Lo scorso 29 gennaio i coordinatori del blog Europrivacy.info hanno organizzato una giornata di studio, che ha visto anche la partecipazione di un rappresentante dell’Autorità Garante per la protezione dei dati personali, con l’obiettivo di analizzare le più importanti novità del Regolamento Europeo sulla Protezione dei Dati Personali (General Data Protection Regulation – Gdpr) in Italia rispetto alla legislazione vigente.
Francesca Gatti, Segretario Generale e Tesoriere Aused
La giornata è stata introdotta da Francesca Gatti, Segretario Generale e Tesoriere Aused, la quale ha spiegato che i coordinatori del blog, partendo dalla esperienza ormai lunga della Oracle Community for Security, fondata e coordinata da Alessandro Vallega, CD Clusit, Security Business Development Director Oracle Europe, e con il sostegno di Aused e Clusit, hanno dato vita ad Europrivacy.info perché convinti della necessità di doversi muovere subito, anche in ragione di alcune caratteristiche della nuova normativa, a partire dalla natura dello strumento legislativo utilizzato – il Regolamento, non la Direttiva – che comporta l’immediata vigenza della norma in tutta la UE senza bisogno di recepire il testo del Regolamento europeo sulla privacy nelle legislazioni nazionali.
“Il testo del Gdpr, approvato dalle Commissioni competenti del Parlamento e del Consiglio Europeo, concede due anni, dalla data della entrata in vigore, perché le aziende possano predisporre quanto necessario per essere conformi ed è sempre difficile motivare scelte onerose sulla base di scadenze a lungo termine – ha spiegato Gatti – ma la complessità del tema relativo alla tutela dei dati personali, in un momento di grandissima e velocissima trasformazione digitale della società e dell’economia, suggerisce di attivarsi subito”.
I temi scelti nella giornata di studio hanno riguardato gli aspetti del regolamento Gdpr più vicini alla gestione della infrastruttura tecnologica e applicativa che sostiene e, in un numero crescente di casi, realizza le strategie di business delle aziende. “Molti aspetti del Gdpr – ha specificato Gatti – non sono stati affrontati ma, appunto, si tratta dell’inizio di una discussione che ci accompagnerà per i mesi a venire”.
Cosimo Comella rappresentante dell’Autorità Garante
Le sessioni di approfondimento si sono quindi aperte con l’intervento di Cosimo Comella che, in rappresentanza dell’Autorità Garante, ha illustrato le principali modifiche che potrebbero essere introdotte dal nuovo Regolamento europeo sulla privacy e gli impatti che le stesse potranno avere sulla legislazione italiana. Il suo intervento, attraverso l’esame introduttivo di importanti decisioni della Corte di Giustizia dell’Unione Europea ha dimostrato come la normativa sulla General data protection sia il risultato di un dibattito avviato da tempo su alcune questioni attinenti la data protection e di come alcuni concetti siano già presenti nell’attuale dibattito sulla materia.
La gestione del rischio: quali novità nel Gdpr
Enrico Toso, Ict Regulatory, Risk and Control Specialist
Enrico Toso, Ict Regulatory, Risk and Control Specialist, ha poi chiarito come viene affrontato all’interno del Regolamento Europeo sulla privacy il tema della gestione del rischio; in particolare ha evidenziato come la nuova normativa provi a mediare tra interessi economici, utilizzo delle tecnologie e protezione dei dati e ha aiutato a interpretare due contrapposizioni di fondo: da un lato impiegare le tecnologie come servizio per favorire lo sviluppo degli scambi tutelando i diritti degli interessati e, dall’altro, contrastare le minacce che sorgono dal canale tecnologico e le insidie dei comportamenti malevoli accrescendo la consapevolezza e la fiducia di coloro che hanno necessità di utilizzare i propri dati. “L’auspicio – secondo Toso – è che la tecnologia da minaccia diventi e sia percepita come una protezione, come un vantaggio; è questa la sfida che il Gdpr intende affrontare nel testo definito, al di là degli obiettivi di armonizzazione delle discipline e di libera circolazione dei dati tra gli Stati Membri”. Toso evidenzia, inoltre, l’importanza di uno strumento di analisi, richiamato dal regolamento Gdpr: il Privacy Impact Assessment (Pia), un effettivo aiuto per decidere quando e in che misura ricorrere a soluzioni che la tecnologia mette a disposizione per la protezione dei dati personali come, per esempio, la pseudonimizzazione, l’anonimizzazione o la cifratura. “Quando il testo del Gdpr riferisce che il Pia deve essere parte integrante dell’approccio Privacy by Design – precisa Toso – vuole farci intendere che l’analisi dei rischi deve essere compiuta a partire dalla progettazione di una soluzione per assicurare che i problemi di data protection potenziali siano identificati negli stadi iniziali, quando la possibilità di indirizzarli è spesso più immediata, meno onerosa e più efficace”.
Una nuova figura: data protection officer
Fabio Guasconi, Founding partner e President di Bl4ckswan
Biagio Lammoglia, Consulente su Privacy & It Compliance, ha evidenziato i criteri di designazione obbligatoria, l’inquadramento all’interno dell’organizzazione aziendale e la necessaria competenza professionale nonché il quadro normativo italiano all’interno del quale sta evolvendo il processo di regolamentazione di una simile figura, introducendo così Fabio Guasconi, Founding partner e President di Bl4ckswan, il quale ha approfondito questo tema con riferimento all’esistente schema nazionale della Uni 11506, basata sul consolidato e-CompetenceFramework Europeo, e ai progetti normativi attualmente in lavorazione. In particolare è stato illustrato il progetto attinente ai profili professionali alla privacy il quale, oltre alla figura del Dpo-Data protection officer, sta definendo le caratteristiche di un insieme di profili sintetizzati a partire dalle esperienze maturate dai principali stakeholder del settore negli ultimi 20 anni.
Data Breach: obbligo di notifica
Guglielmo Troiano, Legal Senior Consultant presso P4I – Partners4Innovation
Il convegno ha poi visto il contributo di Guglielmo Troiano, Legal Senior Consultant presso P4I – Partners4Innovation e di Roberto Obialero, Senior Security Advisor, i quali, relativamente al “Processo di Incident Management in caso di Data Breach”, hanno spiegato che il nuovo Regolamento europeo sulla privacy copre un vuoto normativo sulla violazione dei dati (Data Breach), in particolare sulle attività che il Titolare deve intraprendere. In caso di violazione di dati (definita dal Regolamento come una violazione di sicurezza, sia accidentale che conseguente ad attività illecita, che comporta distruzione, perdita, modifica dei dati e rivelazione nonché accesso non autorizzati ai dati) il Titolare ha l’obbligo di provvedere, immediatamente o comunque entro 72 ore, a notificare la violazione all’Autorità garante competente ed agli interessati i cui dati sono stati violati, se ci sono rischi per i loro diritti e le loro libertà.
Roberto Obialero, Senior Security Advisor pr
L’adozione di un processo strutturato di Incident Management (relativo al campo specifico degli eventi di sicurezza e non a valenza generale sui malfunzionamenti nei processi di erogazione dei servizi Ict) è centrale per mitigare il livello di rischio, affrontare in modo organico gli eventi di Data Breach e fornire una risposta adeguata. “Le statistiche disponibili, fornite dall’agenzia Europol – spiega Obialero – dimostrano che le organizzazioni hanno una scarsa consapevolezza dei rischi incombenti, ma soprattutto hanno un livello di preparazione a questa tipologia di eventi palesemente inadeguato”. Su circa 170 milioni di record esposti a seguito di Data Breach accertati nel corso del 2015 (fonte Identity Theft Resource Center) oltre 2/3 sono riconducibili a dati di tipo sanitario. Secondo il rapporto M-Trends 2015 (fonte Mandiant-FireEye) circa il 69% degli attacchi informatici viene notificato da un’organizzazione esterna a quella colpita, mentre il tempo medio che trascorre tra i primi indicatori di compromissione ed il relativo accertamento è pari a 205 giorni.
GDPR, Privacy by Design e Privacy by Default quale differenza
Giancarlo Butti, Auditor presso Banco Popolare
Giancarlo Butti, Auditor presso Banco Popolare, il quale ha affrontato la tematica di Privacy by Design e Privacy by Default, uno degli aspetti più impegnativi per i Data Controller introdotto dal nuovo Regolamento UE. Non si tratta di un concetto nuovo; ideato dall’Information and Privacy Commissioner dell’Ontario è stato recepito nel 2010 dalla 32a Conferenza Internazionale dei Garanti privacy. In realtà già l’attuale Dlgs 196/03 prevede limitazioni all’uso dei dati personali e numerosi Provvedimenti e tutte le Autorizzazioni generali del Garante privacy richiamano questo principio e suggeriscono spesso soluzioni tecniche quali ad esempio la crittografia. L’impatto delle nuove disposizioni è rilevante, in quanto è necessario ripensare il processo che porta a sviluppare un nuovo prodotto/servizio valutando da subito i relativi impatti privacy ed adottando, di conseguenza, adeguate misure tecniche ed organizzative. La realizzazione di una soluzione di firma grafometrica, dovendo rispettare il provvedimento sul trattamento di dati biometrici, può essere un esempio di quali regole tecniche, formali ed organizzative possano essere utilizzate per rispettare i nuovi requisiti. Numerosi framework e standard, anche specificatamente dedicati alle soluzioni Ict, possono aiutare i Controller ad adeguarsi a questo nuovo modo di concepire la privacy, nell’attesa che vengano definite regole tecniche e criteri per certificare la conformità alla norma come previsto dallo stesso Regolamento europeo sulla general data protection.
Gli impatti del regolamento europeo sui fornitori ICT
Andrea Reghelin, Associate Partner presso P4I – Partners4Innovation
Andrea Reghelin, Associate Partner presso P4I – Partners4Innovation, ha quindi illustrato i principali impatti che potrebbe introdurre il Regolamento Europeo sulla privacy sui fornitori di servizi It che trattano dati personali per conto dei propri clienti.
L’intervento si è focalizzato sull’esame delle disposizioni della normativa general data protection che disciplinano la figura del Data Processor, che corrisponde all’attuale Responsabile del trattamento previsto dalla normativa vigente in Italia (D.lgs. 196/2003). Rispetto a quest’ultima, tuttavia, il Regolamento dedica maggior attenzione nel definire il ruolo e le responsabilità del Data Processor e le modalità attraverso le quali debba essere formalizzato il suo incarico. In particolare il Data Processor, individuato dal Data Controller (Titolare del trattamento) in tutti i casi nei quali affidi a terzi trattamenti di dati personali da effettuarsi per suo conto, assume il compito di mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento sia conforme al Regolamento e assicuri la tutela dei diritti degli interessati. Nello specifico, il Data Controller dovrà fornire dettagliate istruzioni al Data Processor attraverso un contratto (o altro atto giuridico scritto) i cui principali contenuti sono definiti dal Regolamento e interessano in modo specifico anche aspetti legati alla sicurezza dei dati personali. Sotto il profilo delle responsabilità, il Regolamento prevede sanzioni amministrative a carico del Data Processor in caso di violazioni degli obblighi previsti, sia il diritto dell’interessato ad essere da questi risarcito nel caso abbia subito danni per effetto del suo operato. Degna di attenzione è infine la norma, a tutela degli interessati, che disciplina il diritto ad ottenere il risarcimento del danno in caso di trattamento non conforme al Regolamento UE. La normativa europea prevede che tale risarcimento possa essere chiesto al Data Processor, ampliando ulteriormente le responsabilità attribuite a questa figura.
Profilazione e anonimizzazione dei dati
Stefano Tagliabue, funzione Privacy di Tim
Stefano Tagliabue, funzione Privacy di Tim, ha poi affrontato le tematiche della profilazione e della anonimizzazione dei dati, due ambiti aventi finalità e modalità molto differenti. La profilazione mira a conoscere le caratteristiche di un individuo, attraverso l’analisi del suo background e dei suoi comportamenti, allo scopo di indirizzare decisioni ed azioni che possono avere conseguenze anche molto significative, come ad esempio la concessione di un mutuo o l’assunzione per un lavoro. È quindi necessario mantenere il legame tra i dati trattati e la persona a cui essi si riferiscono. Il nuovo Regolamento prevede misure di salvaguardia specifiche, come per esempio l’esecuzione di un preventivo data protection impact assessment, nonché il rispetto di tutte le altre disposizioni in materia di privacy. L’anonimizzazione ha invece lo scopo di rescindere in modo definitivo il legame tra la persona e i dati, che escono così dal campo di applicazione della normativa privacy, consentendo la loro elaborazione per esempio per fini statistici. Lo scotto da pagare è però l’impossibilità oggettiva di correlare i dati relativi a uno stesso soggetto; quindi, trattando dati realmente anonimi, sarà possibile rispondere a domande del tipo: “quanti utenti hanno fruito del servizio?” ma non a domande del tipo: “degli utenti che hanno fruito del servizio X, quanti hanno anche fruito del servizio Y?”. Per ovviare a tale inconveniente si va diffondendo la pratica della pseudonimizzazione, cioè la sostituzione delle informazioni identificative con codici irreversibili, spesso tramite tecniche crittografiche. L’uso di dati pseudonimizzati consente la correlazione dei dati in forma anonima; tuttavia, l’interpretazione dei Garanti Privacy europei è che essi rientrino nell’ambito di applicazione della normativa GDPR sulla privacy, con i conseguenti requisiti ed adempimenti.
Perché iniziare a preoccuparsi?
Sergio Fumagalli, Consigliere Clusit e Vice President di Zeropiu
Sergio Fumagalli, Consigliere Clusit e Vice President di Zeropiu, ha concluso la giornata affrontando una domanda spesso non espressa, ma che di fatto condiziona, nel concreto, le scelte delle imprese: i due anni concessi dalla normativa per la compliance sono un periodo di tempo lungo, dunque, perché preoccuparsi ora del Gdpr?
“Le novità del Gdpr hanno impatti non solo sulla tecnologia ma anche sui processi e sull’organizzazione – ha fatto notare Fumagalli – e l’esposizione che deriva alle imprese dal non rispettarle può raggiungere livelli tali da condizionare la vita stessa dell’impresa”.
Ne deriva una complessità che per essere affrontata correttamente richiede tempo. Oltretutto, a protezione dei dati personali, il Gdpr richiede interventi non dissimili per filosofia e strumenti operativi da quelli richiesti da altre normative o standard che regolano altri aspetti dell’attività aziendale: dai pagamenti, alle carte di credito fino alla tutela della proprietà intellettuale e delle informazioni riservate.
Da tutte queste considerazioni consegue la necessità che le aziende pianifichino sin d’ora le azioni da intraprendere per adempiere alla nuova normativa, per essere pronti fra 24 mesi, quando entrerà in vigore, ma anche per supportare il business nella digital transformation che presuppone, comunque, la protezione di tutti gli asset informativi coinvolti.
Per ulteriori informazioni leggi gli articoli di Approfondimento del GDPR Countdown che indicano cosa fare per essere compliant al Regolamento Europeo.
* Elisa Gallarati è Legal Consultant presso P4I – Partners4Innovation
