giovedì, Marzo 28, 2024
Uncategorized

La sicurezza del trattamento: analisi dell’articolo 32 GDPR

Il Regolamento europeo 2016/679 (GDPR) rappresenta una “sintesi” della disciplina della privacy sviluppatasi, negli anni, in Europa con l’obiettivo di rendere unitaria la materia. Il GDPR prende in considerazione diversi interessi e ritiene “il diritto alla protezione dei dati personali oggetto di bilanciamento”.[1] È il disposto del considerando n. 4 che prevede che “il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ottemperanza al principio di proporzionalità”.[2]

Nel testo del nuovo Regolamento europeo per la protezione dei dati personali si tratta, all’articolo 32, la delicata questione relativa alla sicurezza del trattamento. Già all’articolo 22 del Regolamento stesso[3] si predispone l’obbligo per il titolare del trattamento dei dati personali di adottare tutte le misure necessarie e indispensabili per garantire la correttezza e la liceità del trattamento. Venendo all’analisi dell’articolo 32 GDPR si evidenzia subito che il comma 1 contempla il ruolo del titolare e del responsabile del trattamento che hanno il dovere di attuare “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Il legislatore europeo ha sentito la necessità di procedere ad una regolamentazione di questa materia, anche sulla scia dei principi contenuti nella Carta di Nizza del 2000 e nei trattati adottati a livello comunitario perché l’evoluzione della tecnologia e l’avvento dei social network hanno portato ad un incremento del rischio che gli utenti corrono attraverso la diffusione dei dati personali.[4] L’elemento di novità che è stato introdotto con il Regolamento 2016/679 è il cosiddetto Data Protection Impact Assessment (DPIA) ovvero una valutazione di impatto sulla protezione dei dati. Si tratta di un processo attraverso il quale si deve valutare l’eventuale rischio derivante dal trattamento dei dati che comporta l’identificazione dell’utente e di conseguenza individuare le modalità attraverso le quali attenuarlo o evitarlo[5]. Dunque si tratta di uno strumento al quale devono ricorrere responsabili e titolari del trattamento nell’azione di valutazione del rischio e anche per garantire una adeguata protezione dei dati personali.

Come ben si sa ogni trattamento dei dati personali deve possedere il carattere della liceità, come viene ricordato nel considerando n. 39 in quanto le modalità di raccolta dei dati devono essere rese comprensibili per le persone fisiche[6] ed è, quindi, fondamentale che venga rispettato il principio della trasparenza in modo da rendere “accessibili e comprensibili[7] tutte le informazioni.

Allo stesso tempo è doveroso ricordare la definizione che il GDPR fornisce, all’articolo 4 n. 12, di “violazione di dati personali[8], locuzione attraverso la quale si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.[9] Siamo di fronte ad una nozione ampia in quanto vengono ricompresi episodi che mettono o possono mettere in pericolo i dati che vengono trattati.

Nel 2012 con il decreto legislativo n. 69[10] che ha apportato modifiche all’articolo 1 del Codice Privacy (D.Lgs. n. 196/2003[11]), oggi sostituito dal comma 1 dell’articolo 2 del decreto legislativo n. 101 del 2018[12], era stata introdotta una definizione ritenuta molto ampia di violazione dei dati personale poiché nella nozione si includevano eventi che, anche solo accidentalmente, potevano rappresentare un rischio per i dati trattati. Va, dunque, precisato che la violazione deve riguardare i dati personali come affermato dal Gruppo di Lavoro ex art. 29 nel parere n. 3 emesso nel 2014[13].

Andando avanti nell’analisi dell’articolo 32 GDPR si deve evidenziare quanto contenuto alla lettera a) del comma 1 che espressamente parla di pseudonomizzazione e cifratura dei dati. La pseudonomizzazione è una misura tecnica, specificamente è un processo che consente di trattare i dati in maniera tale da non poterli più attribuire ad un utente in particolare senza l’accostamento di informazioni aggiuntive che devono, allo stesso tempo, non essere attribuite “ad una persona fisica identificata o identificabile”.[14] Sempre alla lettera a) si fa riferimento alla cifratura dei dati che espressamente è una tecnica che rende i dati “incomprensibili a chiunque non sia autorizzato ad accedervi e consiste nel convertire, in maniera casuale ( ma solo apparentemente), una sequenza di numeri e segni che solo chi ha la chiave per decifrare potrà convertire questa sequenza di numeri e poter visionare il testo.

Questo concetto è contenuto nel considerando n. 26 del Regolamento che prevede che “i dati sottoposti a pseudonomizzazione, che potrebbero essere attribuiti ad una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile”.[15] Il concetto di pseudonomizzazione non è richiamato solo in questo articolo, ma lo si deve individuare anche nell’articolo 25 del Regolamento stesso ove è previsto che il titolare del trattamento debba attuare misure tecniche atte a garantire la protezione dei dati personali degli utenti tenendo conto della natura, dei costi, dell’ambito di applicazione, del contesto e delle finalità del trattamento.

La pseudonomizzazione è quindi un processo che mira alla garanzia della protezione dei dati in maniera tale da impedire l’identificazione del soggetto senza dover ricorrere ad altre e ulteriori informazioni. Il nuovo Regolamento europeo vuole seguire proprio questa direzione per arginare e cercare di rendere minime le violazioni dei dati degli utenti. Ovviamente spetta alle aziende essere pronte e in grado di garantire l’attuazione delle misure tecniche attraverso adeguate procedure, ma, come ben si sa, spesso queste non sono in grado di rispettare le procedure che vengono richieste. L’Italia, a differenza di stati come la Francia o la Germania, è un “fanalino di coda” in quanto questo processo non è stato recepito e compreso appieno.

Il comma 1 dell’articolo 32 prevede alla lettera b) “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e alla lettera c) “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico“. Espressamente possiamo dire di essere di fronte a misure tecniche che vengono individuate in questo articolo con la finalità di garantire la sicurezza del trattamento dei dati. Sulla base del considerando n. 83 è doveroso tenere conto dei rischi che potrebbero emergere dalla distruzione, dalla perdita o dalla modifica dei dati. Nel caso in cui si sia di fronte ad una violazione e questa non venga affrontata con tutti gli strumenti a disposizione, le persone fisiche potrebbero subire danni sia materiali che immateriali come la perdita del controllo dei dati personali oppure potrebbero subire una limitazione dei loro diritti o ancora i loro dati potrebbero essere decifrati da chi non ne ha l’autorizzazione (cifratura dei dati). Per questo motivo è stato previsto il termine di 72 ore entro le quali devono essere comunicate eventuali violazioni (data breaches) a meno che il titolare del trattamento non dimostri che questa violazione non comporti un rischio, cosa che però appare altamente improbabile. Infine la lettera d) del comma 1 articolo 32 GDPR prevede il ricorso ad una procedura che ha l’obiettivo di “testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire  la sicurezza del trattamento” e quindi il GDPR pone in essere un sistema per garantire la sicurezza e la protezione dei dati personali fin dalla fase della privacy by design.

Procedendo nell’analisi dell’articolo si evidenzia il comma 2 che richiede che si valuti “l’adeguato livello di sicurezza” e soprattutto che si tenga conto dei rischi presentati dal trattamento che derivano “dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.[16] Emerge il ruolo del responsabile del trattamento dei dati personali che ha l’obbligo, come ribadito anche dal Garante, di adottare tutte le misure necessarie, dal punto di vista tecnico e organizzativo, per garantire la sicurezza del trattamento.[17]

Presi in considerazione i doveri del responsabile del trattamento si deve richiamare il disposto del considerando n. 39 che evidenzia come sia rilevante che le persone fisiche vengano sensibilizzate riguardo eventuali rischi che possono sorgere durante un trattamento dati, ma soprattutto importante è che siano a conoscenza dei diritti che possono esercitare riguardo il trattamento. È fondamentale che il trattamento dei dati personali avvenga in maniera lecita e corretta. Da qui la necessità di affidare a figure competenti in materia la delicata questione del trattamento dei dati.

A tal proposito il comma 4 dell’articolo 32 specifica la necessità di avere soggetti che agiscano sotto l’autorità del titolare o del responsabile del trattamento nel rispetto delle modalità che questi hanno stabilito.[18] Dobbiamo quindi far riferimento alla figura del Data Protection Officer da nominare anche qualora la nomina non fosse obbligatoria, come affermato dall’European Data Protection Board, a rappresentare un ulteriore forma di sicurezza.[19]

Inoltre l’articolo 32 chiarisce come i soggetti attivi del trattamento debbano ricorrere a misure di sicurezza organizzative oltre che a misure tecniche al fine di garantire e tutelare i dati durante il trattamento. Il GDPR stesso auspica una divisione della responsabilità tra il titolare del trattamento e il responsabile oltre alla necessità di avere soggetti abilitati al trattamento dei dati personali.[20] Il titolare del trattamento è un soggetto sottoposto ad obblighi che esulano dalla “semplice” azione di custodia dei dati in quanto l’espletamento delle sue funzioni riguarda anche la protezione dei dati per evitare che possano andare persi o distrutti o violati[21] richiamando così il disposto dell’articolo 5 GDPR che espressamente prevede che “i dati personali sono trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita o distruzione o dal danno accidentali (integrità e riservatezza)”.[22]

Vista la complessità della materia, il D.Lgs. n. 101 del 2018 ha previsto all’articolo 2-quinquedecies che qualora ci si trovi di fronte a trattamenti che possono risultare rischiosi e per i quali è necessaria la DPIA, spetti al Garante intervenire per individuare misure e fornire pareri per garantire un corretto e lecito trattamento dei dati.[23] Allo stesso tempo è stata prevista all’articolo 2-quaterdecies la nozione di “soggetto designato” cioè persone fisiche poste sotto la responsabilità del titolare o del responsabile del trattamento. Sono loro ad individuare le modalità necessarie per autorizzare al trattamento dei dati personali coloro che operano sotto l’autorità del titolare o del responsabile.[24] Si deve constatare, vista l’importanza e la delicatezza della materia e soprattutto dei dati degli utenti che vengono trattati, che è doveroso affidare a soggetti competenti in materia il trattamento dei dati, cioè a soggetti “istruiti” riprendendo l’articolo 32 GDPR fermo restando che il titolare del trattamento e il responsabile sono tenuti ad effettuare una valutazione del rischio legato al trattamento stesso e quindi mettere in campo delle “contromisure” per limitare gli eventuali rischi. Si tratta di misure che hanno come fine la garanzia di un livello di sicurezza adeguato e quindi anche della riservatezza.[25]

[1] G. Finocchiaro, Il quadro d’insieme sul regolamento europeo sulla protezione dei dati personali in Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali opera diretta da G. Finocchiaro, Zanichelli, 2017

[2] Considerando n. 4 Reg. UE 2016/679, qui disponibile:

https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT

[3] Redazione “Diritto dell’informatica”, GDPR: quali sono le misure di sicurezza da adottare, 26 marzo 2018, qui disponibile: http://www.dirittodellinformatica.it/privacy-e-sicurezza/gdpr/gdpr-quali-le-misure-sicurezza-adottare-guida-al-gdpr-6-2.html

[4] A. Mantelero, Il nuovo approccio della valutazione del rischio nella sicurezza dei dati. Valutazione d’impatto e consultazione preventiva( artt.32-39) in Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali opera diretta da G.Finocchiaro, Zanichelli, 2017

[5] A. D’Agostino e G. Girotto, Il Data Protection Impact Assessment “DPIA”: cos’è e come svolgerlo” in Diritto 24-Il Sole 24 Ore, 30 gennaio 2018, qui disponibile: http://www.diritto24.ilsole24ore.com/art/avvocatoAffari/mercatiImpresa/2018-01-30/il-data-protection-impact-assessment-dpia-cos-e-e-come-svolgerlo-162259.php

[6] Considerando n. 39: “qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. […]”, qui disponibile: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT

[7] Considerando n. 39: “Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro”, qui disponibile: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT

[8] Articolo 4 n. 12: “ La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” qui disponibile: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT

[9] C. Del Federico- A.R. Popoli, Disposizioni generali in Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, opera diretta da G. Finocchiaro, Zanichelli, 2017

[10] Decreto Legislativo 28 maggio 2012 n. 69 “Modifiche al Codice Privacy in materia di comunicazione elettronica, in Altalex, qui disponibile: http://www.altalex.com/documents/leggi/2012/06/08/modifiche-al-codice-della-privacy-in-materia-di-comunicazione-elettronica

[11] Decreto Legislativo 30 giugno 2003 n. 196, qui disponibile: http://www.camera.it/parlam/leggi/deleghe/03196dl.htm

[12] Articolo 2 comma 1 D.Lgs. n. 101/2018: “ Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi”, qui disponibile:

http://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg

[13]Gruppo di lavoro ex art. 29, Opinion 3/2014 on Personal Data Breach Notification, 25 marzo 2014, qui disponibile: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp213_en.pdf

[14] M. Iaselli, Pseudonimizzazione in Altalex, 5 giugno 2018, qui disponibile: http://www.altalex.com/documents/altalexpedia/2018/06/04/pseudonomizzazione

[15] Considerandpo n. 26 Reg. UE 2016/679, qui disponibile: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT

[16] Articolo 32 comma 2 Reg. UE 2016/679, qui disponibile:

https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT

[17] Garante per la protezione dei dati personali, Doveri- come trattare correttamente i dati, qui disponibile: https://www.garanteprivacy.it/home/doveri

[18] Articolo 32 comma 4 GDPR: “Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”, qui disponibile: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT

[19] T. Calzolari, GDPR, valutazioni rischi privacy e misure di sicurezza in Agenda Digitale, 20 settembre 2018, qui disponibile: https://www.agendadigitale.eu/sicurezza/privacy/gdpr-valutazione-rischi-privacy-e-misure-di-sicurezza/

[20] GDPR e Normativa Privacy Commentario a cura di G. M. Riccio, G. Scorza, E. Belisario, Wolters Kluwer, 2018

[21] B. Saetta, Sicurezza nel trattamento in Protezione dei dati personali, 7 agosto 2918, qui disponibile: https://protezionedatipersonali.it/sicurezza-nel-trattamento

[22] Articolo 5 comma 1 lett. f) Reg. UE 2016/679, qui disponibile:

https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT

[23] M. Nicotra, Decreto GDPR, che cambia: soggetti designati, poteri del Garante, sanzioni in Agenda Digitale, 24 giugno 2018, Qui disponibile: https://www.agendadigitale.eu/sicurezza/privacy/nuovo-schema-di-decreto-gdpr-che-cambia-soggetti-designati-poteri-del-garante-sanzioni/

[24] Articolo 2-quaterdecies D.Lgs. n. 101 del 2018, qui disponibile: http://www.gazzettaufficiale.it/eli/id/2018/09/04/18G00129/sg

[25] Considerando 83 Reg. UE 2016/679, qui disponibile: https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT

Giulia Cavallari

Nata a Bologna nel 1992. Dopo aver conseguito la maturità classica prosegue gli studi presso l'Università di Bologna iscrivendosi alla Facoltà di Giurisprudenza. Laureata con una tesi in Diritto di Internet dal titolo "Il Regolamento generale sulla protezione dei dati e il consenso dei minori al trattamento dei dati personali" sotto la guida della Professoressa Finocchiaro. Nel novembre 2017 ha relazionato all'Internet Governance Forum- IGF Youth. E' in questo periodo che si avvicina e appassiona al diritto di internet e all'informatica giuridica sentendo la necessità di approfondire gli studi in materia.  Gli interessi principali spaziano dalla protezione dei dati personali alla cybersecurity e all'ambito delle nuove tecnologie al ruolo che il diritto di internet ha assunto e assumerà nei prossimi anni.

Lascia un commento