Infocert

Gdpr, l’utilità dei servizi digital trust alla luce delle linee guida WP29

Le linee guida del WP29 offrono i primi chiarimenti interpretativi, ma resta irrisolta la questione di quali siano gli strumenti cui Titolare e Responsabile del trattamento devono far ricorso e la cui scelta, peraltro, rimane interamente a loro carico. Per fortuna è possibile affidarsi a partner tecnologici adeguati

Pubblicato il 20 Dic 2017

Lorenzo Piatti

Analyst Consulenza di processo e normativa di InfoCert (Gruppo Tecnoinvestimenti)

cyber_267264170

Dal prossimo 25 maggio, il General Data Protection Regulation (“GDPR”) sarà pienamente applicabile nei 28 Stati dell’Unione Europea. Nonostante il Regolamento non richieda provvedimenti attuativi dei singoli Stati, i legislatori nazionali potranno prevedere norme apposite in contesti specifici, ad esempio per il trattamento di categorie particolari di dati personali – come quelli biometrici – ovvero nei casi di profilazione decisionale. Anche dal Garante per la protezione dei dati personali potranno arrivare input di indirizzo normativo: oltre ad avere compiti di vigilanza, ispettivi e sanzionatori, infatti, l’Autorità ha anche il compito di emettere linee guida su misure regolamentari quali, appunto, il GDPR.

Lo scenario normativo è alquanto articolato e mancano, soprattutto, puntuali indicazioni di tipo pratico; il GDPR, infatti, si basa sul principio dell’accountability e non dà suggerimenti su quali strumenti adottare per raggiungere la compliance. Le organizzazioni, tuttavia, potranno contare sul lavoro del Working Party 29 (“WP29”): istituito dall’art. 29 della Direttiva CE n. 95/46, è un ente indipendente, composto da un rappresentante delle autorità di protezione dei dati personali di ogni Stato membro, dal Garante Europeo della Protezione dei Dati nonché da un rappresentante della Commissione.

Questa fonte di “soft law” si occupa – tra l’altro – di redigere opinioni e linee guida concrete sull’interpretazione e l’attuazione del Regolamento e, negli ultimi mesi, è stata particolarmente prolifica: ad esempio sui temi di trattamento “su larga scala”, di valutazione d’impatto (Data Protection Impact Assessment, “DPIA”), di Data Protection Officer (DPO) e di data breach.

In particolare, le linee guida del WP29 su quest’ultimo punto sono state adottate lo scorso 3 ottobre. In pubblica consultazione fino alla fine del mese di novembre, attualmente sono in attesa di formalizzazione e, pur ancora in versione non definitiva, possono essere però considerate già un punto di riferimento autorevole da Titolari e Responsabili del trattamento del dato.

Prendiamo ad esempio la definizione di data breach presente all’art. 4 del Regolamento, in cui il legislatore specifica che con “violazione dei dati personali” s’intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”: in questo modo, il GDPR ha amplificato notevolmente il significato in uso di violazione del dato, usualmente associato al solo furto.

Le linee guida del WP29, a tal proposito, forniscono indicazioni sulla gerarchia delle responsabilità di reazione al data breach, attribuendo al Responsabile del trattamento un ruolo subordinato, ma comunque attivo, a quello del Titolare e analizzando in concreto le varie modalità di violazione del dato richiamate dal Regolamento. Secondo il GDPR queste possono essere, infatti, di tre tipi: di confidenzialità, quando si verifica una divulgazione o un accesso a dati personali non autorizzato o accidentale; di integrità, quando si verifica un’alterazione di dati personali non autorizzata o accidentale; di disponibilità/accesso, quando si verifica perdita, inaccessibilità, o distruzione, sempre non autorizzata o accidentale, di dati personali.

In uno qualsiasi di questi tre scenari, compito di accertare il data breach è del Titolare, o se presente anche del Responsabile, che ha l’obbligo di avvisare tempestivamente il Titolare stesso. Questi, qualora si verifichino particolari situazioni che ledono i diritti e la libertà degli individui (artt. 33 e 34 del Regolamento), ha a sua volta l’obbligo di notificare l’avvenuta violazione -con i relativi dettagli- alle autorità garanti e ai cosiddetti Interessati (gli utenti del cui dato si tratta). Le linee guida in discorso ricordano come sia possibile prendere determinate precauzioni perché si possa superare l’obbligo di notifica: per esempio lo stesso GDPR descrive (Art. 34) la cifratura dei dati come una buona pratica che faccia venir meno la necessità di comunicazione all’Interessato, tuttavia la decisione sulle azioni da intraprendere -nel rispetto del principio di accountability- è rimessa al Titolare.

Il tutto entro 72 ore o comunque senza “ingiustificato ritardo” dall’accertamento del data breach.

Si può, pertanto, facilmente comprendere il valore delle indicazioni fornite dal WP29 – che offrono una bussola per muoversi più celermente in caso di data breach – considerando quanto onerose possono essere le sanzioni a carico delle organizzazioni che, colpite da violazioni, non pongano in essere le azioni e le precauzioni richieste dalla normativa.

Ma, se il WP29 fornisce questo indubitabile aiuto, resta irrisolta la questione di quali siano gli strumenti cui Titolare e Responsabile del trattamento devono far ricorso e la cui scelta, peraltro, rimane interamente a loro carico. Una difficoltà che, indipendentemente dalla dimensione della struttura aziendale o professionale, può diventare un grosso problema se si è sprovvisti delle necessarie competenze.

Tuttavia, la buona notizia è che l’adozione di servizi di digital trust possono essere la chiave di volta per affrontare con successo la sfida del GDPR, in un naturale processo di trasformazione digitale delle aziende.

È, quindi, cruciale affidarsi a un partner capace di fornire, dal punto vista tecnologico le soluzioni più innovative e affidabili, come i Trust service di InfoCert: ad esempio la firma elettronica  laddove il particolare tipo di trattamento richieda un consenso espresso, digitalizzando quello che in alcuni casi oggi viene ancora raccolto su carta nonché  strumenti di notifica opponibili a terzi, come la PEC (Posta Elettronica Certificata), per l’e-delivery delle comunicazioni tra Titolare, Responsabile, Autorità e Interessato. Inoltre, attraverso strumenti di access e log monitoring è possibile garantire la ricostruzione e l’audit sul trattamento dei dati, avendo la certezza che i dati siano trattati solo nei modi e dai soggetti autorizzati.

Agli strumenti tecnologici è, poi, importante affiancare un supporto esperto per la consulenza e l’analisi dei processi già esistenti nonché nel disegno -alla luce della normativa vigente- di una roadmap sostenibile e sicura del processo di trasformazione digitale.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2