Il nuovo Regolamento Europeo in materia di protezione dei dati personali ha mutato profondamente il quadro della normativa connessa alle nuove tecnologie, introducendo per la prima volta misure solide e strutturali per fronteggiare le nuove sfide dell’economia digitale. Il tema tocca da vicino i professionisti tecnici, non solo nel caso essi siano titolari di studio o società, ma anche nell’ipotesi che ingegneri, architetti, geometri e periti industriali vogliano intraprendere specifici percorsi per svolgere il ruolo di privacy officer, uno dei più importanti nuovi profili professionali attivati dalla nuova normativa.
Di privacy, privacy officer e GDPR abbiamo parlato con uno dei massimi esperti nazionali di diritto, nuove tecnologie e tutela dei dati personali: l’avv. Michele Iaselli, autore di volumi di riferimento come “Diritto e nuove tecnologie” (2016), “Privacy e nuove tecnologie”, “I contratti informatici”, “Guida alla corretta redazione di un contratto informatico”, e il nuovo “Regolamento europeo n. 2016/679 e Data Protection Officer – Istruzioni operative”. Per chi volesse approfondire, vi invitiamo a seguire la rubrica settimanale che Michele Iaselli tiene su Altalex.com, dedicata alle nuove tecnologie.

Il settore della protezione dei dati personali sta attraversando un periodo di particolare fermento a seguito dell’entrata in vigore del Regolamento europeo sulla protezione dei dati personali n. 2016/679, il c.d. GDPR. Quali sono le novità in materia?
Le novità sono tante, del resto la necessità di emanare un Regolamento Europeo in materia di protezione dei dati personali nasce dalla continua evoluzione degli stessi concetti di privacy e protezione dei dati personali e quindi della relativa tutela dovuta principalmente alla diffusione del progresso tecnologico. Innanzitutto viene prevista una nuova figura professionale alquanto complessa come il Data Protection Officer (DPO) che dovrà aiutare il titolare del trattamento ed il responsabile del trattamento nello svolgimento delle attività richieste dal GDPR per tutelare la privacy degli interessati.

Ma rispetto alla preesistente normativa e quindi al nostro codice vede rilevanti differenze?
Nel provvedimento comunitario troviamo molte conferme, si pensi ad esempio ai principi generali relativi al trattamento, alla necessità dell’informativa sebbene più dettagliata e del consenso, ai diritti dell’interessato tra cui i nuovi diritti all’oblio o anche alla portabilità. Ma sono previsti anche nuovi istituti e nuove metodologie come la valutazione di impatto sulla protezione dei dati personali (DPIA), attività molto complessa e di primaria rilevanza in presenza di trattamenti molto delicati oppure i registri delle attività di trattamento che sebbene non sempre obbligatori considero fondamentali per avere un quadro generale dei trattamenti rilevanti ai fini privacy di una determinata realtà organizzativa.

Come si pone il GDPR in merito alla sicurezza informatica?
Nell’ottica del GDPR il concetto di sicurezza informatica ha assunto un significato più attuale alla luce anche dei sempre più numerosi attacchi ed incidenti di natura informatica che lasciano intuire una preoccupante tendenza alla crescita di tale fenomeno. In particolare negli ultimi tempi si è assistito ad una rapida evoluzione della minaccia che possiamo definire “cibernetica” che è divenuta un bersaglio specifico per alcune tipologie di attaccanti particolarmente pericolosi.

I pericoli legati a questo genere di minaccia sono particolarmente gravi per due ordini di motivi:
– Il primo è la quantità di risorse che gli attaccanti possono mettere in campo, che si riflette sulla sofisticazione delle strategie e degli strumenti utilizzati.
– Il secondo è rappresentato dal fatto che il primo obiettivo perseguito è il mascheramento dell’attività, in modo tale che questa possa procedere senza destare sospetti.
La combinazione di questi due fattori fa sì che, a prescindere dalle misure minime di sicurezza previste dal nostro codice in materia di protezione dei dati personali, (antivirus, firewall, difesa perimetrale, ecc.) bisogna fare particolare attenzione alle attività degli stessi utenti che devono rimanere sempre all’interno dei limiti previsti. Infatti elemento comune e caratteristico degli attacchi più pericolosi è l’assunzione del controllo remoto della macchina attraverso una scalata ai privilegi.

Ma il GDPR suggerisce delle misure per prevenire e combattere gli attacchi informatici?
L’art. 32 del Regolamento ne parla a proposito della sicurezza del trattamento, difatti tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono tra l’altro, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
In particolare, quindi, assume rilevanza la pseudonimizzazione intesa come un particolare trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
Inoltre per la prima volta si parla di resilienza dei sistemi informatici intesa come la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura in modo da garantire la disponibilità dei servizi erogati.
Notevole rilevanza viene attribuita dal legislatore comunitario anche al disaster recovery, per cui diventa fondamentale predisporre uno specifico piano con il quale si intende fornire servizi volti all’analisi dei rischi di inoperatività del sistema EDP (informatico) e delle misure da adottare per ridurli, nonché la messa a punto del vero e proprio piano di emergenza informatica, che ricomprende, in particolare, procedure per l’impiego provvisorio di un centro di elaborazione dati alternativo o comunque l’utilizzo di macchine di soccorso da utilizzare in attesa della riattivazione.

Ma quali sono secondo lei gli aspetti più interessanti di questa nuova normativa che possono coinvolgere i tecnici e quindi in particolar modo gli ingegneri e gli architetti?
Innanzitutto è bene precisare che non abbiamo ancora una quadro chiaro di quella che sarà la normativa applicabile a decorrere dal 25 maggio 2018, anno in cui sarà obbligatorio per tutti il GDPR. Difatti è stata emanata di recente una legge delega n. 163/2017 che all’art. 13 contiene una delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del GDPR, per cui verranno abrogate, modificate o integrate molte disposizioni del Codice incompatibili con il provvedimento comunitario. In realtà abbiamo anche molte disposizioni del GDPR che non sono direttamente applicabili nel nostro ordinamento e che quindi dovranno essere integrate dalla normativa nazionale o da provvedimenti del Garante. Fatta, quindi questa necessaria premessa, indubbiamente gli ingegneri ed architetti al di là di tutti gli obblighi richiesti al titolare del trattamento in quanto tale, dovranno fare particolare attenzione all’utilizzo di tutti i prodotti o software tecnologicamente avanzati che trattino dati personali, difatti in questi casi potrebbe rivelarsi necessaria una Data Protection Impact Assessment (DPIA) richiesta dall’art. 35 del GDPR quando si è in presenza di un rischio elevato per i diritti e le libertà delle persone fisiche. Anche l’adozione di procedure tecnologicamente complesse, di processi decisionali automatizzati, di attività sistematiche di monitoraggio potrebbero presentare rilevanti criticità in tema di trattamenti di dati personali.

Ma oggi il mondo è interamente connesso, anche i professionisti lavorano quotidianamente utilizzando nuove tecnologie, sarà possibile tutelare sempre i dati personali dei cittadini?
Il problema dell’effettività della tutela in materia di privacy è particolarmente sentito poiché spesso il legislatore è costretto a correre dietro alle continue novità in ambito tecnologico e talvolta si trova di fronte ad obiettivi problemi di tutela, magari si interviene troppo tardi quando il danno è già stato arrecato come nel caso del “data breach”. Il legislatore comunitario ha affrontato questo problema e perciò ha introdotto i principi della privacy by design o dell’accountability che mirano ad una maggiore responsabilizzazione del titolare e del responsabile del trattamento sin dalla fase di progettazione di un nuovo prodotto o servizio tecnologico.

Fonte