni del GDPR siano ascrivibili a violazioni di carattere formale e documentale (cioè, quelle sino a 20 milioni di euro).
La sicurezza informatica deve essere intesa solo come un processo necessario e conseguente nella più ampia accezione della protezione del dato personale e, per poter essere utile ai fini del GDPR, deve essere anche documentata dal Titolare e dal Responsabile del trattamento dei dati, in osservanza del principio di accountability precedentemente menzionato. Inoltre, anche se sembra superfluo ricordarlo, le misure devono essere continuamente adattate alle nuove esigenze e ai cambiamenti del contesto, sulla base di audit o in seguito all’accurata analisi degli eventi ed eventuali incidenti o di rapporti, indagini etc. e dunque necessariamente documentate in modo sistemico e costantemente rintracciabile.
La protezione del dato personale deve in un certo senso entrare a far parte del core business e della cultura dell’organizzazione di riferimento (aziendale / amministrativa) attraverso una sensibilizzazione continua sia degli esperti sia di tutto il personale che partecipa ai trattamenti, in modo che sia ben visibile e documentabile l’impegno del management nella promozione dell’attuazione sostenibile della sicurezza del dato, in ambito aziendale o amministrativo. La protezione del dato personale (e anche del patrimonio informativo come conseguenza della stessa) deve diventare così parte integrante di una gestione responsabile e essere attuata ogni giorno, da tutti, come componente imprescindibile dei processi di lavoro.
La «cultura» della protezione e della sicurezza dei dati, delle informazioni e dei documenti tradotta nella valutazione dell’impatto sistemico ed interdisciplinare, serve non solo a promuovere la consapevolezza e la facile individuazione e riduzione di potenziali nuove minacce, ma anche a favorire la fiducia e la soddisfazione dei clienti / cittadini, nel lungo termine. Non da ultimo, la sensibilizzazione nei riguardi della sicurezza può rivelare ricadute concrete in termini di tutela e conoscenza dell’organizzazione, assicurando la continua innovazione e il successo della stessa.
Anche se come qualcuno ha detto, ormai, (e mai come oggi) il compito a cui dobbiamo lavorare, non è di arrivare alla sicurezza, ma di arrivare a tollerare l’insicurezza (Erich Fromm).
E’ possibile che affidare a chi tratti i dati la valutazione del rischio renda di fatto più difficile la contestazione di un eventuale inadempimento? Quali diritti restano in capo ai clienti?
Il regolamento generale sulla protezione dei dati, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018.
Il principio cardine del nuovo regolamento è costituito dall’autodeterminazione informativa, un concetto ben noto in Germania dove la Corte Costituzionale ha dichiarato che è una condizione necessaria per il libero sviluppo della personalità del cittadino nonché elemento essenziale di una società democratica.
Le nuove norme prevedono, in sintesi:
– un più facile accesso per i cittadini alle informazioni riguardanti i loro dati e le finalità e modalità di trattamento degli stessi;
– un diritto alla portabilità dei dati che consentirà di trasferire i dati personali tra i vari servizi online;
– l’istituzionalizzazione del diritto all’oblio (denominato diritto alla cancellazione nel regolamento) come previsto dalla Corte di Giustizia europea, che consentirà di chiedere ed ottenere la rimozione dei dati quando viene meno l’interesse pubblico alla notizia;
– l’obbligo di notifica da parte delle aziende delle gravi violazioni dei dati dei cittadini;
– le aziende dovranno rispondere alla sola autorità di vigilanza dello Stato nel quale hanno la sede principale (principio dello “sportello unico”);
– multe fino al 4% del fatturato globale delle aziende in caso di violazioni delle norme.
A parere di chi scrive, l’approccio del GDPR, più centrato sulla protezione dei dati invece che sull’utente, rappresenta in un certo modo un passo indietro rispetto alla precedente normativa. Si tratta infatti di un approccio basato sulla valutazione del rischio, con il quale si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.
Un approccio risk based ha l’evidente vantaggio di pretendere degli obblighi che possono andare oltre la mera conformità alla legge, è sicuramente più flessibile e adattabile al mutare delle esigenze e degli strumenti tecnologici, ma delega all’azienda la valutazione del rischio, rendendo più difficili le contestazioni in caso di violazioni.
Inoltre, questo approccio considera più rischioso il trattamento dei dati di un minore rispetto a quelli di un adulto, e pone maggiore attenzione al trattamento di una grande mole di dati, laddove è pacifico che anche il trattamento di pochi dati può comportare un danno per i singoli. E’, pertanto, un approccio che tiene in maggiore considerazione le esigenze delle aziende, rendendo meno burocratica la gestione dei dati, con l’evidente effetto che aziende di minori dimensioni avranno minori obblighi, essendo questi parametrati anche all’organizzazione della stessa.
In sintesi, il regolamento enfatizza molto la responsabilizzazione (accountability) del titolare e dei responsabili del trattamento, che si deve concretizzare nell’adozione di comportamenti proattivi a dimostrazione della concreta (e non meramente formale) adozione del regolamento.
Il Garante della Privacy ha pubblicato una Guida che offre un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento. Sono presenti raccomandazione specifiche e suggerite azioni, oltre a segnalare le principali novità, in vista della preparazione all’attuazione del nuovo regolamento.
Oltre alle sanzioni economiche previste, in capo al ‘Responsabile della protezione dei dati’ sono previste anche sanzioni di ordine penale. Come cambia la disciplina penale rispetto al noto Codice della Privacy?
In molti si sono domandati se il nuovo Regolamento europeo sulla privacy, il GDPR – General Data Protection Regulation, modifichi la disciplina penale prevista attualmente in Italia dal decreto legislativo 196/2003, vale a dire il noto Codice della Privacy.
A mero titolo di reminder: il nostro Codice prevede attualmente “quattro fattispecie e un pezzo” di reato, precisamente dall’articolo 167 articolo 171 (e il “pezzo” sarebbe quest’ultima, giacché si limita a richiamare previgenti norme collocate nello Statuto dei lavoratori).
Tra di esse, le più rilevanti sembrano essere quella prevista all’articolo 167, cioè il trattamento illecito di dati personali, e quella contemplata dall’articolo 169 riguardante l’omessa adozione di misure di sicurezza.
La risposta alla domanda posta sopra, in realtà, si può anticipare ed è formalmente negativa. Nella sostanza, però, vanno fatte non poche precisazioni.
Se badiamo all’aspetto formale, infatti, occorre osservare che, contrariamente a quello che ritengono taluni, il regolamento non ha alcun effetto abrogativo espresso e generale nei confronti delle singole discipline nazionali (semmai, abroga la direttiva 95/46/CE, fatto giuridico molto diverso). Se l’effetto ci fosse ci ritroveremmo senza copertura penale, con le norme menzionate letteralmente cancellate. Che non è e non può essere.
D’altronde, circa l’ipotesi di nuove fattispecie, vero è che il considerando 149 e, soprattutto, l’art. 84 parlano di penale (come residuale dell’amministrativo), ma si tratta di previsioni eventuali e l’Italia sembra già coperta in materia, specie se si considerano anche altre fattispecie esterne al Codice privacy.
Il discorso, sempre dal punto di vista formale, potrebbe essere chiuso qui. In realtà è ancora possibile, anzi doveroso, un approfondimento che più che riguardare nuove figure di reato, concerne l’aspetto interpretativo.
Ci si riferisce, in primis, all’aspetto definitorio che potrà allargare o restringere il campo di azione della norma penale dei singoli Paesi. Infatti, il Regolamento dedica una parte (art. 4) proprio alle definizioni (trattamento, dato personale, misure di sicurezza, ecc.) che si dovranno confrontare con quelle attualmente vigenti e contenute, sempre in un art. 4, nel Codice italiano. E’ possibile, pertanto, che, come anticipato, si possano registrare degli scostamenti capaci di modificare la portata delle norma penale.
Ma il Regolamento fa di più. All’art. 6 indica in modo specifico quando il trattamento può dirsi “lecito”: impossibile non pensare che tale norma non debba confrontarsi con l’art. 167 del Codice italiano che, come sappiamo, sanziona il trattamento “illecito” di dati personali.
L’altro tema di grande novità è quello del DPO, il Data Privacy Officer.
“Officer” è il termine, relativamente neutro, usato nel testo inglese e quello più “volgarmente” adottato anche nei Paesi con altra lingua. “Délégué” e “delegado” sono presenti, rispettivamente, nel testo francese e spagnolo: e già coinvolgono di più il soggetto.
Per il testo italiano, invece, è stata scelta una forma, assai più pregnante: “responsabile della protezione dei dati”.
Al di là delle questioni linguistiche, in capo a detto “responsabile” potrebbero essere riscontrate, appunto, responsabilità di carattere penale:
– commissive: trattamento illecito di dati personali, accesso abusivo a sistema informatico (eventualmente aggravato dalla qualità di operatore di sistema) e norme satellite, eventualmente in concorso con titolare e/o responsabile del trattamento;
– omissive: art. 169 Codice (reato proprio, vista la formula “chiunque sia tenuto”);
– omissive improprie (art. 40, comma 2, c.p.) nel caso in cui in capo alla figura del DPO si possa riconoscere una “posizione di garanzia”, un “obbligo di impedire l’evento” (ad esempio, il trattamento illecito di un terzo).
Considerando quest’ultima eventualità, da un lato, infatti, il Regolamento, all’art. 38, delinea un DPO come un soggetto “esterno” (sebbene possa essere un dipendente del titolare), dove prevale l’aspetto della consulenza e di “supervisore” del rispetto delle regole.
Dall’altro, però, all’art. 39 si fissano dei “compiti minimi” anche di vera e propria sorveglianza e di collaborazione nonché di “punto di contatto” con l’autorità di controllo.
In definitiva, pur non essendo prevedibili ritocchi sostanziali alla disciplina sul trattamento dei dati personali in materia penale, vi è il rischio concreto che la norma sovranazionale si introduca, forse anche surrettiziamente, nel nostro Ordinamento generando interpretazioni estensive sia sotto i profilo oggettivo che soggettivo. Esito non certo desiderabile se valutato col principio di legalità che deve governare la nostra materia.
Appare, infine, evidente che il legislatore europeo ha voluto coinvolgere ulteriori soggetti, in particolare il citato “responsabile della protezione dei dati”, proprio al fine di accentuare le garanzie per i dati personali, inevitabilmente anche le responsabilità.
Nella pratica di Orrick, com’è stato gestito l’adeguamento alla normativa europea in materia di protezione dei dati personali?
Così come tutte le aziende italiane (ed europee) anche Orrick ha dato vita ad un progetto per il proprio adeguamento alla normativa europea in materia di protezione dei dati personali.
Il progetto – studiato nelle sua fasi preliminari già nella primavera del 2017 – ha avuto il suo applicazione operativa nel mese di luglio attraverso una prima fase di natura programmatica.
In particolare, il piano di lavoro – nella sua fase preliminare – è stato suddiviso nei seguenti step:
a) costituzione del gruppo di lavoro a livello internazionale;
b) sviluppo di un “GDPR Project Plan”;
c) raccolta di tutte le policy già presenti nello Studio in materia di privacy.
Il gruppo di lavoro è formato dal General Counsel della firm e da alcuni professionisti (sia partner sia of counsel sia associate) appartenenti ai vai uffici europei esperti in materia di corporate governance, data privacy e cyber security. All’interno del gruppo di lavoro sono altresì presenti alcuni esperti informatici che lavorano presso il Global Operation Center della firm.
Per ciascuna attività collegata ai tre step sopra evidenziati sono state identificate le persone responsabili di effettuarle con la finalità di condividere i risultati di ciascuna attività all’interno dell’intero gruppo di lavoro. Per i suddetti fini di necessaria condivisione, è stata istituita una weekly call alla quale partecipano tutti i componenti del gruppo di lavoro.
Il progetto è attualmente nella seconda fase finalizzata a identificare e ad analizzare i rischi potenziali relativi ai singoli trattamenti di dati che la firm effettua.
Una prima problematica – già riscontrata nelle sue fasi preliminari del progetto – riguarda il fatto che alcune normative nazionali sono già state adottate. Tra queste, per esempio, quella tedesca. Alcune scelte dovranno pertanto essere prese con l’obiettivo di essere conformi a ciascuna delle normative di attuazione degli stati dove la firm opera.
In queste settimane il gruppo di lavoro sta affrontando altresì la tematica relativa all’opportunità di nominare il Data Protection Officer (DPO).
Una volta che sarà ultimata la seconda fase relativa all’analisi dei rischi, si procederà con la stesura di una politica relativa al trattamento dei dati, la revisione delle singole policy e procedure già presenti all’interno della firm e con l’istituzione del registro dei trattamenti.
Tutte le attività sopra descritte dovranno poi essere coordinate con i necessari aspetti informatici affinché le regole operative per il trattamento dei dati trovino coerente riscontro nei presidi informatici finalizzati da un lato a gestire i dati e dall’altro a proteggerli adeguatamente.
In buona sostanza, quello che stiamo affrontando all’interno di Orrick poco differisce dai progetti che lo studio sta seguendo prestando la propria assistenza ai clienti nell’adeguamento al GDPR.
Si ha spesso l’impressione che la tecnologia renda possibile qualunque cosa. E’ così da un punto di vista pratico o si rischia di paralizzare l’attività di un’azienda o di uno studio legale?
Con l’entrata in vigore della nuova normativa per il prossimo maggio 2018 i sistemi informativi di tutte le aziende si troveranno nell’occhio di un ciclone non indifferente. Tra audit, assessment e tutte quelle cose che verranno richieste, tra concreto e ridicolo, occorrerebbe non perdere di vista il fatto che le aziende devono operare in sicurezza e senza collassare sotto il peso di richieste prive di senso o inapplicabili tecnicamente. Come quando qualcuno insinuava che fosse necessario registrare le attività degli amministratori di sistema che si collegavano per manutenzione ordinaria ai vari sistemi e conservare queste registrazioni per mesi: sostanzialmente sensato, tecnicamente inapplicabile.
Il GDPR non sarà diverso, appariranno verosimilmente checklist deliranti di requisiti informatici con richieste criptiche che anche il più veterano dei sistemisti potrebbe avere difficoltà a comprendere. Nell’ambito di applicazione del GDPR potrebbe essere una buona regola tenere in considerazione il modello “keep it simple”, ovvero fare le cose nel più semplice modo possibile senza renderlo banale (come suggeriva il buon Albert Einstein). Può la sicurezza – e quindi la protezione dei dati personali e sensibili – essere semplificata? Direi di sì.
Riassumerei il procedimento in tre macro sezioni.
Primo: conosci il tuo nemico (ovvero il tuo sistema, non i pirati informatici).
L’unico modo di applicare correttamente un metodo di protezione dei sistemi è quello di conoscere bene i suoi componenti e le dinamiche. La risposta “non è molto chiaro come funzioni” non è più un’opzione (per la verità non lo è mai stata), il che significa che in questa categoria cadono dentro tutte le software house che sviluppano software che elabora dati. I “sistemi informativi” sono, come dice il termine stesso, un “sistema” composto da molteplici parti. Il concetto di “Privacy by Design” prevede che siano in atto metodi e meccanismi di protezione per la protezione dei dati, tuttavia concentrarsi sul singolo elemento è tempo – e denaro – buttato. Bisogna avere una visione di insieme dell’intera architettura e dei servizi in essere, specie in un periodo in cui il Cloud prevede un’ampia dispersione delle informazioni che facilmente può essere persa di vista. Conoscere bene il sistema nel suo intero insieme consente di avere la visibilità dei rischi e delle complessità ad esso legate, siano esse intrinseche o calcolate.
Secondo: mantenete aggiornata la documentazione e fate verifiche. La sicurezza non è un prodotto, ma è un processo e va mantenuto costantemente in moto. Quando questo si ferma accadono effetti sgradevoli. Applicare metodi di verifica “attive” come test di vulnerabilità o verifiche dei processi di protezione (per esempio che i backup funzionino), o “passive” come assicurarsi che i sistemi antivirus o i sistemi operativi siano aggiornati, sono essenziali. A seconda delle dimensioni e delle criticità delle aziende questi possono essere più o meno frequenti nel tempo, tuttavia mantenere la situazione supervisionata – e anche la documentazione ad essa correlata – risulta essere di vitale importanza.
Terzo: sapersi comportare in caso di problemi. La conoscenza del “sistema” nel suo insieme e seguire le procedure di verifica ordinarie consentono l’ottenimento – praticamente automaticamente – di diversi risultati. Il primo è quello di saper identificare, intervenire, correggere e valutare l’entità di un incidente, dal più piccolo e – spesso apparentemente – insignificante, a quello più complesso e invadente. Questo processo è tipicamente quello che viene denominato “Incident Response” e ha una duplice valenza: quella di dare visibilità dei rischi all’interno dell’azienda e quello di dare – se necessario – riscontro sull’avvenuto incidente informatico e sul tipo di impatto che ha avuto sui dati interessati. Il secondo è quello di permettere all’azienda di perfezionare il proprio processo di sicurezza, consentendo di renderla sempre maggiormente consapevole e capace di fronteggiare i problemi.
La cosa “divertente” è che le suddette procedure di applicazione non sono nate solo nell’ultimo periodo pre-GDPR, bensì fanno parte di una delle scuole di pensiero relative alla gestione dei sistemi informativi e di conseguenza della loro sicurezza. Rappresenta uno dei metodi attraverso i quali i futuri DPO (Data Protection Officer) potrebbero avere supporto nello svolgimento del proprio incarico. Non solo una figura predestinata al “disturbare il processo dell’azienda” ma colui che ha la visione d’insieme generale, supportata da informazioni tecniche – ma non inutilmente troppo tecniche – in grado di dare una mano in tutte tre le fasi di elaborazione del processo di sicurezza.
Materiali e link di approfondimento
Testo del GDPR pubblicato dalla Gazzetta Ufficiale dell’Unione Europea