Il concetto di dato oggi assume un valore semantico complesso, in linea con i cambiamenti sociali portati dalla tecnologia che ridefiniscono i confini della privacy. Il legislatore europeo con il GDPR e la direttiva NIS ha colto questa evoluzione, soprattutto nell’ambito Data protection, normando il trattamento dei dati in linea con queste novità.
Alla dimensione storica del “dato personale come diritto” si affianca prepotentemente la dimensione del “dato come informazione”, come bit, come unità minima elaborabile che transita attraverso sistemi intrinsecamente fallibili, la cui violazione genera non solo conseguenze per l’organizzazione titolare del trattamento (perdite economiche, interruzione della continuità operativa, danni reputazionali) ma anche un impatto sui diritti e le libertà delle persone.
La storia semantica del dato
La moderna società ultratecnologica, iperconnessa, si muove ormai prevalentemente in un cyberspazio dai confini sfumati, difficilmente circoscrivibili, in cui non è raro che gli attori (civili ed economici) coinvolti perdano il controllo dei propri dati personali. Il diritto alla privacy, come diritto della personalità, nasce nel mondo anglosassone alla fine dell’800 come “right to be alone”, come diritto ad essere lasciati soli, a mantenere una propria sfera privata, come diritto alla riservatezza.
Nell’ Europa del dopoguerra si afferma invece con un’accezione più ampia, come diritto a mantenere il controllo dei propri dati personali, diritto di accesso, di modifica, di oblio, di limitazione e di opposizione, il tutto per garantire all’interessato che il mondo esterno rifletterà un’immagine di lui il più possibile coerente con quella che è disposto a dare di sè stesso.
Una visione così impegnativa non può non affrontare le nuove sfide del mondo digitale: i social network e la terza piattaforma, l’ultraconnettività, il contesto sociale dematerializzato spingono gli attori ad agire in uno spazio non più fisico, privo di contorni, in uno spazio informatico in cui, paradossalmente, è facile mettere in crisi questa stessa impostazione nei suoi presupposti fondamentali: il cyberspazio non si vede; è difficile tenere traccia delle varie entità che ne fruiscono, della misura in cui lo utilizzano, è difficile individuare chi si intromette come ospite indesiderato in una comunicazione e la conseguente perdita di confidenzialità, integrità o disponibilità dei contenuti scambiati.
Le due dimensioni del concetto di dato
Contestualmente il dato diventa un asset desiderabile economicamente, nella sua veste di input elaborabile da un processo organizzativo, allo scopo di creare valore aggiunto. I database su larga scala consentono di profilare con più efficacia, di creare pattern e modelli predittivi del comportamento di consumo, di somministrare efficacemente prodotti e servizi esattamente a quei target propensi ad acquistarli. Il dato diventa fonte di valore economico. Anche per mantenere la competitività sui mercati internazionali, trainata dalla fiducia degli attori/consumatori, il Legislatore Europeo redige il Regolamento 2016/679 (accompagnato dalla Direttiva NIS), con una ratio profondamente innovativa che rappresenta ed esprime proprio questa evoluzione semantica del concetto di dato personale, articolabile su due dimensioni:
- la prima afferisce alla safety del trattamento, l’aspetto informativo/documentale, finalizzato a garantire che il flusso sui dati non leda i diritti fondamentale dell’interessato;
- la seconda afferisce security del trattamento, l’aspetto tecnologico/organizzativo, che mira a garantire la confidenzialità, l’integrità e la disponibilità del dato personale, nel passaggio attraverso l’infrastruttura operativa.
La consapevolezza di questa dicotomia apre la strada ad una nuova prospettiva metodologica in ambito Data Protection che sappia attribuire la giusta importanza al rischio cyber anche in contesti organizzativi poco strutturati: oggi non esistono più misure minime di sicurezza da implementare ma viene introdotto un moderno approccio risk based, in base al quale il titolare del trattamento si impegna a mettere in campo tutte le misure ritenute adeguate al rischio stimato.
Nel caso di trattamenti che presuppongano l’utilizzo di sistemi o asset informatici, l’analisi del rischio preliminare (mirante a determinare anche la probabilità di occorrenza delle cyber-minacce) sostanzia il principio di accountability e introduce la cultura della security anche in contesti tradizionalmente poco propensi ad investire strategicamente nel settore. Grazie all’arricchimento semantico del concetto di dato personale, che ne sottolinea l’aspetto info-centrico di asset elaborativo, memorizzato o in transito attraverso una struttura di trattamento, la security diventa una variabile strategica, un mezzo per realizzare la “privacy”, intesa come protezione del dato, fin dalla progettazione dei flussi di trattamento (by design) e per impostazione predefinita (by default), due concetti cardine del nuovo quadro regolamentare.
La metodologia
Il modello metodologico emergente dalla riflessione consiste in uno schema di audit articolato in tre fasi:
- una fase preliminare di analisi del contesto operativo e di identificazione dei trattamenti, supportata da interviste mirate al titolare e ai referenti di ogni settore coinvolto;
- il privacy audit, una descrizione sistematica e accurata del trattamento sotto l’aspetto della conformità sostanziale e documentale ai principi sanciti dal GDPR, lungo la dimensione del dato come diritto;
- il security audit, una serie di controlli sulla piattaforma operativa, dalla sicurezza fisica dei locali alla sicurezza delle postazioni informatiche, dalla sicurezza della rete alla conformità del sito web (considerato come ulteriore “entry point” dal quale i dati personali possono fluire all’interno dell’organizzazione), editati sulla base di un framework di riferimento adatto alla realtà esaminata.
Dalla valutazione congiunta dei due audit consegue l’attribuzione di un punteggio, opportunamente motivato dall’analista, che fotografa le operazioni di trattamento lungo le due dimensioni del dato e, attraverso il valore numerico assegnato, lo mappa su una scala qualitativa, ad esempio:
3 = controlli sotto la media;
2 = controlli nella media;
1 = controlli sopra la media.
Tale valore servirà a valle del processo di analisi del rischio per “ponderare” il risultato dell’equazione del rischio intrinseco (cioè che caratterizza il trattamento per il solo fatto di trattare certe categorie di dati, o certe tipologie di interessati, attraverso risorse dotate di determinate caratteristiche) con il livello di vulnerabilità (intesa come mancanza di controlli) emergente dall’audit sopra richiamato. In questo modo l’analista è in grado di tracciare un confine, una separazione logica, tra il rischio che il trattamento porta con sé ontologicamente e quello che risulta essere invece il rischio residuo o ponderato, dopo aver preso in considerazione tutta una serie di controlli di sicurezza (intesa anche come cyber-security se in presenza di contesti fortemente dematerializzati) ritenuti adeguati a contrastare la probabilità di occorrenza delle minacce.
Il processo di risk assessment
Il trattamento del dato avviene infatti attraverso una piattaforma elaborativa. In questo scenario, lo scopo del processo di analisi del rischio consiste proprio nell’ identificare gli asset strategici che ne fanno parte e nel verificare la presenza di alcuni requisiti ritenuti adeguati a garantirne la sicurezza. Ogni asset viene valutato sulla base dell’impatto che potrebbe generare sui diritti e le libertà degli interessati qualora venisse meno ognuna delle 3 proprietà CIA dell’informazione che intende veicolare (confidenzialità, integrità, disponibilità). Successivamente l’analista non fa che un prodotto logico tra l’impatto dell’asset di trattamento (server, computer, tablet etc), lungo le tre dimensioni suddette e la probabilità di occorrenza delle minacce ritenute applicabili al contesto sotto indagine. Tecnicamente pertanto, la matrice del rischio intrinseco mappa il trattamento individuando un valore che non prende ancora in considerazione i controlli di sicurezza.
In una fase successiva, slegata logicamente e metodologicamente dalla precedente, è possibile introdurre la security come variabile strategica, studiare un framework di riferimento (potrebbe essere quello proposto da Enisa per le PMI o quello NIST) adatto al contesto e verificare la presenza o l’assenza delle misure adeguate al rischio del trattamento. Il rischio residuo ottenuto dalla ponderazione sarà il punto di partenza per la fase di trattamento del rischio: il titolare infatti potrà semplicemente accettarlo oppure esternalizzarlo o infine mitigarlo agendo sui due parametri determinanti (mitigare l’impatto è possibile ad esempio con tecniche di business continuity; minimizzare la probabilità di occorrenza di una minaccia significa tendenzialmente innalzare il livello della security).
Ciò che sostanzia il principio di accountability non è tanto l’essere capaci di implementare una struttura organizzativa immune agli incidenti: questo non è possibile e non è richiesto; il requisito cruciale è che il titolare (o il responsabile) sia in grado di dimostrare di aver preso in considerazione il rischio del trattamento e di averlo in qualche modo gestito, tenendo conto della nuova semantica del concetto di dato personale.
