Secondo la Commissione Europea, parrebbe di si (V. https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_it).Eppure… chi avesse interpretato che da solo un Indirizzo IP è “dato personale” ha forse preso una cantonata?

Si considerano dati personali tutte le informazioni relative a una persona vivente identificata o identificabile. Anche le varie informazioni che, raccolte insieme, possono portare all’identificazione di una determinata persona costituiscono i dati personali”. Notare il raccolte insieme.
Dopo la premessa, segue una lista esemplificativa di (possibili?) dati personali, fra cui spicca: “un indirizzo IP”.

Le informazioni della lista d’esempio sono individualmente “dati personali”? O sono tali quando sono informazioni che assemblate fra loro identificano una persona fisica? (v. ancora il raccolte insieme).

La tesi dell’autore è che da solo un indirizzo IP non identifica una persona fisica. Nella migliore delle ipotesi, e non sempre, identifica una macchina o meglio un sistema (PC, Server, Stampante, Disco di Rete, Router, qualunque cosa). Di per sé l’indirizzo IP non ci dice nulla della “persona” (fisica!) dietro al o ai sistemi… quando c’è una persona! (v. IoT, domotica ed altro).

Legare un IP pubblico ad un interessato (persona fisica, individuo appartenente alla specie homo-sapiens) richiede molti altri dati da correlare fra loro temporalmente e logicamente. E non sempre oltre ogni ragionevoli dubbio. Molti di questi altri dati sono accessibili solo alle c.d. “LEA” (Law Enforcemente Agencies) a fronte di specifiche circostanze e mandati. Da notare che le “LEA” sono escluse dal campo di applicazione (o “scope”) del GDPR.

Anche per un’azienda di qualunque dimensione è difficile legare con assoluta certezza un IP privato delle proprie reti interne ad una persona fisica. Anche quando si raccolgano a norma i log.

In sintesi: un indirizzo IP da solo non è dato personale: difficile da esso identificare univocamente una persona fisica. Servono altri dati.

A supporto di questa tesi occorre una spiegazione tecnica: che si spera d’aver reso il più possibile accessibile anche ai meno tecnici. Un indirizzo IP è la proprietà di un sistema o più “sistemi”. Non è una proprietà dell’interessato, se c’è, che forse sta usando il
sistema. NB: è la proprietà di un “sistema” e neanche della o delle macchine che compongono il “sistema”. E spesso è una proprietà volatile, non fissa nel tempo (i c.d. “ip dinamici”). Per parafrasare: sarebbe come sostenere che la “targa”, e non necessariamente permanente, di una automobile identifichi il suo guidatore. O, peggio, sostenere che la targa, mutevole, di un autobus identifichi tutti i suoi passeggeri (quando più sistemi condivisi da più persone condividono lo stesso IP).

Per esemplificare e semplificare, prendete il vostro PC (ma vale per qualunque “macchina”: un server, una WebCam, un Televisore, ecc.).

Fig. A – la “pila”

Fate riferimento alla figura A. Pensate al PC o qualunque altro oggetto di rete. Da spenta la macchina è un letterale “pezzo di ferro”, senza alcuna proprietà; men che meno un indirizzo IP. Da acceso il pezzo di ferro diventa sistema grazie al Sistema Operativo “OS” installato sulla macchina, non importa quale OS, anzi,
una singola macchina potrebbe diventare più sistemi (questione qui non approfondita) che condividono lo stesso indirizzo IP.
Fra le tante cose che fa, l’OS inizializza la c.d. Scheda di Rete (NIC=”Network = Interface Card”), di qualunque natura: wifi, cablata o altro.
Per i puristi: la NIC ha, anzi avrebbe, una proprietà UNICA di fabbrica chiamata MAC-Address, peccato che esso sia riprogrammabile dall’OS e serva solo alla rete locale, quindi è un’informazione che va perduta oltre il primo router: quindi la NIC non identifica neanche il pezzo di ferro. Finita di inizializzare la NIC, il Sistema Operativo (forse!) associa alla NIC un “indirizzo IP” della rete locale, ma anche due, tre o dieci indirizzi IP: nulla lo impedisce. Concluso tutto questo processo, il sistema (non la macchina, non i suoi utenti!) ha uno o più indirizzi IP. Che sia stato o meno riprogrammato, il MAC-Address è “informazione perduta”: non arriva ad InterNet. È probabile che il sistema o sistemi della rete locale subiscano il c.d. “NATting”: tutto e tutti si presentano ad internet con un solo indirizzo IP (pubblico). Le informazioni MAC-Address e IP address della rete locale sono andate perdute.

In conclusione. Organizzazioni con uno o migliaia di sistemi “dentro” la propria rete locale si presentano ad Internet con un unico indirizzo IP: come si lega quell’indirizzo al o agli umani, se ce ne sono, che stanno usando quell’indirizzo? Come anticipato, si può fare: ma è un esercizio difficile… proprio come provare a legare la targa (mutevole!) di un autobus a tutti i suoi passeggeri! O, peggio, tentare di legare il codice radio di una nave traghetto che trasporta più autobus prima agli autobus e poi ai passeggeri di ogni autobus.

In realtà, la parafrasi è imperfetta. È più facile per una “LEA” (Law Enforcement Agency”) legare il codice radio della nave traghetto agli autobus attraverso il manifesto di carico della nave e con qualche altro passaggio arrivare ai passeggeri degli autobus. Il codice radio del traghetto e le targhe degli autobus sono statici. Invece gli indirizzi IP (le targhe e codici radio della parafrasi) sono spesso volatili: rendendo l’esercizio ben più complicato.

di Alessandro Bottonelli

L’overflow del buffer può essere attivato nei chip Wi-Fi Realtek

Qualsiasi Software, allo stato attuale delle cose, presenta delle vulnerabilità. Per vulnerabilità, si intendono delle debolezze che vengono (spesso) inconsapevolmente create dagli sviluppatori e che possono essere utilizzate da parte di malintenzionati per entrare all’interno di un sistema.

Questo è noto agli sviluppatori, per cui le case di software si preoccupano, nei loro reparti di ricerca e sviluppo, di miigliorare gli aspetti di sicurezza e in generale di andare ad eliminare mano a mano le vulnerabilità e in generale qualsiasi tipo di “bug” che si sia manifestato o sia stato rilevato, in fase di testing, così come a seguito delle segnalazioni da parte dei Clienti/utilizzatori.

I “bug” sono ancora più pericolosi nei sistemi di connettività o di networking, in quanto, vista la loro funzione di apparati per l’interconnessione di computer, possono consentire di aprire delle porte che dovrebbero restare chiuse.

Questo è il motivo per cui è fondamentale tenere aggiornati tutti i sistemi ad ogni livello, dai BIOS o firmware dei Computer e dei vari dispositivi di networking, ai Sistemi Operativi, a tutti gli applicativi utilizzati sui computer, fino agli ERP o sistemi gestionali.

Oggi ci occupiamo del problema del mancato aggiornamento degli apparati Wi-FI con CHIP Realtek.

Le reti Wi-Fi sono una grande comodità, ma spesso ci dimentichiamo che anche questi apparati sono dotati di software per funzionare. A bordo hanno un sistema operativo (Linux) sul quale vengono implementati dei software per l’implementazione degli standard di comunicazione e per la gestione delle regole di connettività.

E’ stato verificato che gli Access Point con CHIP Realtek non patchati possono essere attaccati sfruttando le onde Wi-Fi, causando l’overflow nel buffer del nucleo (kernel) del Sistema Operativo Linux e creando il blocco o il controllo totale da parte dell’attaccante, dei computer connessi.

Il bug rilevato, si trova nel driver RTLWIFI, che viene utilizzato per gestire i chip Wi-Fi Realtek. La vulnerabilità causa un overflow del buffer nel kernel Linux quando una macchina con un chip Wi-Fi Realtek si trova nel raggio di azione di un dispositivo “malevolo”.

E’ stato verificato che come minimo, gli exploit possono causare un arresto anomalo del sistema operativo e possono consentire a un hacker di ottenere il controllo completo del computer connessi. Il difetto risale alla versione 3.10.1 del kernel Linux rilasciato nel 2013.

Purtroppo sappiamo bene che ci sono molti dispositivi che non vengono aggiornati, per cui potremmo avere nei nostri uffici o nelle nostre case dispositivi con questo bug.

‘Il problema è serio’, ha detto ad Ars Nico Waisman, un ingegnere capo della sicurezza presso Github. ‘È una vulnerabilità che, nei sistemi che utilizzano il driver Realtek (RTLWIFI), attiva un overflow in remoto tramite Wi-Fi sul kernel Linux.

La vulnerabilità è stata denominata CVE-2019-17666. Gli sviluppatori hanno proposto una correzione intorno alla metà del mese di Ottobre 2019, che probabilmente verrà incorporata nel kernel del sistema operativo nei prossimi giorni o settimane. Solo dopo ciò la correzione si farà strada in varie distribuzioni Linux.

 

di Paolo Montali

Il GDPR è stata una norma, per molti aspetti, molto mal compresa che ha destato una significativa ed ingiustificata paura e incomprensione fra titolari e responsabili del trattamento nonché fra gli stessi consulenti ed operatori del diritto.

Si è assistito, infatti, a prassi poco virtuose – per usare un eufemismo – fra cui spiccano consulenze difensive finalizzate a creare inutili e vuoti scudi di carta e inutile formazione, nonché terrorismo psicologico operato al solo fine di lucrare sulla paura innestata da questa nuova norma. Molti hanno anche sospeso trattamenti pienamente legittimi per paura di improbabili sanzioni.

Questa paura è frutto, principalmente, di una cattiva interpretazione e, soprattutto, del temutissimo art. 83 GDPR il quale stabilisce che le sanzioni derivanti da una violazione della normativa possono raggiungere cifre molto significative che possono ammontare fino a 20 Milioni di Euro oppure al 4% del fatturato mondiale annuo.

Molti hanno interpretato la disposizione nel senso che anche la PMI con un fatturato annuo di qualche milione di Euro che si limita a trattare i dati dei propri dipendenti su scala non elevata potrebbe essere sanzionata per milioni e milioni di Euro in caso di violazione del GDPR e pertanto: “Guai a voi che non vi adeguate!”.

Giusto?” In realtà non può esserci un’interpretazione peggiore della disposizione in esame e, è doveroso precisarlo, una veloce lettura delle Guidelines on Fines dell’EPBD (ai tempi Working Party 29) e una comprensione sommaria del case based aproach alla base dell’applicazione della sanzione avrebbe dovuto condurre chiunque a giungere a differenti conclusioni.

Come si evince da una lettura, sempre superficiale dei considerando al GDPR, emerge come la norma sia espressione di un basilare principio di civiltà e sia nata per garantire la circolazione del dato personale nel rispetto dei diritti fondamentali della persona fisica in una società sempre più tecnologica che si basa sempre di più su uno scambio di dati personali contro servizi.

Tenuto conto di queste coordinate interpretative è autoevidente come non sia la sanzione pecuniaria il principale pericolo che corrono titolari e responsabili di trattamento posto che il GDPR, evidentemente, non è nato per punire imprenditori ed operatori economici che trattano dati personali.

Del resto, è evidente come sia facile per grandi realtà e per operatori OTT accantonare fondi e risorse per fare fronte ad eventuali sanzioni oppure rincarare il prezzo di alcuni dei loro beni o servizi senza subire un grande danno.

Se, da un lato, l’art. 83 GDPR è sopravvalutato; dall’altro, si parla troppo poco dell’art. 58 GDPR e dei poteri conformativi e inibitori di cui sono dotate le Autorità Garanti che possono anche imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento.

Una sanzione di questo tipo, al contrario di una sanzione pecuniaria, ha un effetto letteralmente paralizzante sul business e può determinare un vero e proprio fallimento di società e startup che si basano su un trattamento illecito dei dati personali.

Si pensi, ad esempio, ad un’applicazione che raccoglie online dati di natura medica senza chiedere il consenso per il trattamento di dati idonei a rivelare la salute dell’interessato e senza informare adeguatamente gli interessati (magari addirittura omettendo un’informativa in lingua italiana) e senza valutare in alcun modo i rischi per i soggetti coinvolti nel trattamento.

Inutile dire come nessuna sanzione economica potrebbe essere adeguatamente punitiva e come solo un divieto di trattamento, con conseguente chiusura del business, potrebbe tutelare adeguatamente gli interessati. Ugualmente, un eventuale ordine di sospendere i flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale può avere conseguenze disastrose per un’organizzazione aziendale.

Si pensi, in secondo luogo a un grosso gruppo che perde il controllo dei dati dei propri clienti rischia di perdere la fiducia di questi e di vedere pregiudicata la sua immagine e reputazione se i clienti arrivano a percepire che le loro informazioni personali non sono adeguatamente protette.

Un pregiudizio reputazionale e una perdita di clientela, sicuramente, rappresenta un pregiudizio per il business più significativo di una qualunque sanzione pecuniaria.

 

 

di Giacomo Conti

Forse non tutti sanno che vi è un fenomeno crescente di creazione di pagine malevole che sfruttano il Single Sign-On (SSO) per rubare le credenziali degli utenti.
Questa forma di attacco di phishing è cresciuta con la popolarità e la semplificazione del processo di login tra i siti Web che utilizzano il Single Sign-On, sempre più ampiamente utilizzati.

Ma che cos’è il Single Sign-On?
Il Single Sign-On (SSO) è appunto un sistema per semplificare il processo di login, consentendo agli utenti di utilizzare un’unica credenziale per accedere a più applicazioni.
Il SSO non richiede all’utente di ricordare più credenziali di account diversi (ognuna per accedere ad ogni applicazione). Questo sistema consente di eliminare la necessità di introdurre userid e password per ogni applicazione durante una sessione, migliorando la user experience.
IL sistema SSO viene realizzato autenticando l’utente rispetto ad una Directory, un DB che lega lo User e le sue authority relativamente alle applicazioni a cui può accedere. Questo tipo di repository viene definito Lightweight Directory Access Protocol (più brevemente LDAP).
Google, Facebook e Twitter sono tra le applicazioni popolari che offrono sistemi SSO agli utenti.
Il sistema di SSO può anche essere esteso a servizi di terze parti. Ad esempio, molte applicazioni consentono agli utenti di accedere al proprio account utilizzando l’autenticazione di Google o Facebook.

Ma come può essere utilizzato in modo fraudolento il sistema SSO?
La disponibilità di SSO è in costante aumento tra le applicazioni, il che ha portato molti hacker a tentare di sfruttarne le potenzialità. In pratica sono state realizzate delle pagine dannose che fingono di essere le pagine di accesso di applicazioni come Dropbox o la stessa Google, Facebook o altro sito / social.
Quando gli utenti immettono le proprie credenziali, i dati vengono raccolti dalla pagina malevole anziché essere utilizzati nell’applicazione desiderata.
Prima dell’avvento del sistema di SSO, gli hacker dovevano creare una pagina separata per ogni servizio del quale volevano rubare le credenziali. Invece con il SSO possono creare un’unica pagina di phishing.

Cosa si può fare per essere più al sicuro?
Per il momento il modo migliore per proteggersi dagli attacchi di phishing SSO è di abilitare l’autenticazione a due fattori. Questo tipo di autenticazione secondaria, rende più difficile agli hacker, l’accesso al vostro account. Questo oggi sembra essere il sistema migliore che però non è comunque sicuro al 100% e a seconda di come viene implementato può essere più o meno sicuri. Tra i tanti sistemi di dual factor authentication vi sono soluzioni che utilizzano il canale SMS per ricevere i codici di validazione. Questo tipo di soluzione sconsigliare, poiché non è sicuro come altri metodi.

di Paolo Montali

Il consenso è solo una fra le basi giuridiche che il GDPR prevede come condizione di liceità del trattamento. Esso non è, tuttavia, né la principale né, tantomeno, è indispensabile per legittimare ogni trattamento operato dall’organizzazione aziendale.

Se è vero che il vecchio Codice della privacy dava al consenso una particolare importanza al consenso, nel nuovo impianto normativo il consenso è solo una delle basi giuridiche e, a ben vedere, anche la più difficile da gestire.

In primo luogo, il consenso deve esprimersi una libera manifestazione di volontà, specifica informata e inequivocabile e presuppone che venga fornita all’interessato un’informativa resa con modalità idonee.

Un consenso non può essere generico, ma è un’operazione delicata che presuppone un’analisi specifica dei trattamenti realizzati. Raccogliere consenso è, pertanto, un’operazione ben più gravosa che non limitarsi a rendere idonea informativa all’interessato.

Il consenso, infatti, non è un atto del titolare, ma un atto di volontà dell’interessato che deve essere raccolto e adeguatamente documentato dal Titolare tenuto conto del contesto in cui si articola del trattamento.

La raccolta del consenso non è, pertanto, in alcun modo sostitutivo dell’obbligo di trasparenza e di informativa, ma è un obbligo ulteriore che deve essere adeguatamente gestito da parte del titolare del trattamento e che non può prescindere da una corretta informativa.

Fondare un trattamento sul consenso fa, inoltre, sorgere l’obbligo in capo al titolare di mettere l’interessato nelle condizioni di poterlo liberamente revocare in ogni momento.

Basare un trattamento sul consenso espone, pertanto, il titolare al rischio che l’interessato, liberamente e in qualsiasi momento, possa revocarlo facendo venire meno la base di legittimità del trattamento.

Particolarmente rischioso è, quindi, basare il trattamento sul consenso se questo è necessario per eseguire una misura contrattuale oppure risponde a esigenze di legittimo interesse del titolare come, ad esempio, la conservazione dei dati nei propri archivi.

In queste ipotesi, nel caso in cui l’interessato revocasse il proprio consenso al trattamento, l’organizzazione avrebbe il non trascurabile problema di individuare una nuova base giuridica per continuare a trattare i dati dell’interessato con la conseguenza che ogni dato trattato rischierebbe, in ogni caso, di essere inutilizzabile.

Emerge, pertanto, come il consenso più che panacea per risolvere ogni mal di GDPR, dovrebbe essere, al contrario, richiesto solamente dopo un’analisi approfondita della base giuridica del trattamento ed essere utilizzato in via residuale dove il trattamento non sia giustificato dall’esecuzione di misure contrattuali o precontrattuali o non si fondi su un legittimo interesse del titolare.

 

di Giacomo Conti

L’art. 32 del GDPR impone al titolare di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che riguardano non solo gli asset tecnologici, ma anche le risorse umane.

Le misure organizzative non devono, quindi, limitarsi alla semplice modifica dell’organigramma con l’inserimento delle divisione privacy.

Il dipendente è, molto spesso, “l’anello debole della catena” nella protezione dei dati in azienda.

L’errore umano, infatti, può essere dovuto ad una mancanza di idonea cultura e formazione o mancanza di chiare istruzioni da parte del titolare (carenze organizzative), altre per disonestà o per spirito di ritorsione nei confronti dell’organizzazione aziendale.

Quest’ultima affermazione merita indubbiamente una considerazione a sé stante in quanto, secondo il Verizon Insider Threat Report, i dipendenti sono spesso gli autori di data breach rendendosi colpevoli consapevolmente o meno, di azioni illecite quali: accessi abusivi; violazione e diffusione di dati comuni e particolari mettendo a repentaglio le misure di sicurezza adottate dall’azienda.

Il report di Verizon ha messo in evidenza che, tra altre cause (negligenza, distrazione, competenze non idonee, scopi di lucro), l’insider che abusa dei privilegi di accesso per compire azioni illecite è spesso un dipendente insoddisfatto, che si ritiene in qualche modo leso nei suoi diritti, o non sufficientemente considerato e, di conseguenza, desideroso di arrecare danno all’organizzazione.

Il contratto di assunzione non è solo una formalità burocratica e una definizione di qualifica, job description, retribuzione che regola solo aspetti economici, ma ha forti ripercussioni psicologiche sul soggetto assunto che si forma aspettative di carriera in sede di assunzione piuttosto che durante l’esecuzione del rapporto o durante gli avanzamenti di carriera.

Pertanto, una promessa disattesa, la mancanza di prospettive di carriera, di avanzamenti o incrementi salariali, o, nel peggiore dei casi, oggetto di mobbing/bossing generano insoddisfazione e, per l’effetto, un potenziale inside hacker.

L’utilizzo di molestie psicologiche per indurre un dipendente alle dimissioni è espressione di una carenza culturale e organizzativa ed opera in base a modelli che enfatizzano valori estremamente accentrati ai vertici in modalità top-down suscettibile, peraltro, di conseguenze significative per il datore di lavoro e per l’ente sul piano civile e penale.

In casi come questi, ci troviamo di fronte, quasi sempre, a modello organizzativi obsoleti, spesso funzionali con enfatizzazione di ruoli di comando e di potere, molto gerarchici, con numerosi ruoli di staff privi di ogni iniziativa decisionale e compiti di ausilio operativo, mansioni ripetitive e alienanti. Il modello organizzativo funzionale è il più “datato” ma anche il più conosciuto ed adottato specie dalle PMI, tuttavia, è destinato ad entrare in crisi con il GDPR.

Per avere una catena solida a livello di sicurezza e di valore occorre rafforzare gli “anelli deboli”.

Questi vengono sfruttati, infatti, dai pirati informatici come vulnerabilità e le azioni intraprese da questi criminali possono riguardare, anche, la corruzione dei dipendenti scontenti.

È necessario, pertanto, riprogrammare l’organizzazione, cominciando  dall’analisi di clima condotta attraverso l’ausilio di consulenti esterni che abbiano un approccio “olistico” e competenze che  spaziano dall’organizzazione aziendale, alla gestione risorse umane fino ad una approfondita conoscenza del  GDPR.

 

di Nadia Zabbeo

 

Oggi Bill ha installato una nuova app sul suo smartphone: dicono possa prendere il suo volto e renderlo più vecchio, una sorta di predizione del futuro.

La installa senza indugio e si diletta con essa per giorni; usa le sue foto da bambino, quelle di lui alle medie e, perché no, anche quelle odierne; vuole vedersi da vecchio e pensare che sarà un uomo tutto sommato bello, ancora affascinante.

Il giorno dopo essersi sbizzarrito, però, Bill viene a scoprire dei retroscena spaventosi, a dir poco allarmanti: l’app, con sede in San Pietroburgo, utilizza le sue foto in modo “perpetuo, planetario, irrevocabile, senza obbligo di pagare alcuna royalty”.

Bill si collega dunque su Facebook e legge molti stati colmi di terrore e di rabbia scritti da utenti che, nel proprio profilo, specificano orientamento sessuale, data di nascita, indirizzo, dove studiano, cosa studiano, i locali e le persone che frequentano, i film che guardano, i partiti che votano.

Bill nota che c’è una grande attenzione da parte del pubblico inerente la questione, tanto da fargli credere che gli internauti abbiano preso più coscienza circa la rilevanza della propria privacy.

Ecco quindi che scorre la home di Facebook alla ricerca di qualche post che tratti dell’inquietante scoperta effettuata da alcuni ricercatori della Microsoft, i quali hanno dimostrato come i siti pornografici raccolgono i dati di navigazione degli utenti per poi venderli a Google e Facebook, o della sconcertante scoperta che Youtube (leggi Google, ndr) effettua un’indebita profilazione dei minori al fine di renderli oggetto di marketing diretto, ma, con grande rammarico, non ne trova nessuno.

La sorella di Bill appare preoccupata: “Chissà che fine orribile faranno le foto mie e delle mie amiche, una volta nelle mani dei russi!”. Bill prova dunque a spiegarle che le sue foto sono già in giro per il Pianeta da quando partecipò alla “Ten Years Challenge” qualche tempo fa, ma non riesce: la sorella è troppo impegnata a chiedere ad Alexa la posizione della farmacia più vicina che venda farmaci per combattere la candida.

Bill allora manda un messaggio a un suo amico che ha appena pubblicato uno stato carico di odio contro i russi e FaceApp; cerca di spiegargli che non è sensato imbracciare la vecchia carabina del nonno per ottenere giustizia per questo indecente attentato alla propria riservatezza, se prima non smette di sbloccare il suo smartphone tramite il riconoscimento facciale.

Bill sa che i suoi dati più sensibili sono già stati abbondantemente carpiti in malafede dalle multinazionali della Silicon Valley, le quali si autoproclamano gli araldi della tutela della privacy del mondo intero e che impongono termini di utilizzo del tutto simili a quelli di FaceApp .

Bill sa che quando si utilizza un servizio gratuito la moneta di scambio sono i suoi dati personali, pertanto usa questi strumenti con molta attenzione, ma non chiude il cancello ora che il bue è scappato.

Sii come Bill.

 

di Giordano Serra

Editore: Maggioli Editore

Collana: Privacy

Pubblicato: Marzo 2019

ISBN / EAN 8891625342 / 9788891625342

Con la presente pubblicazione, l’Autore mira a spiegare in maniera semplice ma efficace gli istituti, le novità introdotte ed i nuovi adempimenti che il GDPR “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/96/CE (regolamento generale sulla protezione dei dati)” impone a titolari e responsabili che trattano dati personali.
Troppo spesso accade che chi tratta dati professionali sia confuso in relazione a quali adempimenti sia tenuto ad operare ed a come realizzarli.
Se, da un lato, corre il rischio di non comprendere sul serio l’anima della norma e non ottemperare a quanto richiesto, dall’altro si rischia di realizzare adempimenti inutili ed onerosi come, ad esempio, la nomina di un DPO in casi dove la stessa né è imposta dalla legge né ha alcuna importanza strategica.
L’approccio richiesto dal GDPR è, infatti, non formalistico bensì sostanzialistico ed il principio di substance over form permea l’intero tessuto normativo.
Esso è alla base del principio di responsabilizzazione e indispensabile per assicurare un quadro di adeguate tutele per i diritti delle persone fisiche.
In questo senso, non si chiede di produrre carte, ma di implementare procedure per garantire il rispetto della normativa, non si deve scaricare responsabilità su terzi interni od esterni all’organizzazione aziendale, ma responsabilizzare e formare i soggetti che trattano dati personali in azienda e per conto del titolare e contrattualizzare gli obblighi all’interno di un apposito accordo fra le parti dove vengono regolati gli aspetti relativi al trattamento di dati personali nell’ottica di garantire sempre un’adeguata tutela agli interessati.
Da ultimo, non si deve ottemperare in una mera ottica di paura delle sanzioni, ma adempiere alla normativa anche nell’ottica di perseguire gli obiettivi di business aziendali attraverso l’implementazione di processi efficienti di trattamento dei dati personali che richiedono consapevolezza e responsabilizzazione in capo a chi tratta dati personali.
Il Regolamento Europeo è una norma estremamente complessa ed articolata che richiede, per essere adeguatamente affrontata, il necessario coordinamento di diverse figure professionali ed una sinergia di aspetti legali, gestionali e informatici.
I diversi professionisti coinvolti nella protezione dei dati personali, pur avendo competenze e pur parlando linguaggi diversi, si trovano, infatti, ad affrontare problematiche comuni.
Se, da un lato, sono presenti prassi di settore molto valide (come le Linee guida ENISA che vengono ampiamente illustrate nel volume) che forniscono Linee guida per operatori ed interpreti, dall’altro lato la giurisprudenza in materia non si è ancora consolidata.
Inoltre, il quadro complessivo della materia è molto stratificato ed in continuo fermento ed evoluzione; seppure si stia iniziando a delineare nelle sue linee essenziali.
L’opera affronta, quindi, organicamente il Regolamento Europeo con il principale fine di illustrare tanto a titolari e responsabili di trattamento quanto a consulenti ed operatori del diritto i concetti essenziali, i principi generali, i principali adempimenti richiesti dal Regolamento Europeo ed ogni altro elemento utile a comprendere il GDPR.
Ora più che mai, a fronte del cambiamento epocale introdotto dal nuovo Regolamento Europeo, occorre promuovere la conoscenza e la comprensione della protezione dei dati personali e comprendere a fondo i principi generali alla base della protezione dei dati personali.
Un ringraziamento particolare va alla dottoressa Federica Sanvenero, professionista abilitata all’esercizio della professione forense e studiosa del diritto penale di impresa, che ha curato l’ultimo capitolo dell’opera relativo al quadro sanzionatorio penale ed amministrativo, approfondendo questi fondamentali aspetti a completamento dell’opera.

Per maggiori informazioni sull’opera vedi qui.

 

LA TENUTA DEI REGISTRI: CONSAPEVOLEZZA, ACCOUNTABILITY, SUBSTANCE OVER FORM E DOCUMENTAZIONE DELLE SCELTE.

SINTESI DELLA RELAZIONE DELL’AVV. GIACOMO CONTI ALL’EVENTO SUMMER MEETING GDPR ITALIA – OPERATORI E CONSULENTI. MILANO IN DATA 29 GIUGNO 2018 – AGGIORNATA IN DATA 9 OTTOBRE 2018 ALL’ESITO DEI CHIARIMENTI FORNITI DALL’AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI)

di Giacomo Conti edito: Il Foro Padano – Rivista di giurisprudenza e di dottrina – Fabrizio Serra Editore, Pisa – Roma – N. Rivista 1/2019

In che cosa consiste il registro delle attività di trattamento?

L’art. 30 del Regolamento (EU) n. 679/2016 di seguito “GDPR” prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.

Si intende per registro delle attività di trattamento un documento contenente le principali informazioni specificatamente individuate dall’art. 30 del GDPR relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.

Sin da subito emerge, pertanto, come il registro costituisca uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

Il registro delle attività di trattamento è, per l’effetto, un importante strumento di consapevolezza e documentazione finalizzato a realizzare il censimento e l’analisi dei trattamenti effettuati dal titolare o responsabile.

In altri termini, il titolare o il responsabile del trattamento documentano, attraverso, il registro le attività di trattamento che effettuano sotto la propria autorità mappandole e tenendole sotto controllo.

Chi è obbligato alla tenuta del registro delle attività di trattamento?

Se, da un lato, l’art. 30 GDPR stabilisce che ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità; dall’altro, il suo comma 5 esenta dall’obbligo di tenuta dei registri le sole imprese o organizzazioni con meno di 250 dipendenti.

Peraltro, giova osservare come la suddetta esenzione già non valga nel caso in cui le attività di trattamento effettuate da titolari e responsabili, pur con un numero di dipendenti inferiore a 250, possano presentare un rischio per i diritti e le libertà dell’interessato, ove il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati personali o i dati personali relativi a condanne penali e a reati.

La portata dell’esenzione dall’obbligo di tenuta del registro è stata, inoltre, ridimensionata significativamente nelle line guida dell’ex WP29 (ora EDPB) ed anche dall’Autorità Garante Italiana valorizzando l’importanza strategica di questo adempimento, con la conseguenza che, interpretando letteralmente le indicazioni fornite, quasi tutti i titolari e i responsabili del trattamento dovrebbero essere tenuti a redigere il Registro delle attività di trattamento, con qualche rara eccezione.

Sul punto, il Garante ha specificato espressamente come, in ambito privato, i soggetti obbligati alla tenuta del registro sono tutte le imprese o organizzazioni con almeno 250 dipendenti, oltre che qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettuino trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato, qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettuino trattamenti non occasionali, oppure titolari e responsabili che trattino categorie particolari di dati ai sensi dell’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati ai sensi dell’articolo 10 GDPR.

È stato, peraltro, specificato come nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 rientrino anche le associazioni, fondazioni e i comitati, come tali tenute alla tenuta del registro al ricorrere dei presupposti di Legge.

Alla luce di quanto detto sopra, dovrebbero essere tenuti all’obbligo di redazione del registro, ad esempio:

a. gli esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente come bar, ristoranti, officine, negozi, piccola distribuzione oppure che trattino dati sanitari dei clienti quali, ad esempio, parrucchieri, estetisti, ottici, odontotecnici, tatuatori;
b. i liberi professionisti con almeno un dipendente, che trattino dati sanitari oppure dati relativi a condanne penali o reati quali commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti e medici;
c. le associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati come le organizzazioni di tendenza, le associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità e detenuti; le associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso;
d. il condominio ove tratti “categorie particolari di dati”. Si pensi, ad esempio a delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989, piuttosto che alle richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali.

Al riguardo è bene precisare come l’adozione del registro possa essere considerata, in ogni caso, un’importante scelta strategica oltre che realizzabile ed a basso costo: anche laddove l’adozione del registro delle attività di trattamento non è obbligatoria, esso potrebbe comunque essere utilizzato al fine di realizzare adempimenti pure sempre obbligatori, come quello di monitorare i flussi di dati personali e di valutare il rischio dei trattamenti.

La differenza fra ciò che è obbligatorio, ciò che è opportuno o “consigliato” oppure semplicemente strategico è spesso molto sfumata ed il diavolo si annida nei dettagli.

Quindi, in buona sostanza, tutti i titolari e responsabili di trattamento hanno l’obbligo di munirsi di registro delle attività di trattamento?

A prescindere dall’obbligo o meno di adottare il registro delle attività di trattamento, è stata valorizzata la natura di strumento di consapevolezza e documentazione che il registro – se correttamente implementato e gestito – può arrivare a svolgere.

Il Garante si è infatti espresso nel senso che, in ogni caso, anche al di fuori dei casi di tenuta obbligatoria del Registro, sia raccomandabile per tutti i titolari e responsabili del trattamento, munirsi del registro delle attività di trattamento.

Al riguardo, giova osservare come anche il Comitato Europeo per la protezione dei dati personali ha precisato come, ad esempio, è probabile che una PMI tratti regolarmente i dati relativi ai propri dipendenti in una maniera che non può essere considerata come non occasionale e come, di conseguenza, anche titolari di questo tipo di titolari e responsabili dovrebbero munirsi di registro ai sensi dell’art. 30 GDPR ed includere suddetta attività di trattamento all’interno del proprio registro[1].

Tanto il Garante quanto il Comitato Europeo per la protezione dei dati personali hanno, quindi, valorizzato l’importanza strategica del suddetto adempimento in quanto finalizzato a garantire a Titolari e Responsabili di effettuare attività di trattamento con piena contezza del tipo di trattamenti svolti, dei soggetti coinvolti e della natura dei dati trattati.

Seppure il Working Party 29 e l’Autorità Garante nazionale abbiano consigliato a gran parte di titolari e responsabili di trattamento di munirsi di registro non si può tout court inferire che tutti i titolari e responsabili di trattamento (o almeno la quasi totalità di questi) abbiano l’obbligo di munirsi di registro, posto che questa interpretazione risulterebbe, infatti, contra legem.

Peraltro, giova osservare come né le posizioni prese dal Gruppo di lavoro 29 né, tantomeno, quelle prese dal Garante siano disposizioni normative né, a maggior ragione, di interpretazione autentica, potendo le stesse, al più, fornire meri criteri indicativi ed interpretativi utili a titolari e responsabili di trattamento senza vincolarli ulteriormente rispetto a quanto stabilito in sede normativa.

Ne consegue che, da un lato, vi sono soggetti obbligati alla tenuta dal registro per legge e, dall’altro, soggetti che pur ricadendo nelle ipotesi di esenzione dall’obbligo di adottare l’adempimento, potrebbero valutare di adottarlo in un’ottica strategica.

Attraverso il registro è, infatti, possibile implementare i propri processi di documentazione in merito alle politiche di trattamento di dati personali operate al fine di dimostrare il rispetto della normativa.

Quale è la funzione del registro delle attività di trattamento e perché l’adozione dell’adempimento può essere un’opportunità per titolari e responsabili di trattamento? Il registro come strumento prodromico alla realizzazione di certi adempimenti e come strumento di cooperazione con l’Autorità di Controllo.

Attraverso l’adozione di un modello efficiente di registro, è possibile realizzare un sufficiente grado di consapevolezza e permettere di documentare le scelte in merito alle attività di trattamento di dati personali compiute da titolari e da responsabili.

Di conseguenza, il registro delle attività di trattamento è da considerarsi come un importante adempimento strategico in quanto contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability.

Infatti, un registro correttamente compilato e costantemente aggiornato permette al Titolare di tenere sotto controllo e monitorare i flussi di dati personali, le categorie di interessati coinvolte nelle operazioni di trattamento ed il numero indicativo degli stessi, i rischi ed i trattamenti che effettua in azienda e, se del caso, di agire proattivamente nell’ottica della prevenzione del rischio ed anche di documentare le data retention policy aziendali.

Non va, inoltre, sottovalutata la funzione del registro di agevolare il dialogo e la cooperazione con l’Autorità Garante in sede di esercizio dell’attività di controllo, nell’ottica di implementazione del principio di leale cooperazione, essendo il documento un importante strumento di trasparenza e di cooperazione con l’Autorità di controllo in caso di ispezione[2].

Sul punto, è doveroso osservare come ai sensi del Considerando 82 al GDRP: “Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.”, ribadendo un concetto cardine già stabilito nell’art 30 GDPR.

Quale è la natura e quale forma deve (o dovrebbe avere) avere il registro delle attività di trattamento?

Il GDPR stabilisce, inoltre, che il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante: ai sensi dell’art. 30 comma 3: “I registri di cui ai paragrafi devono essere tenuti in forma scritta, anche in formato elettronico.”

La disposizione normativa – all’apparenza di portata trascurabile – solleva in realtà importanti problematiche applicative in quanto il concetto di forma scritta mal si concilia con la natura dinamica che dovrebbe avere il registro delle attività di trattamento.

Al riguardo, alcuni ritengono che il registro debba avere data certa e debba essere datato, firmato e sottoscritto anche digitalmente, mentre altri ritengono che possa bastare tenerlo in forma libera, come un semplice file word o Excel privilegiando l’aspetto fluido e dinamico dell’adempimento incompatibile con le rigidità e l’ingessatura che impone la forma scritta.

La prima tesi si basa su un’interpretazione letterale della norma con la conseguenza che, ai sensi dell’art. 20 comma 1bis CAD[3], il registro dovrebbe essere sottoscritto e marcato digitalmente dal titolare, con la conseguenza che, in difetto dei predetti requisiti formali, il registro non dovrebbe considerarsi realizzato e l’adempimento non realizzato.

La seconda tesi opera, per contro, un’estensione analogica del concetto di forma scritta trasformando il dato letterale della norma nel senso di forma documentabile. Questa specifica interpretazione, pure se non strettamente letterale sembra essere comunque compatibile con lo spirito del GDPR e, per certi aspetti, anche preferibile.

Del resto, chi argomenta a favore della seconda tesi ritiene che un’interpretazione letterale del combinato disposto dell’art. 30 GDPR e dell’art. 20 CAD sia difficilmente conciliabile con la natura dinamica del registro delle attività di trattamento caldeggiata da diverse Autorità Garanti Europee.

Ne consegue che l’interpretazione data dal nostro Codice dell’Amministrazione Digitale potrebbe essere troppo restrittiva e troppo poco dinamica e che non dovrebbe riguardare il registro delle attività di trattamento.

Molti operatori ed interpreti hanno, infatti, rilevato come si potrebbe fare a meno della marca temporale e della firma digitale a favore di forme più flessibili e dinamiche di gestione dell’adempimento.

In particolare, a favore della seconda tesi milita la circostanza che il registro sia considerato come un adempimento non statico e formale, bensì dinamico e sostanziale in quanto strumento di consapevolezza e responsabilizzazione da aggiornarsi ed integrarsi costantemente.

Secondo questa interpretazione, pertanto, parrebbe più opportuno che il registro assuma una forma documentabile più che scritta secondo quanto esige il dato letterale della norma in quanto la fluidità intrinseca del registro appare difficilmente compatibile con il requisito di immodificabilità richiesto dal CAD.

Il Garante – pur non sbilanciandosi eccessivamente a favore della seconda tesi – è di recente intervenuto stabilendo che il registro può essere compilato sia in formato cartaceo che elettronico a discrezione del Titolare.

Sotto il profilo formale occorre solamente che il registro sia compilato in modo tale da recare, in maniera verificabile, la data della sua prima istituzione o la data della prima creazione di ogni singola scheda per tipologia di trattamento unitamente a quella dell’ultimo aggiornamento.

Pertanto, sulla base dei suggerimenti forniti dal Garante, si potrebbe ritenere anche bastevole una mera annotazione sul documento indicante la data di creazione e l’ultimo aggiornamento dello stesso[4].

Emerge, quindi, come sia stato privilegiata la natura dinamica del registro e come il Garante non abbia richiesto a titolari e responsabili di marcare temporalmente il registro né di sottoscriverlo digitalmente, ma solo che la data ivi annotata rispetti il requisito della verificabilità.

Al contrario, il Garante ha ribadito che il registro ha natura fluida e che, come tale, deve essere mantenuto costantemente aggiornato ed integrato in quanto il contenuto di questo deve sempre corrispondere all’effettività dei trattamenti posti in essere.

Occorre, in particolare, che ogni cambiamento in ordine alle modalità, finalità, categorie di dati, categorie di interessati, sia immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute in modo da tenere sotto controllo le attività di trattamento che vengono operate sotto l’autorità del titolare.

Si deve, infatti, ritenere che il registro non sia un atto giuridico in senso stretto, da intendersi come espressione di una volontà negoziale del titolare, ma piuttosto un adempimento strategico finalizzato semplicemente a documentare le scelte di titolari e responsabili in tema di protezione dei dati personali.

Pertanto, il registro non è idoneo ad esprimere alcuna volontà negoziale, se non quella di adempiere agli obblighi normativi e, come, tale, dovrebbe assumere la forma più idonea a consentirne unicamente il pronto aggiornamento e la possibilità di metterlo a disposizione dell’Autorità Garante in caso di ispezione nella sua versione più aggiornata.

Vi sono, in ogni caso, molti gestionali che sono in grado di aiutare titolari e responsabili a tenere i registri che fanno uso di tecnologie innovative quali, ad esempio, la blockchain e che sono in grado di sviluppare e potenziare adeguati modelli di registro.

Quale è il contenuto del registro e cosa si deve indicare?

Il contenuto minimo del registro è definito dall’art 30 GDPR al primo ed al secondo comma, a seconda che il registro sia tenuto dal titolare o dal responsabile del trattamento.

La legge detta, quindi, dei requisiti generali e di contenuto minimo per il registro che altro non sono che i requisiti minimi per sviluppare un grado di consapevolezza minima delle attività di trattamento effettuate in azienda che seppur necessario può essere, talvolta, insufficiente.

L’Autorità Garante ha fornito ulteriori specificazioni in merito ai contenuti del registro, stabilendo che esso dovrebbe contenere:

(a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento come, ad esempio, il trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso. In particolare, deve essere documentato nel registro la presenza di un “legittimo interesse” ove questo costituisca la base giuridica del trattamento piuttosto che la presenza di una preventiva valutazione d’impatto posta in essere dal titolare,

(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati, quali clienti, fornitori, dipendenti, sia quelle di dati personali oggetto di trattamento,

(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati, come enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi), oltre che altri soggetti che operano in qualità di responsabili e sub-responsabili del trattamento, quali il consulente del lavoro o l’ufficio che elabora le buste paga dei dipendenti piuttosto che altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento. Questo processo di mappatura consente, infatti, al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali,

(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” deve essere riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese terzo verso il quale i dati sono trasferiti e alle “garanzie” adottate a tutela degli interessati i cui dati sono trasferiti come decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo od altre misure di garanzia atipica,

(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento, come nel caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione. Ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri come norme di legge o prassi settoriali indicativi degli stessi,

(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di rinviare anche a a documenti esterni di carattere generale quali procedure organizzative interne; security policy da aggiornarsi continuamente per stare al passo con gli sviluppi della tecnologia e prevenire l’insorgere di nuovi rischi.

In realtà, come spesso accade, il rispetto delle disposizioni normative è uno step necessario ma non sufficiente ed il registro, per realizzare la sua funzione (ossia quella di strumento di documentazione ed accountability) deve essere articolato e sviluppato secondo le concrete esigenze aziendali.

Ne consegue che il Titolare od il Responsabile di trattamento ben potrebbero, e forse addirittura dovrebbero, inserire ulteriori elementi od altri livelli di dettaglio nell’ambito del registro delle attività di trattamento.

Peraltro, anche molti ordini professionali ed associazioni di categoria hanno sviluppato dei modelli di registri modulati per le esigenze specifiche delle categorie che rappresentano che possono rappresentare una base di partenza che titolari di trattamento potrebbero ulteriormente arricchire e sviluppare sulla base delle proprie specifiche esigenze.

Del resto, pure nell’ambito della stessa categoria professionale di riferimento le esigenze dei singoli titolari possono mutare e, conseguentemente, ogni titolare ha il dovere di modulare le misure tecniche ed organizzative in maniera tale da garantire che queste offrano adeguati livelli di protezione dei dati personali trattati.

Si pensi, ad esempio, a un avvocato specializzato in materia di diritto penale e di violenze sessuali il quale avrà esigenze di protezione dei dati personali dei propri clienti maggiori rispetto a quelli di Colleghi specializzati nella corporate law, in fusioni ed acquisizioni che hanno come clienti, più che altro, persone giuridiche e che, potranno trattare dati di persone fisiche in maniera vieppiù occasionale.

La posizione presa dalle Autorità di Controllo europee in tema di contenuto e forma del registro.

Che cosa ha detto il Garante per la Protezione dei Dati Personali?

Il Garante della privacy ha sviluppato, di recente, una serie di corpose F.A.Q. dove ha dato alcuni chiarimenti, direttive e risposte alle principali problematiche applicative riscontrate nella prassi[5].

Pur non avendo valore di legge, queste risposte sono utili a guidare operatori e consulenti nell’ambito dello svolgimento della propria autorità.

Peraltro, anche altre Autorità Garanti straniere hanno preso posizioni significative simile a quelle della nostra Autorità Garante ed in linea con le posizioni espresse dal WP29 relativamente al registro che meritano di ricevere adeguato approfondimento.

Giova, peraltro, osservare come anche le altre Autorità di Controllo europee abbiano preso posizioni in linea con quanto osservato dal Working Party 29 e dal Garante italiano di cui è bene dare conto almeno per sommi capi.

Cosa ha detto l’Autorità garante belga?

Secondo l’Autorità Garante belga i registri interni devono essere resi disponibili per iscritto, anche in forma elettronica, chiari e facilmente comprensibili per l’Autorità Garante, creati in formato può essere flessibile al fine di soddisfare le esigenze di ogni tipo di trattamento e, da ultimo, i registri interni devono essere costantemente aggiornati.

Per l’Autorità Garante belga, quindi, il registro deve essere integrato sulla base delle esigenze del titolare e resi disponibili all’autorità.

Sotto il profilo formale emerge come il concetto di forma documentabile e consultabile elaborato dall’Autorità belga non sembri coincidere necessariamente con quanto prevede il nostro CAD sotto il profilo della forma scritta.

Quelle est la position prise par la CNIL?

Anche il CNIL (l’Autorità Garante francese) raccomanda, per quanto possibile, di arricchire il registro arricchire il registro di ulteriori informazioni al fine di renderlo uno strumento più globale per la gestione della conformità.

Emerge, quindi, come anche l’Autorità di Controllo francese ritiene, nell’ottica di valorizzare l’importanza strategica dell’adempimento in esame, che il registro delle attività di trattamento debba mappare in maniera completa e responsabile l’insieme dei trattamenti posti in essere dall’organizzazione di titolari e responsabili[6].

Quali sono i rapporti tra il registro delle attività di trattamento ed il vecchio documento programmatico per la sicurezza?

Il Garante ha specificato come l’elenco delle misure di sicurezza riportato all’interno del Registro delle attività costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente realizzate.

In particolare, è stato specificato come l’indicazione delle misure di sicurezza abbia un carattere, di per sé, dinamico e non più statico come è stato per il vecchio documento programmatico per la sicurezza previsto dall’Allegato B del d. lgs. 196/2003.

Il registro deve, infatti, essere sempre e costantemente aggiornato e modificato (quasi in tempo reale non essendo sufficiente un aggiornamento periodico) alla luce degli sviluppi della tecnologia che determina il continuo insorgere di nuovi rischi per la sicurezza dei dati personali oltre che la scoperta di nuove misure di sicurezza.

Il registro delle attività di trattamento, lungi dall’essere una carta inutile che rappresenta il punto di arrivo per titolari e responsabili finalizzato ad esaurire in una maniera cartolare e formale gli adempimenti richiesti dal Regolamento Europeo, dovrebbe essere, per contro, un punto di partenza.

Partendo da quanto annotato nel registro, titolari e responsabili di trattamento potrebbero cogliere l’occasione per mappare i flussi di dati personali e regolare i rapporti con i fornitori, per definire le proprie data retention policy in relazione ai dati personali trattati in azienda e per rendersi conto delle misure di sicurezza adottate e, non da ultimo, per valutare i rischi dei trattamenti e anche la probabilità di occorrenza delle minacce.

La realizzazione degli adempimenti previsti dal GDPR richiede un’acquisizione di consapevolezza da parte di titolari e responsabili di trattamento che può essere acquisita in sede di redazione ed aggiornamento del registro che forma, come sopra accennato, il punto di partenza per porsi interrogativi fondamentali in tema di politiche di protezione dei dati personali.

Pertanto, eppure il registro ricalchi in buona parte l’aspetto contenutistico del DPS, la logica che anima i due adempimenti è profondamente diversa, al punto che il registro nemmeno può ritenersi, in alcun modo, il successore o comparabile al documento programmatico per la sicurezza che era animato, più che altro, da un sistema formalistico oramai superato basato su autorizzazioni preventive e su una gestione, il più delle volte, cartolare degli adempimenti.

Emerge, quindi, come sia profondamente diversa la logica alla base del D.P.S. rispetto a quella del registro.

I registri: uno, nessuno o centomila?

Da ultimo, è bene evidenziare come potrebbe anche essere insufficiente munirsi del solo registro delle attività, posto che – al fine di essere fully compliant – titolari e responsabili dovrebbero valutare di adottare altri modelli di registri per dimostrare il rispetto degli ulteriori obblighi imposti dal GDPR che non si esauriscono con la mera adozione del registro delle attività di trattamento.

In primo luogo, pare opportuno adottare il registro delle violazioni che risponde all’esigenza di documentare le violazioni subite al fine di procedere alla loro valutazione secondo quanto esige l’art. 33 comma 5 GDPR. La documentazione della violazione subita è, infatti, cruciale posto che senza una completa annotazione degli elementi descrittivi della violazione subita, non si può determinarne né la gravità né le conseguenze per gli interessati.

In secondo luogo, è bene che titolari e responsabili di trattamento si muniscano anche del registro della formazione di collaboratori e dipendenti posto che l’art. 29 richiede che i soggetti che effettuano attività di trattamento sotto l’autorità di titolari e responsabili non siano solo autorizzati, ma anche debitamente istruiti.

Con l’avvento del GDPR deve, infatti, ritenersi superata la logica di nomina formale dei soggetti incaricati.

Lo spirito sostanziale della normativa europea – in distonia con la previgente disciplina – esige che chi opera attività di trattamento sia debitamente autorizzato ed istruito dal titolare, anche in ragione delle funzioni aziendali e delle mansioni svolte nell’ambito delle attività di trattamento che il titolare od il responsabile effettuano. Il registro della formazione risponde, quindi, all’esigenza di documentare la formazione dei soggetti che operano sotto l’autorità del titolare o del responsabile ai sensi dell’art. 29 GDPR.

Da ultimo, le migliori prassi[7] richiedono, altresì, di operare un censimento della strumentazione elettronica attraverso la quale titolari e responsabili effettuano le attività di trattamento. In particolare, occorre programmare, dirigere, attuare e valutare quanto deve essere messo in atto per la protezione dei dati personali in ambito di ICT affinché un’organizzazione sia nelle condizioni di essere conforme a quanto previsto dal quadro normativo europeo e nazionale.

Pertanto, occorre che un titolare o responsabile affronti la protezione dei dati personali in ambito ICT in modo sistematico e organizzato attuando, periodicamente o a seguito di cambiamenti significativi, quali ad esempio modifiche della normativa o dell’organizzazione aziendale, un cambiamento strutturale dell’ambito ICT o delle sue caratteristiche. Occorre, quindi, identificare i flussi di dati personali in ambito ICT relativi a ogni trattamento e mantenerli aggiornati in un inventario dei trattamenti di dati personali in ambito ICT in linea con quanto prescritto dall’art. 30 del GDPR.

In particolare, il titolare o responsabile che effettua attività di trattamento con strumenti ICT deve, tenuto conto della complessità dell’organizzazione per cui opera ed in proporzione alla complessità delle attività di trattamento, stabilire e mantenere un inventario dei trattamenti dei dati personali in ambito ICT che includa l’identificazione dei processi che utilizzano dati personali in ambito ICT, delle origini dei dati personali trattati, delle categorie di dati personali trattati con particolare attenzione ai soggetti vulnerabili, delle finalità per le quali i dati personali possono essere utilizzati, dei potenziali destinatari di dati personali, incluse terze parti, del ruolo (titolare, responsabile o contitolare del trattamento) dell’organizzazione, dei sistemi informativi coinvolti e degli archivi di dati personali, degli eventuali trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, del periodo di conservazione dei dati personali oppure dei criteri utilizzati per determinare tale periodo e le misure previste al termine di tale periodo e delle sedi dove è svolto il trattamento.

Occorre, infine, garantire che i ripetuti inventari dei trattamenti di dati personali in ambito ICT producano risultati coerenti, validi e comparabili, in particolar modo se prodotti con l’apporto di strumenti automatizzati.

Il suddetto inventario può essere sviluppato e gestito in un registro a parte oppure essere inserito come allegato al registro delle attività di trattamento.

[1] V. sul punto Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR.

[2] Cfr. Cons. 82 GDPR.

[3] “Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida.”

[4] Il Garante ha fatto espresso riferimento al concetto di annotazione.

In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:

“- scheda creata in data XY”

“- ultimo aggiornamento avvenuto in data XY”.

[5] Sul punto, si rinvia al seguente link per maggiori approfondimenti sulla materia: https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento.

[6] “Le registre de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme. [omissis] La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité.” (Cfr. https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement)

[7] Prassi di riferimento: UNI/PdR 43.2:2018 – Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) – Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT.