GDPR (S01 E01): Il nuovo quadro portato dal GDPR
Alcune nozioni introduttive
Lo scopo di questa prima lezione del Corso GDPR di base (che sarà alimentato con nuove lezioni ogni lunedì alle 7:00 del mattino per sedici settimane) è quello di introdurre, congiuntamente al quadro complessivo, concetti (e termini) generici che ci permetteranno, poi, di comprendere al meglio alcuni aspetti più di dettaglio della recente normativa europea in tema di protezione dei dati personali.
Il GDPR non è più un tema, per così dire, "nuovo", almeno così come lo era soltanto due anni fa.
Si tratta di un argomento che dovrebbe essere conosciuto ormai da tutti ma che, in concreto, appare sempre più fumoso e poco noto soprattutto quando si va a parlare, de visu, con gli operatori e con chi realmente tratta i dati.
Questa urgenza di conoscenza è ancora più vincolante visto che sono iniziate le attività ispettive e stanno arrivando le prime sanzioni anche da parte del Garante italiano.
Una poca conoscenza diffusa è derivata dal fatto, probabilmente, che vi sia stato un evidente ritardo in Italia dal punto di vista delle sanzioni, a causa anche delle problematiche politiche che hanno condizionato il rinnovo del Collegio del Garante. Nell'opinione pubblica, probabilmente, il fatto che non vi siano state sanzioni potrebbe aver condizionato numerosi cittadini e generato (giustificati) dubbi sulla reale effettività di tale normativa.
Ciò non toglie, però, che il Regolamento Europeo per la Protezione dei Dati n. 2016/679 (GDPR), già in vigore dal maggio del 2016 e attuato dal 25 maggio 2018 in tutti i Paesi dell’Unione Europea, preveda, tra le righe dei suoi 99 articoli, numerosi adempimenti, di diversa entità, che necessitano, in un’ottica di adeguamento normativo, di una riflessione sistematica e di una programmazione accurata sul da farsi e, soprattutto, su ciò che si è fatto sino a oggi (visto che sono tante le realtà che sono "arrivate lunghe" alla data del 25 maggio 2018 e ancora devono completare, o rifinire, alcuni adempimenti).
Come è noto, gli adempimenti sono quelli che più intimoriscono in un'ottica di verifica degli stessi da parte dell'autorità ispettiva, anche se non è affatto semplice comprenderli a fondo se non si interpretano correttamente le basi (e, mi si consenta, la "filosofia") di questo provvedimento.
Si noti, poi, che un approccio all'adeguamento ("compliance") troppo formalizzato (e focalizzato) sui singoli adempimenti, quasi fossero dei box da riempire e segnare come "fatti", impedisce di tenere sotto controllo la situazione generale e "di sostanza", soprattutto nelle realtà più complesse.
Occorre, in primo luogo, "visualizzare" tutti gli adempimenti, sia individualmente, sia in un'ottica di adeguamento globale, e programmare la loro "attivazione".
Molti adempimenti non sono nuovi, ma sono stati “ereditati” dal "Codice Privacy" ancora in vigore, anche solo per alcune parti (si ricordi che fu introdotto nel 2003 dal d.lgs. n. 196/03 e che è "sopravvissuto", seppure con numerose "ferite", grazie al d.lgs. n. 101/2018) e, addirittura, erano già previsti nella Direttiva 95/46 che ha disegnato, più di vent’anni fa, l’attuale quadro di protezione dei dati.
Alcuni adempimenti non sono NUOVI, ma erano già previsti, nel loro significato essenziale, nelle prime normative in tema di protezione dei dati. E si possono addirittura far risalire alla c.d. "Direttiva Madre".
Le realtà aziendali, i professionisti e gli enti pubblici che, nei decenni appena trascorsi, avevano condotto un lavoro serio e accurato di adeguamento normativo, non dovrebbero aver "sofferto" particolarmente nel passaggio a un nuovo quadro che rimane, comunque, profondamente radicato nel passato, pur mantenendo un volto ben rivolto al futuro e all’era dei social network, della profilazione automatizzata, del cloud e delle reti.
L’informativa e la correttezza dei moduli (e modelli) di raccolta del consenso sono, innanzitutto, i due adempimenti fondamentali e “tradizionali” che sono ben posizionati al centro del sistema e che necessitano, secondo i principi contenuti nel testo del GDPR, di un “lifting” per adeguarli ai cambiamenti tecnologici portati dall’era moderna.
Tali adempimenti devono, sempre di più, essere chiari, informare il cittadino/utente/interessato e rendere trasparente l’intero processo di trattamento dei dati anche online, dove è estremamente difficoltoso sia chiarire con precisione tutti gli aspetti del trattamento (compreso il periodo di conservazione del dato e la previsione esplicita della sua “morte”), sia tenere traccia delle manifestazioni di volontà quando il consenso è fornito tramite un semplice e istantaneo click o selezionando l'opzione da un menù a tendina.
L'informativa e il consenso sono ancora al CENTRO del sistema degli adempimenti, e devono puntare a una massima TRASPARENZA e a un rispetto rigoroso della manifestazione di volontà (e della sua libertà) di chi sta prestando il consenso, soprattutto con un click.
Il timore del Legislatore europeo che permea il GDPR è chiaro: che non si riesca più ad assicurare un “tracking” preciso del dato, una rilevazione ed evidenziazione costante dei percorsi che le informazioni seguono in una società sempre più informatizzata.
Da dove sono raccolte le informazioni (quali sono le fonti)? A chi sono vendute o cedute? Che tragitti percorrono? Dove sono conservate? Quando “moriranno”? O rimarranno negli archivi e nei database in eterno?
La perdita del controllo del dato, l'impossibilità kafkiana dell'utente di non poter più rintracciare le informazioni che lo riguardano e di non poter conoscere il tragitto che fanno, è oggi diventata realtà.
Anche i diritti che l’interessato (la persona fisica cui si riferiscono i dati) può esercitare nei confronti di chi tratta i suoi dati si sono potenziati, e cercano di permettere a ogni persona di controllare – o, meglio, “governare” – il proprio patrimonio informativo.
Accanto a diritti di accesso, di rettifica e d’integrazione, sono apparsi i nuovi, e interessanti, diritti alla portabilità dei dati (l’utente potrà "portare con sé" le informazioni, se cambierà servizio o piattaforma, in maniera assolutamente semplice e garantendo la continuità del servizio) e all’oblio (con aumentate possibilità di cancellazione delle informazioni), che richiederanno una maggior attenzione (e capacità di reazione) in capo ai Titolari che trattano dati per rispondere tempestivamente a qualsiasi richiesta in tal senso.
Il lettore avrà infatti notato, nelle informative aggiornate dopo il maggio del 2018, una maggiore e più chiara evidenziazione dei "nuovi diritti" in capo all'interessato.
I diritti che l'interessato può esercitare si sono POTENZIATI: si pensi, ad esempio, alla portabilità e all'oblio.
L’intero sistema delle misure di sicurezza, poi, è stato rivoluzionato. L’abbandono dell’idea di “misure minime di sicurezza” (che erano elencate con cura, addirittura per punti, e che fornivano una "guida sicura", anche se generalizzata e valida per tutte le realtà, dalle più piccole alle grandi multinazionali) ha portato a un “vuoto” dove è il soggetto che tratta i dati a dover (prima) analizzare il rischio per i dati che processa per (poi) elaborare un piano di sicurezza, metterlo in opera e doverlo in ogni momento dimostrare e rendere verificabile.
Non esiste più il concetto di misure MINIME, e si lascia spazio all'idea, più libera e ampia, di accountability.
Si tratta di un approccio alla sicurezza dei dati basato sull’idea (e sul concetto) di “accountability”, una strategia operativa di chiara origine anglosassone già nota in ambito di information security e di certificazioni che pone l’accento sia sulla “sostanza” dell’adempimento (la misura di sicurezza deve essere implementata, ossia ciò che viene indicato nel piano di sicurezza deve, poi, essere realmente fatto) sia sulla verificabilità della stessa da parte di auditor od osservatori esterni.
Si noti, su questo punto, che il giurista è di solito molto più a suo agio con un approccio simile a quello che era in origine adottato per le misure minime, ossia una griglia ben definita nella quale muoversi con limiti ben precisi (che, in un'ottica giuridica, sono ovviamente molto importanti per comprendere se l'adempimento sia stato eseguito correttamente o meno).
Il GDPR ha optato, invece, per un approccio più apprezzato dai tecnici, perchè adattabile a ogni contesto, scalabile e aggiornabile con costanza senza necessità di riforme normative, ma che potrebbe disorientare chi già si era abituato all'impostazione dei vent'anni precedenti.
In questo quadro rinnovato, dovrebbe essere un nuovo soggetto, il Data Protection Officer (DPO), a fare da “sceriffo” all’interno di molte grandi realtà che trattano i dati per garantire l’applicazione di tutte le disposizioni del Regolamento, per "dialogare" con il Garante in caso di problemi e per fungere da punto di contatto con gli interessati nel momento in cui vorranno esercitare i loro diritti.
Alcuni DPO, magari con denominazioni differenti, già esistevano nelle grandi realtà, unendo le funzioni di consulenti per l'adeguamento a quelle di veri e propri controllori della conformità dello stato di fatto in loco ai dettami delle norme.
La nomina di un DPO, congiuntamente alla tenuta di un registro dei trattamenti aggiornato e a una corretta gestione di eventuali data breach (esfiltrazioni di dati dall’archivio dell’azienda) sono considerati, da molti, come i primi tre adempimenti, soprattutto quelli più urgenti, da mettere in opera per garantire un buon approccio alla nuova idea di sicurezza.
Ciò vale ancora di più nelle realtà più complesse, dove spesso non si sa "da che parte iniziare" il lungo viaggio verso gli admepimenti di legge e la complessità del quadro potrebbe intimorire.
Il DPO, la tenuta di un REGISTRO e una corretta gestione dei DATA BREACH sono i tre aspetti di information security più interessanti in questa nuova ottica di protezione del dato.
Le sanzioni previste sono tra le più alte mai stabilite in una normativa pensata per la protezione dei dati: non solo sanzioni “fisse” (fino a 20 milioni di euro), ma anche sanzioni stabilite in percentuale con riferimento al fatturato mondiale annuo dell’azienda (fino al 4%).
Da un lato, quindi, l'accountability lascia Titolari e Responsabili molto più "liberi" di scegliere le misure di sicurezza e le politiche di protezione dei dati senza troppe griglie e costrizioni. Dall'altro, però, sono previste sanzioni elevatissime (le più alte mai previste nel nostro settore!) in caso di mancato o incompleto adeguamento. Un po' il bastone e un po' la carota, in definitiva.
Il Regolamento dovrebbe portare maggiore uniformità normativa nei Paesi dell’Unione Europea – consentendo, a volte, di dialogare direttamente con le Autorità di controllo di altri Paesi. Questo non è un punto scontato, e anche analizzando le prime sanzioni comminate negli altri Paesi d'Europa, non sempre si nota questo coordinamento (o "coerenza" che dir si voglia).
L’idea di fondo è che il nuovo quadro di adempimenti si dimostri più adatto per affrontare un’era dove il dato personale digitale viaggia oltre i confini con estrema facilità, sulle piattaforme di social network e nel cloud, o che è ormai “addosso” alla persona fisica e circola insieme a lei, negli smartphone, nei braccialetti fitness, nell’Internet delle Cose. Si voleva modernizzare il quadro normativo "rincorrendo", in un certo senso, l'evoluzione della tecnologia. Compito, come è noto, non semplice.
Il timore principale del GDPR è un dato, infatti, che possa facilmente profilare l’individuo non solo con riferimento alle sue preferenze commerciali e d’acquisto ma, anche, monitorando le sue performance sul lavoro o il suo stato di salute.
Particolare attenzione è opportunamente dedicata ai minori tra i 13 e i 16 anni, che sono utenti dei servizi della società dell’informazione già dalla giovane età e che il Regolamento vuole proteggere con una specifica cura e con adempimenti obbligatori per i titolari.
La normativa italiana ha individuato, lo scorso anno, nei 14 anni il limite di età interessante per il nostro ordinamento giuridico circa la possibilità per il minore di conferire direttamente, e liberamente, il consenso al trattamento per i servizi della società dell'informazione.
Tutto questo quadro innovativo, per la prima volta, è realizzato tramite un Regolamento che dalla “piccola” Europa estende la sua influenza, e la sua applicabilità, sino a toccare tutto il mondo e tutte le aziende, anche non europee o senza sede in Europa, che, comunque, trattano dati di europei o offrono servizi ai consumatori e ai cittadini del Vecchio Continente.
Gli adempimenti che si andranno ad analizzare nel dettaglio in questo Corso sono di diversa complessità: alcuni puntano essenzialmente a “tenere traccia” di fatti (registro e mappatura dei trattamenti, studi preliminari per valutare l’impatto dei trattamenti, istruzioni pensate per chi tratta i dati, piani di formazione), altri richiedono invece un nuovo approccio organizzativo (la nomina del DPO, la creazione di un punto di raccolta per l’esercizio dei diritti, la gestione corretta di un data breach).
Diventerà essenziale, in ogni momento, sapersi orientare in questa mappa di adempimenti adeguando sempre le misure di sicurezza al rischio concreto che si possa presentare in ogni singola situazione, con una costante attenzione ai costi ma, anche, allo stato dell’arte e alle migliori tecnologie disponibili.
Si vedrà, in questo senso, che l’utilizzo della crittografia, del mascheramento dei dati e dei database e di una pseudonimizzazione accorta delle informazioni potrà fare la differenza nell’applicazione pratica di queste regole.
Sarà sempre più necessario un approccio dinamico e integrato agli adempimenti che, in questo quadro "senza griglie" e "misure minime", permetta sempre e comunque di tenere il sistema di protezione dei dati sotto controllo.