La riflessione

L’evoluzione semantica del dato nel GDPR, ecco come cambia

Alla luce dei cambiamenti sociali portati dalla diffusione delle tecnologie, il concetto di dato evolve il suo significato semantico diventando più complesso. Di conseguenza, anche il trattamento dei dati deve adeguarsi a questa evoluzione. Un cambiamento che il legislatore europeo ha colto con la creazione del GDPR

09 Mag 2019
Manuela Sforza

Cyber Security Analyst

privacy e action

Il concetto di dato oggi assume un valore semantico complesso, in linea con i cambiamenti sociali portati dalla tecnologia che ridefiniscono i confini della privacy. Il legislatore europeo con il GDPR e la direttiva NIS ha colto questa evoluzione, soprattutto nell’ambito Data protection, normando il trattamento dei dati in linea con queste novità.

Alla dimensione storica del “dato personale come diritto” si affianca prepotentemente la dimensione del “dato come informazione”, come bit, come unità minima elaborabile che transita attraverso sistemi intrinsecamente fallibili, la cui violazione genera non solo conseguenze per l’organizzazione titolare del trattamento (perdite economiche, interruzione della continuità operativa, danni reputazionali) ma anche un impatto sui diritti e le libertà delle persone.

La storia semantica del dato

La moderna società ultratecnologica, iperconnessa, si muove ormai prevalentemente in un cyberspazio dai confini sfumati, difficilmente circoscrivibili, in cui non è raro che gli attori (civili ed economici) coinvolti perdano il controllo dei propri dati personali. Il diritto alla privacy, come diritto della personalità, nasce nel mondo anglosassone alla fine dell’800 come “right to be alone”, come diritto ad essere lasciati soli, a mantenere una propria sfera privata, come diritto alla riservatezza.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Nell’ Europa del dopoguerra si afferma invece con un’accezione più ampia, come diritto a mantenere il controllo dei propri dati personali, diritto di accesso, di modifica, di oblio, di limitazione e di opposizione, il tutto per garantire all’interessato che il mondo esterno rifletterà un’immagine di lui il più possibile coerente con quella che è disposto a dare di sè stesso.

Una visione così impegnativa non può non affrontare le nuove sfide del mondo digitale: i social network e la terza piattaforma, l’ultraconnettività, il contesto sociale dematerializzato spingono gli attori ad agire in uno spazio non più fisico, privo di contorni, in uno spazio informatico in cui, paradossalmente, è facile mettere in crisi questa stessa impostazione nei suoi presupposti fondamentali: il cyberspazio non si vede; è difficile tenere traccia delle varie entità che ne fruiscono, della misura in cui lo utilizzano, è difficile individuare chi si intromette come ospite indesiderato in una comunicazione e la conseguente perdita di confidenzialità, integrità o disponibilità dei contenuti scambiati.

Le due dimensioni del concetto di dato

Contestualmente il dato diventa un asset desiderabile economicamente, nella sua veste di input elaborabile da un processo organizzativo, allo scopo di creare valore aggiunto. I database su larga scala consentono di profilare con più efficacia, di creare pattern e modelli predittivi del comportamento di consumo, di somministrare efficacemente prodotti e servizi esattamente a quei target propensi ad acquistarli. Il dato diventa fonte di valore economico. Anche per mantenere la competitività sui mercati internazionali, trainata dalla fiducia degli attori/consumatori, il Legislatore Europeo redige il Regolamento 2016/679 (accompagnato dalla Direttiva NIS), con una ratio profondamente innovativa che rappresenta ed esprime proprio questa evoluzione semantica del concetto di dato personale, articolabile su due dimensioni:

  • la prima afferisce alla safety del trattamento, l’aspetto informativo/documentale, finalizzato a garantire che il flusso sui dati non leda i diritti fondamentale dell’interessato;
  • la seconda afferisce security del trattamento, l’aspetto tecnologico/organizzativo, che mira a garantire la confidenzialità, l’integrità e la disponibilità del dato personale, nel passaggio attraverso l’infrastruttura operativa.

La consapevolezza di questa dicotomia apre la strada ad una nuova prospettiva metodologica in ambito Data Protection che sappia attribuire la giusta importanza al rischio cyber anche in contesti organizzativi poco strutturati: oggi non esistono più misure minime di sicurezza da implementare ma viene introdotto un moderno approccio risk based, in base al quale il titolare del trattamento si impegna a mettere in campo tutte le misure ritenute adeguate al rischio stimato.

Nel caso di trattamenti che presuppongano l’utilizzo di sistemi o asset informatici, l’analisi del rischio preliminare (mirante a determinare anche la probabilità di occorrenza delle cyber-minacce) sostanzia il principio di accountability e introduce la cultura della security anche in contesti tradizionalmente poco propensi ad investire strategicamente nel settore. Grazie all’arricchimento semantico del concetto di dato personale, che ne sottolinea l’aspetto info-centrico di asset elaborativo, memorizzato o in transito attraverso una struttura di trattamento, la security diventa una variabile strategica, un mezzo per realizzare la “privacy”, intesa come protezione del dato, fin dalla progettazione dei flussi di trattamento (by design) e per impostazione predefinita (by default), due concetti cardine del nuovo quadro regolamentare.

La metodologia

Il modello metodologico emergente dalla riflessione consiste in uno schema di audit articolato in tre fasi:

  • una fase preliminare di analisi del contesto operativo e di identificazione dei trattamenti, supportata da interviste mirate al titolare e ai referenti di ogni settore coinvolto;
  • il privacy audit, una descrizione sistematica e accurata del trattamento sotto l’aspetto della conformità sostanziale e documentale ai principi sanciti dal GDPR, lungo la dimensione del dato come diritto;
  • il security audit, una serie di controlli sulla piattaforma operativa, dalla sicurezza fisica dei locali alla sicurezza delle postazioni informatiche, dalla sicurezza della rete alla conformità del sito web (considerato come ulteriore “entry point” dal quale i dati personali possono fluire all’interno dell’organizzazione), editati sulla base di un framework di riferimento adatto alla realtà esaminata.

Dalla valutazione congiunta dei due audit consegue l’attribuzione di un punteggio, opportunamente motivato dall’analista, che fotografa le operazioni di trattamento lungo le due dimensioni del dato e, attraverso il valore numerico assegnato, lo mappa su una scala qualitativa, ad esempio:

3 = controlli sotto la media;

2 = controlli nella media;

1 = controlli sopra la media.

Tale valore servirà a valle del processo di analisi del rischio per “ponderare” il risultato dell’equazione del rischio intrinseco (cioè che caratterizza il trattamento per il solo fatto di trattare certe categorie di dati, o certe tipologie di interessati, attraverso risorse dotate di determinate caratteristiche) con il livello di vulnerabilità (intesa come mancanza di controlli) emergente dall’audit sopra richiamato. In questo modo l’analista è in grado di tracciare un confine, una separazione logica, tra il rischio che il trattamento porta con sé ontologicamente e quello che risulta essere invece il rischio residuo o ponderato, dopo aver preso in considerazione tutta una serie di controlli di sicurezza (intesa anche come cyber-security se in presenza di contesti fortemente dematerializzati) ritenuti adeguati a contrastare la probabilità di occorrenza delle minacce.

Il processo di risk assessment

Il trattamento del dato avviene infatti attraverso una piattaforma elaborativa. In questo scenario, lo scopo del processo di analisi del rischio consiste proprio nell’ identificare gli asset strategici che ne fanno parte e nel verificare la presenza di alcuni requisiti ritenuti adeguati a garantirne la sicurezza. Ogni asset viene valutato sulla base dell’impatto che potrebbe generare sui diritti e le libertà degli interessati qualora venisse meno ognuna delle 3 proprietà CIA dell’informazione che intende veicolare (confidenzialità, integrità, disponibilità). Successivamente l’analista non fa che un prodotto logico tra l’impatto dell’asset di trattamento (server, computer, tablet etc), lungo le tre dimensioni suddette e la probabilità di occorrenza delle minacce ritenute applicabili al contesto sotto indagine. Tecnicamente pertanto, la matrice del rischio intrinseco mappa il trattamento individuando un valore che non prende ancora in considerazione i controlli di sicurezza.

In una fase successiva, slegata logicamente e metodologicamente dalla precedente, è possibile introdurre la security come variabile strategica, studiare un framework di riferimento (potrebbe essere quello proposto da Enisa per le PMI o quello NIST) adatto al contesto e verificare la presenza o l’assenza delle misure adeguate al rischio del trattamento. Il rischio residuo ottenuto dalla ponderazione sarà il punto di partenza per la fase di trattamento del rischio: il titolare infatti potrà semplicemente accettarlo oppure esternalizzarlo o infine mitigarlo agendo sui due parametri determinanti (mitigare l’impatto è possibile ad esempio con tecniche di business continuity; minimizzare la probabilità di occorrenza di una minaccia significa tendenzialmente innalzare il livello della security).

Ciò che sostanzia il principio di accountability non è tanto l’essere capaci di implementare una struttura organizzativa immune agli incidenti: questo non è possibile e non è richiesto; il requisito cruciale è che il titolare (o il responsabile) sia in grado di dimostrare di aver preso in considerazione il rischio del trattamento e di averlo in qualche modo gestito, tenendo conto della nuova semantica del concetto di dato personale.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati