Dal prossimo 25 maggio, il General Data Protection Regulation (“GDPR”) sarà pienamente applicabile nei 28 Stati dell’Unione Europea. Nonostante il Regolamento non richieda provvedimenti attuativi dei singoli Stati, i legislatori nazionali potranno prevedere norme apposite in contesti specifici, ad esempio per il trattamento di categorie particolari di dati personali – come quelli biometrici – ovvero nei casi di profilazione decisionale. Anche dal Garante per la protezione dei dati personali potranno arrivare input di indirizzo normativo: oltre ad avere compiti di vigilanza, ispettivi e sanzionatori, infatti, l’Autorità ha anche il compito di emettere linee guida su misure regolamentari quali, appunto, il GDPR.
Lo scenario normativo è alquanto articolato e mancano, soprattutto, puntuali indicazioni di tipo pratico; il GDPR, infatti, si basa sul principio dell’accountability e non dà suggerimenti su quali strumenti adottare per raggiungere la compliance. Le organizzazioni, tuttavia, potranno contare sul lavoro del Working Party 29 (“WP29”): istituito dall’art. 29 della Direttiva CE n. 95/46, è un ente indipendente, composto da un rappresentante delle autorità di protezione dei dati personali di ogni Stato membro, dal Garante Europeo della Protezione dei Dati nonché da un rappresentante della Commissione.
Questa fonte di “soft law” si occupa – tra l’altro – di redigere opinioni e linee guida concrete sull’interpretazione e l’attuazione del Regolamento e, negli ultimi mesi, è stata particolarmente prolifica: ad esempio sui temi di trattamento “su larga scala”, di valutazione d’impatto (Data Protection Impact Assessment, “DPIA”), di Data Protection Officer (DPO) e di data breach.
In particolare, le linee guida del WP29 su quest’ultimo punto sono state adottate lo scorso 3 ottobre. In pubblica consultazione fino alla fine del mese di novembre, attualmente sono in attesa di formalizzazione e, pur ancora in versione non definitiva, possono essere però considerate già un punto di riferimento autorevole da Titolari e Responsabili del trattamento del dato.
Prendiamo ad esempio la definizione di data breach presente all’art. 4 del Regolamento, in cui il legislatore specifica che con “violazione dei dati personali” s’intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”: in questo modo, il GDPR ha amplificato notevolmente il significato in uso di violazione del dato, usualmente associato al solo furto.
Le linee guida del WP29, a tal proposito, forniscono indicazioni sulla gerarchia delle responsabilità di reazione al data breach, attribuendo al Responsabile del trattamento un ruolo subordinato, ma comunque attivo, a quello del Titolare e analizzando in concreto le varie modalità di violazione del dato richiamate dal Regolamento. Secondo il GDPR queste possono essere, infatti, di tre tipi: di confidenzialità, quando si verifica una divulgazione o un accesso a dati personali non autorizzato o accidentale; di integrità, quando si verifica un’alterazione di dati personali non autorizzata o accidentale; di disponibilità/accesso, quando si verifica perdita, inaccessibilità, o distruzione, sempre non autorizzata o accidentale, di dati personali.
In uno qualsiasi di questi tre scenari, compito di accertare il data breach è del Titolare, o se presente anche del Responsabile, che ha l’obbligo di avvisare tempestivamente il Titolare stesso. Questi, qualora si verifichino particolari situazioni che ledono i diritti e la libertà degli individui (artt. 33 e 34 del Regolamento), ha a sua volta l’obbligo di notificare l’avvenuta violazione -con i relativi dettagli- alle autorità garanti e ai cosiddetti Interessati (gli utenti del cui dato si tratta). Le linee guida in discorso ricordano come sia possibile prendere determinate precauzioni perché si possa superare l’obbligo di notifica: per esempio lo stesso GDPR descrive (Art. 34) la cifratura dei dati come una buona pratica che faccia venir meno la necessità di comunicazione all’Interessato, tuttavia la decisione sulle azioni da intraprendere -nel rispetto del principio di accountability- è rimessa al Titolare.
Il tutto entro 72 ore o comunque senza “ingiustificato ritardo” dall’accertamento del data breach.
Si può, pertanto, facilmente comprendere il valore delle indicazioni fornite dal WP29 – che offrono una bussola per muoversi più celermente in caso di data breach – considerando quanto onerose possono essere le sanzioni a carico delle organizzazioni che, colpite da violazioni, non pongano in essere le azioni e le precauzioni richieste dalla normativa.
Ma, se il WP29 fornisce questo indubitabile aiuto, resta irrisolta la questione di quali siano gli strumenti cui Titolare e Responsabile del trattamento devono far ricorso e la cui scelta, peraltro, rimane interamente a loro carico. Una difficoltà che, indipendentemente dalla dimensione della struttura aziendale o professionale, può diventare un grosso problema se si è sprovvisti delle necessarie competenze.
Tuttavia, la buona notizia è che l’adozione di servizi di digital trust possono essere la chiave di volta per affrontare con successo la sfida del GDPR, in un naturale processo di trasformazione digitale delle aziende.
È, quindi, cruciale affidarsi a un partner capace di fornire, dal punto vista tecnologico le soluzioni più innovative e affidabili, come i Trust service di InfoCert: ad esempio la firma elettronica laddove il particolare tipo di trattamento richieda un consenso espresso, digitalizzando quello che in alcuni casi oggi viene ancora raccolto su carta nonché strumenti di notifica opponibili a terzi, come la PEC (Posta Elettronica Certificata), per l’e-delivery delle comunicazioni tra Titolare, Responsabile, Autorità e Interessato. Inoltre, attraverso strumenti di access e log monitoring è possibile garantire la ricostruzione e l’audit sul trattamento dei dati, avendo la certezza che i dati siano trattati solo nei modi e dai soggetti autorizzati.
Agli strumenti tecnologici è, poi, importante affiancare un supporto esperto per la consulenza e l’analisi dei processi già esistenti nonché nel disegno -alla luce della normativa vigente- di una roadmap sostenibile e sicura del processo di trasformazione digitale.
