GDPR (S01 E09): Accountability e misure di sicurezza

L'addio alle misure minime di sicurezza, e l'ingresso di un nuovo approccio anglosassone, hanno cambiato completamente il quadro.

GDPR (S01 E09): Accountability e misure di sicurezza

Il nuovo approccio anglosassone

Una delle grandi novità del GDPR è l’aver ripensato completamente al sistema di protezione dei dati che il titolare del trattamento deve progettare e implementare nella sua realtà produttiva.

I vent’anni precedenti, in base alle regole contenute nella Direttiva 95/46, ci avevano abituato all’idea, innanzitutto, delle misure minime di sicurezza.

Le misure minime di sicurezza, che erano contenute nell’Allegato B al Codice Privacy del 2003, prendevano la forma di un elenco molto dettagliato di misure, tecniche e comportamenti che il Legislatore aveva ritenuto che potessero, se rispettate, garantire, appunto, un livello minimo di sicurezza in qualsiasi ambiente.

Il grosso limite di simili elenchi di misure minime è facilmente individuabile anche dal non esperto: sono uguali per tutti, per chi tratta pochi dati e per chi ne tratta molti, per chi tratta dati delicatissimi e per chi, invece, tratta dati comuni. Al contempo, per piccole realtà commerciali può essere molto costoso rispettare tutte le misure minime elencate.

Il Regolamento europeo ha eliminato la nozione di misure minime e ha lasciato un amplissimo margine di libertà al titolare di scegliere quali possano essere le misure di sicurezza adeguate in base al tipo di trattamenti effettuati e di dati trattati.

Da un lato, quindi, il titolare non è più vincolato a un elenco di misure; dall’altro, però, sono previste sanzioni molto più alte nel caso in cui, in questo quadro di libertà, il titolare "ne approfitti" per non proteggere le informazioni e per non rispettare le regole.

Questo nuovo sistema si basa su alcuni principi cardine che sono ineludibili.

I primi tre sono, certamente, i) la necessità di un’analisi del rischio, ii) la stretta connessione con la migliore tecnica e i costi da supportare e iii) la comprensione e l’applicazione costante della nozione di “accountability”.

Il primo punto, la necessità di un’analisi del rischio, è molto lineare da comprendere: se non vengono fornite regole specifiche, occorre, prima di scegliere come operare, analizzare i rischi reali che i dati che si trattano, e gli interessati a loro riferiti, possono soffrire.

In questo caso, occorre rappresentarsi prima tutti i rischi possibili – che variano molto a seconda del “peso” del dato che viene trattato – e da quella analisi si prendono le mosse per predisporre un insieme di misure adeguate di sicurezza.

L’analisi del rischio può essere un procedimento estremamente semplice o, al contrario, particolarmente complesso in quanto è strettamente legato ai tipi di dati che sono trattati, alla molteplicità (o meno) di trattamenti e ai rischi che corrono gli interessati in caso di attacco alle loro informazioni.

Realtà che trattano dati ad alto rischio (cliniche, ospedali, laboratori medici) dovranno fare un’analisi estremamente curata e specifica; realtà che, invece, trattano soprattutto dati comuni, avranno ovviamente analisi del rischio più semplici da completare.

Il secondo punto, l’attenzione ai costi e allo stato dell’arte della tecnica, è altrettanto interessante.

Il Regolamento, in più punti, ribadisce che tutto il sistema di protezione dei dati disegnato dal provvedimento europeo deve sempre tenere presente i costi (ossia la capacità che ha un’azienda o un ente di investire denaro per la compliance) e i migliori strumenti tecnici e informatici disponibili sul mercato. Tutti gli sforzi per proteggere i dati non devono arrivare a minare l’economia e i bilanci dell’azienda, ma devono sempre essere accuratamente calibrati con la realtà economica effettiva.

Per la prima volta, quindi, si specifica che ogni azione per la protezione dei dati debba essere commisurata alla “forza commerciale” e alla capacità di investire della singola realtà. Questo porterà un vantaggio soprattutto in quelle realtà che hanno budget limitati.

Infine, tutto il sistema deve essere visto sotto due aspetti, al fine di rispettare anche il principio della accountability: non solo gli adempimenti devono esser concretamente svolti (“sostanza”), ma tutto ciò che viene fatto deve essere anche formalmente verificabile (“verificabilità”), sia dall’interno, sia da eventuali operazioni di auditing esterno. Ciò comporta la necessità di tenere traccia di qualsiasi operazione effettuata in un’ottica di protezione dei dati, al fine di poter ripercorrere in maniera obiettiva, in ogni momento, il percorso seguito e di valutare i risultati.

L’Articolo 32 del GDPR, infine, è quello più importante con riferimento all’implementazione di misure di sicurezza vere e proprie e, soprattutto, intese nel senso stringente del termine.

Questa norma stabilisce come, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento debbano mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Nonostante sia stato abbandonato l’approccio delle misure minime, con elenchi molto dettagliati, l’articolo prevede comunque quattro esempi di misure:

i) la pseudonimizzazione e la cifratura dei dati personali;

ii) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

iii) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

iv) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Da un lato, quindi, è stato abbandonato un elenco tassativo e dettagliato di misure di sicurezza minime; dall’altro, al contempo, è il Legislatore stesso a fornire suggerimenti utili sugli obiettivi che le misure dovrebbero aiutare a raggiungere, con riferimento, in particolare, a riservatezza, integrità e disponibilità costante del dato.