Come cambiano le normative: arriva il GDPR. Di Giulio Destri.

Giulio Destri
Giulio Destri

Otto anni fa iniziava l’avventura del blog #6MEMES, un luogo di conversazione tra tematiche tecnico-scientifiche e temi considerati di tipo umanistico, ispirato alle Lezioni Americane di Calvino.

In questi otto anni molto è cambiato e in maniera sostanziale: la cultura dei dati e del digitale è ormai dominante e i relativi settori di riferimento – comprese le contaminazioni culturali che li riguardano – sono diventati di dominio comune.

Per questo, nel 2022, il progetto #6MEMES ha raggiunto il suo traguardo e salutato i lettori.

Per continuare a seguirci, visita la sezione News e collegati ai nostri canali social:

GDPR: il “Gran Decreto Privacy”?

Nel precedente articolo abbiamo visto alcune delle problematiche di sicurezza, diretta ed indiretta, legate agli strumenti IT.
In questo articolo concentriamo invece l’attenzione sulla privacy dei dati, connessa in modo molto stretto con la sicurezza, e sulla nuova norma europea che entrerà in vigore nel maggio 2018, il Regolamento UE 679/2016, meglio noto come General Data Protection Regulation o GDPR.

In Italia esistono già norme sulla privacy: la Legge n. 675 del 31/12/1996, sostituita poi dal D.lvo 196/2003 noto anche come “Decreto Privacy”, che ha contribuito a fare crescere la consapevolezza della necessità di sicurezza dei dati, anche se i suoi obblighi, come il documento programmatico di sicurezza informatica sono stati spesso disattesi e alcuni hanno cessato di essere obbligatori nel 2012.

Il nuovo regolamento europeo viene a sostituire le normative precedenti in tutti i paesi della UE e, per come è stato strutturato, diviene legge nei vari paesi direttamente, senza alcun bisogno di ratifica da parte dei parlamenti nazionali. Per questo, essendo il successore del Decreto Privacy di cui amplia aspetti e regole, durante la riunione di un comitato tecnico di cui faccio parte il GDPR è stato soprannominato scherzosamente “Gran Decreto Privacy” :-).

Ad un primo esame, il nuovo regolamento si presenta come estremamente rigoroso, intransigente e, soprattutto, sanzionatorio. Infatti introduce sanzioni molto pesanti per i trasgressori, che possono giungere a multe pari a milioni di euro o al 4% del fatturato globale di un’azienda. In realtà un esame più approfondito rileva gli indubbi aspetti positivi del nuovo regolamento, accompagnati comunque anche da caratteristiche negative.
Come molte norme europee il regolamento è suddiviso fra principi (173 elementi definiti “considerando”) e 99 articoli (che definiscono la norma effettiva) il cui ruolo, senza una precedente lettura dei considerando, non apparirebbe altrettanto chiaro.

Definiamo ora l’ambito di azione del GDPR.

Il GDPR stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Per “dato personale”, come specificato nell’articolo 4 dello stesso GDPR, si intende:

“(…) qualsiasi informazione riguardante una persona fisica identificata o identificabile”, definita subito dopo col termine “interessato”.

Inoltre:

“(…) si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Quindi il GDPR si preoccupa della protezione dei dati personali, immagazzinati con strumenti fisici (es. archivi cartacei) e/o elettronici e di regolamentare i trattamenti che essi possono subire. Per “trattamento”, sempre nell’articolo 4, il GDPR intende.

“(…) qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Ne consegue che il GDPR regolamenta anche i trattamenti di dati che sono alla base del web e social media marketing e, in generale, anche molti dei trattamenti che hanno luogo grazie ai Big Data (si veda questo articolo del 2015 relativo alla convergenza digitale). Potremmo dire che lo stesso potere delle più grandi aziende dei nostri tempi viene toccato, almeno sul territorio dell’Unione Europea!
Nello svolgere questo fondamentale compito, però, il GDPR introduce una serie di principi fondamentali e di direttive che vanno ad integrarsi profondamente con molteplici aspetti organizzativi, tecnologici e operativi della vita delle aziende e ha quindi un impatto ampio. Vediamo di seguito come.

Data protection

Aspetti fondamentali della norma sono:

Il consenso informato (trasparenza) per gli interessati ai trattamenti, che devono ricevere in modo chiaro ed esaustivo tutte le informazioni relative ai trattamenti che i propri dati personali possono subire per qualsiasi motivo (ad esempio, analisi mediche, oppure la gestione della garanzia di un elettrodomestico); non sono più ammessi scenari di consenso “per default”: il consenso deve essere sempre espresso direttamente. Come dice il GDPR “i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

Il diritto a ricevere informazioni se i trattamenti dei dati cambiano da parte degli interessati e il diritto dei medesimi ad opporsi al nuovo uso dei dati nei nuovi trattamenti. I dati “sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”. Quindi non è più possibile, ad esempio, travasare i dati raccolti per una certa finalità in un nuovo archivio dove saranno usati per tutt’altro, senza l’esplicito ed informato consenso degli interessati.

  Minimizzazione dei dati: i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali i dati sono trattati; quindi se in un certo processo di trattamento dei dati certe informazioni non sono necessarie, è bene che non siano nemmeno presenti.

  I dati devono essere esatti e, se necessario, aggiornati: devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati; a questo proposito esistono purtroppo tantissimi casi, recenti e meno recenti, di persone che hanno subito danni per errori nei dati che li riguardavano.

I dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; quindi non è più possibile conservare certi dati a tempo indefinito, solo a titolo di esempio, a molti di noi ancora capita di ricevere lettere pubblicitarie indirizzate a propri cari defunti da anni.

  I dati devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). In caso di danni o altro i titolari dei trattamenti sono tenuti a informare gli interessati. In altre parole i dati devono essere protetti da danni accidentali, da furti o danneggiamenti volontari, da abusi. E, in caso questi accadano, sia gli interessati, sia il Garante della Privacy ne devono essere informati (con rischi enormi sulla reputazione della organizzazione). Questo prosegue ed amplia principi e compiti già stabiliti nel DPR del 2003.

Principio di “responsabilizzazione”: i titolari del trattamento, ossia le aziende che gestiscono e trattano i dati, ovvero i loro rappresentanti legali, sono competenti per il rispetto di tutti gli obblighi suddetti e devono essere in grado di dimostrare tale rispetto.

Il punto 7 rappresenta una rivoluzione rispetto a molte situazioni oggi esistenti, da cui discendono tutta una serie di conseguenze, non ultime le minacce delle sanzioni. Il dover essere in grado di dimostrare che si sta “lavorando in modo lecito, corretto, esatto, sicuro e responsabile” con i dati significa in sostanza:

  1. Dover conoscere tutti i trattamenti di dati in corso presso la propria organizzazione e quindi conoscere e poter dimostrare a richiesta:
    a. quali dati vengono trattati e in che modo sono rappresentati;
    b. per quale finalità sono trattati;
    c. entro quali processi aziendali sono trattati;
    d. con quali strumenti, informatici e non, sono trattati;
    e. chi (quali persone entro l’organizzazione) li trattano, con quale ruolo;
    f. quali strumenti di sicurezza sono posti a garantire la riservatezza, la esattezza e la disponibilità di tali dati.
  2. Mettere in atto (o avere in atto se si è già provveduto) tutte le misure necessarie per poter dimostrare tutte le informazioni del punto precedente e per poterle gestire ed aggiornare, mantenendole coerenti con i trattamenti esistenti man mano che essi si evolvono.
  3. Mettere in atto tutte le misure necessarie per fornire il consenso informato agli interessati e per raccogliere la loro autorizzazione esplicita.
  4. Impostare i processi necessari per tenere i dati aggiornati ed esatti o per integrarli o per cancellarli in base alla eventuale richiesta degli interessati.

Questi ed altri compiti vengono esplicitati nel GDPR, ad esempio, attraverso l’introduzione nell’articolo 30 del Registro del Trattamento. Questo è molto di più del documento programmatico di sicurezza del vecchio Decreto Privacy, in quanto:

  1. Deve tenere traccia in modo adeguato di tutte le operazioni di trattamento effettuate all’interno della singola organizzazione (come definito sopra).
  2. Deve costituire uno strumento operativo di lavoro, per censire le raccolte di dati esistenti in azienda e che deve tenersi sincronizzato con la evoluzione di queste.
  3. Rappresenta anche un documento probatorio con il quale il titolare dei dati può dimostrare, ad esempio, in caso di ispezione, di avere adempiuto alle prescrizioni del GDPR.

Inoltre, ad esempio nell’articolo 25, il GDPR regolamenta anche i nuovi trattamenti, successivi alla sua adozione in azienda, esprimendo alcuni principi come:

  1. La privacy sin dalla progettazione e per impostazione predefinita: in tutti i nuovi progetti di trattamenti di dati la privacy deve fare parte dei requisiti obbligatori e deve essere il caso di default; in pratica quindi tutto deve essere pensato partendo dalla privacy e sono eccezioni da giustificare i casi in cui la riservatezza dei dati è meno importante di altre caratteristiche.
  2. La protezione dei dati sin dalla progettazione e per impostazione predefinita: in tutti i nuovi progetti devono essere tenuti presente obbligatoriamente i principi di protezione e conservazione dei dati, complemento indispensabile della privacy.
  3. Deve essere svolta una adeguata analisi dei rischi.

Questi principi rappresentano una rivoluzione del modo di progettare i trattamenti dei dati, anche se sono conformi pienamente ai principi espressi da normative internazionali come ISO27001 (la sicurezza informatica) e ISO31000 (la gestione del rischio) e, in generale, ai temi della qualità espressi dalla normativa ISO9001 nella nuova versione del 2015.

In pratica quindi tutto questo significa che la piena conformità al GDPR non può essere svolta attraverso la mera scrittura di documenti fini a se stessi, ma richiede una serie di interventi di adattamento che agiscono a livello di processi (organizzazione aziendale), di risorse umane, di gestione dei rapporti con clienti e fornitori, oltre che di IT. Il progetto di adeguamento deve essere gestito con tutti i principi del buon Project Management (ad esempio la ISO21500).

A partire da tali presupposti, possiamo ignorare il GDPR?

Si, certo, possiamo farlo, ma correndo il rischio di multe salate e danni di immagine molto ampi, oltre che il fatto che fornitori o clienti di altri paesi europei, che si stanno già adeguando al GDPR, possano farci causa in caso di incidenti coi dati, o di usare la loro conformità come fattore competitivo.
In sostanza il GDPR deve essere visto più come una opportunità per migliorare il proprio modo di lavorare e per rendere più sicura la propria IT (si ricordi l’articolo precedente), più che non come l’ennesimo “male necessario”.
Alcuni aspetti citati del GDPR sono profondamente legati ad altre caratteristiche della Governance dei Sistemi e della Progettazione IT e saranno oggetto di approfondimento in successivi articoli.

Sitografia

– Testo del GDPR in Italiano

– Portale EUROPRIVACY

Portale del Garante Italiano della Privacy.