Data Protection & Information Security

Verso l’autodeterminazione informativa

Cosa cambia con il nuovo regolamento GDPR (General Data Protection Regulation) nel passaggio dalla tutela della privacy alla protezione dei dati personali.

Mai come in questo periodo l’attenzione dell’opinione pubblica sui temi della data protection e della privacy è stata così alta. Dai media tradizionali alle newsletter generaliste non passa giorno senza che si constati quanto sia importante, nell’interesse dei più, comprendere le nuove regole, unificate in Europa, a tutela di questo diritto fondamentale. Già, perché proprio di Diritto Fondamentale si parla. Vale a dire del cosiddetto ‘Diritto all’Autodeterminazione Informativa’ riconosciuto in capo a ogni individuo, con maggiore intensità in relazione a specifiche categorie di informazioni, ma in generale con riferimento a tutti i contenuti informativi che riguardano ognuno di noi. Non stupisce affatto, quindi, che il legislatore comunitario per disciplinare il fenomeno sia intervenuto in questo periodo storico, ove si parla sempre più spesso di economia del dato; né si può ritenere che non ve ne fosse la necessità viste le ultime rivelazioni di Wikileaks relative alla capacità di invasione della sfera privata dei cittadini di determinate agenzie di intelligence. In effetti la digitalizzazione con l’avvento dell’Internet of Things ha aperto ed apre, non soltanto in senso metaforico, le porte delle nostre case ma, ed è questo il punto, rischia di togliere alle nostre vite la loro unicità con conseguenze sulla libertà di scelta che ci è propria. Si pensi, per comprendere, alla capacità predittiva di determinati algoritmi e si rifletta, per un momento direi a livello filosofico, sulla differenza molto labile e troppo sottile, nel mondo digitale, che passa tra consigliare e indurre.

Conoscere il passato per comprendere il futuro
Come tutti sappiamo il diritto alla Privacy da cui promana, come segno dei tempi, il diritto alla Protezione dei Dati Personali, si afferma, negli Stati Uniti sul finire del secolo XIX e, attraverso un’incessante opera giurisprudenziale in Italia diviene norma assistita da sanzione. Questo nel 1996 con la legge 675, emanata per recepire i contenuti della Direttiva 95/46 che in precedenza a livello europeo ne aveva formalmente sancito l’esistenza. Ora con il regolamento 679 del 27 aprile 2016, che come è noto si applicherà a partire dal 25 maggio 2018, avviene una vera e propria rivoluzione copernicana nella disciplina dei trattamenti di dati personali.
Si passa cioè da un assetto normativo concepito per proteggere i destinatari della norma e dal trattamento quale fonte di responsabilità, a un assetto in cui, riconosciuta l’importanza delle operazioni di elaborazione, ma anche la loro pericolosità, se ne disciplinano, per certi versi innalzando, il livello di protezione, le finalità, i presupposti, i tempi e i modi. Questo accordando al Titolare del trattamento, a certe condizioni, anche il diritto di riuso del dato, sul presupposto che il dato sia valore e che l’ottemperanza ai principi del Regolamento consenta, a sua volta, di creare altro valore.

Data Protection & Information Security
Nel quadro descritto, caratterizzato dal fatto che il dato personale nella sua forma digitalizzata costituisce anche un vero e proprio fattore di produzione, si comprende, in modo agevole, come debba costituire parimenti a questa caratteristica, anche il livello di protezione applicato dal titolare del trattamento su quel dato personale. In argomento, da un punto di vista tecnologico innovando in modo significativo rispetto al passato, il legislatore Comunitario già nel corpo dell’articolato del Regolamento introduce espressamente due tecniche di protezione dei dati personali, solo indirettamente rinvenibili nel testo del vigente Codice in materia di protezione dei dati personali.

Crittografia e pseudonimizzazione
Mi riferisco, nello specifico, alla crittografia ed alla pseudonimizzazione (quest’ultimo è il principio secondo il quale le informazioni di profilazione devono essere conservate in una forma che impedisce l’identificazione dell’utente, ndr) che sono concepite, in realtà, sia come vere e proprie misure tecniche di sicurezza, e, come tali espressamente richiamate dall’art. 32 lett. a) del Regolamento stesso; ma anche, ed è importante sottolinearlo, come parte di un processo più ampio, codificato nel testo dell’art. 25 del Regolamento. In questo articolo, sotto la rubrica Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, esprime i principi della cosiddetta Privacy By Design e Privacy By Default. Nel citato articolo 25 citato si sancisce in primo luogo che, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento metta in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati. In secondo luogo, che il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

Valutazione d’impatto sulla protezione dei dati (Privacy Impact Assessment)
Ma non è ancora tutto. Per determinati trattamenti o per determinate operazioni di trattamento, allorché prevedano in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto, le finalità del trattamento e che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il regolamento prevede, all’art. 35, che il Titolare del trattamento effettui, prima di procedere al trattamento stesso, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Processo conosciuto anche come Privacy Impact Assessment (PIA).

La norma appena richiamata, oltre a prevedere espressamente che il Titolare del trattamento sarà obbligato, nella valutazione d’impatto a consultare il suo Data Protection Officer, qualora sia stato designato, e a demandare alle Autorità di controllo l’individuazione analitica, in un elenco dei trattamenti soggetti a valutazione, ed a specificare – secondo il comma 3, lettere a) b) e c) – quali siano i trattamenti per i quali sussiste l’obbligo di valutazione d’impatto, esprime in modo chiaro quali debbano essere i contenuti della valutazione stessa. Si legge, infatti al comma 7 dell’art. 35 che la valutazione contiene almeno:

a) una descrizione sistematicadei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.