Privacy by design e privacy by default sono due pilastri entrati in gioco nella gestione della privacy. Trampolino di lancio, il nuovo principio introdotto dal GDPR: l’accountability, ovvero la responsabilizzazione del titolare del trattamento dati. Si tratta dell’obbligo, in capo al titolare stesso, di adempiere una serie di comportamenti finalizzati a rendere conforme il trattamento dei dati a quanto disposto dal regolamento europeo. Vediamo quali sono gli step da attuare all’interno delle strutture socio-assistenziali e gli strumenti di cui servirsi.
Il GDPR introduce una condotta attiva nel trattamento dei dati poiché appunto il titolare deve essere in grado di attuare tutte le misure tali da renderlo conforme e soprattutto la loro attuazione deve essere dimostrabile così come stabilito dall’art. 5 par. 2 del GDPR “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”; lo stesso principio viene ribadito poi anche dall’art. 24 par. 1 “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.
Indice degli argomenti
Privacy by design e privacy by default
Le misure, tecniche ed organizzative, nonché i comportamenti messi in atto dal titolare, hanno l’obiettivo, come detto precedentemente, di adeguare il trattamento dei dati a quanto disposto dalla Normativa europea in materia di privacy. Raggiunto ciò, il modello organizzativo risulterà conforme alla Normativa stessa (compliant).
All’interno del principio di accountability rientrano anche alcuni nuovi concetti fondamentali quali: privacy by design e privacy by default.
La definizione di privacy by design risale al 2010 e fu coniata da Ann Cavoukian, Privacy Commissioner dell’Ontario (Canada), è un concetto che non va applicato esclusivamente al trattamento inteso come azione ,bensì occorre considerare la conformità al GDPR già in fase di progettazione del trattamento così come stabilito dall’art. 25 del GDPR:
“1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo”.
Da quanto appena citato si possono evincere alcuni aspetti fondamentali del concetto di privacy by design:
- l’obiettivo è quello di prevenire i rischi e non risolverli una volta manifestatisi;
- la privacy deve essere argomento centrale in sede di progettazione di un trattamento;
- lo stesso trattamento deve essere sicuro e trasparente;
- il titolare deve saper dare riscontro tempestivamente alle richieste dell’interessato (esercizio dei proprio diritti).
Analizzando quanto appena descritto si può comprendere come la ratio del GDPR sia incentrata sulla valutazione del rischio (risk based approach) attraverso la quale si potrà quantificare il grado di responsabilità del titolare e del responsabile in ragione della natura, del contesto e delle finalità che legittimano il trattamento in essere; il titolare del trattamento per quantificare il livello di rischio di quel dato trattamento dovrà considerare per esempio: la tipologia di dati trattati, gli interessati di questi dati, le modalità di trattamento (se per esempio alcuni servizi vengono esternalizzati, ecc).
Il concetto di rischio introdotto dal GDPR
Si legge nei Considerando 75: “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza”.
Ancora, “in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.” e 76 “La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato”.
Conformità al GDPR: il privacy impact assessment
Lo strumento che permette di fare tutto ciò è la valutazione di impatto sul trattamento (Privacy impact assessment – PIA): si tratta di un processo mirato all’identificazione del trattamento analizzandone la necessità, la proporzionalità e i relativi rischi allo scopo di apportare le adeguate misure di sicurezza. Si tratta quindi di uno strumento fondamentale a disposizione del titolare per conoscere nel dettaglio ogni tipologia di trattamento effettuato, i rischi e le relative misure di sicurezza attuate, allo stesso tempo la PIA rappresenta anche lo strumento inteso a dimostrare la conformità al GDPR.
L’art. 35 par. 3 individua le casistiche in cui la valutazione di impatto sul trattamento deve necessariamente essere svolta:
- valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9 par. 1, o di dati relativi a condanne pensali e a reati di cui all’art. 10;
- sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Privacy by default: gli obblighi per il titolare
Il secondo concetto, privacy by default, prevede invece che il titolare, come impostazione predefinita, debba trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste (Principio di limitazione della finalità, art. 5, par.1, lett. b) e per il periodo strettamente necessario a tali fini (Principio di minimizzazione, art. 5, par. 1, lett. c).
Come detto, ai sensi dell’art. 24 del GDPR, ogni titolare deve porre in essere una serie di adeguate misure finalizzate a ridurre quanto più possibile il rischio di violazione dei dati personali. Il Gruppo di Lavoro Articolo 29 definisce la violazione come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.” lo stesso, con parere del marzo 2014, ha definito nel dettaglio quali sono le tipologie di violazione di dati personali: violazione della riservatezza (divulgazione o accesso di dati non autorizzati), violazione dell’integrità (modifica accidentale o non autorizzata dei dati) e violazione della disponibilità (perdita, accesso o distruzione accidentale o non autorizzato di dati personali).
Questa mentalità purtroppo non ha ancora attecchito come dovrebbe e molti titolari vedono ancora la questione privacy come un fastidio, un intralcio alla quotidianità, come un qualcosa che non porta dei frutti concreti; il consulente privacy in primis e il Responsabile della protezione dei dati (DPO) in secundis sono professioni estremamente importanti e delicate in quanto devono agire sulla mentalità e sulla consapevolezza delle persone instillando il seme della privacy e del concetto di accountability. Per fortuna però ci sono anche molti, moltissimi titolari lungimiranti e aperti al confronto che vedono la privacy come qualcosa di fondamentale e produttivo.
Indispensabile per essere compliant è l’individuazione e la nomina di due figure fondamentali: Amministratore di sistema e il DPO; queste sono le prime misure che un titolare deve attuare.
Relativamente alla prima figura, il Garante Privacy, con provvedimento del 27 novembre 2008, ha definito l’Amministratore di sistema come “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”. Per la seconda invece, è direttamente il GDPR all’art. 37 a delinearne requisiti e competenze.
La security nelle strutture socio-assistenziali
Volendo analizzare nello specifico le misure tecniche da adottarsi, occorre innanzitutto fare una distinzione tra misure di sicurezza fisiche e misure di sicurezza informatiche, le prime riguardano la sicurezza dei locali della struttura, mentre le seconde, come è facilmente intuibile, sono rivolte all’infrastruttura informativa del titolare.
Le misure di sicurezza fisiche si focalizzano su tre aspetti fondamentali:
- Verifica dei requisiti di sicurezza dei locali (sistemi d’allarme, porte, serrature, ecc.);
- Verifica degli accessi ai locali e controllo dei soggetti esterni la struttura (nel caso di ambienti il cui accesso è consentito al pubblico);
- Corretto smaltimento dei rifiuti cartacei ed elettronici.
Per far meglio comprendere le misure rientranti ai punti 1 e 2, basti pensare all’archivio storico, esso rappresenta il “cuore pulsante” della struttura poiché contiene tutta la documentazione cartacea prodotta nel corso degli anni dai vari uffici e locali (ufficio personale, infermerie, ecc.). Tale documentazione, riferita al personale dipendente, liberi professionisti e soprattutto ospiti della struttura, è assolutamente necessario che venga conservata in maniera idonea, pertanto occorre dotare l’ambiente di una porta tagliafuoco per evitare, in caso di incendio, una violazione dell’integrità del dato, risulta opportuno poi predisporre un registro degli accessi per meglio consentire al titolare di monitorare i flussi del personale nell’ambiente e al contempo prevenire il rischio di una violazione della riservatezza e dell’integrità del dato. Analizzando altri, aspetti è importante verificare in che posizione questo è allocato (da evitare sicuramente i piani interrati per ovvi motivi) e se in passato si sono verificati casi di allagamento, incendio o furto; occorre infine controllare che all’interno dello stesso non vi siano infiltrazioni d’acqua o segni di umidità, a lungo andare l’umidità potrebbe corrodere la carta.
Nei locali il cui accesso sia consentito anche a personale esterno (familiari degli ospiti, visitatori), basti pensare agli ambulatori medici o all’ufficio dell’assistente sociale, è importante non lasciare mai documentazione cartacea e apparecchiature (PC) incustodite: si precisa che nel caso in cui il locale non fosse presidiato dal personale, la porta di accesso deve sempre essere chiusa a chiave.
Per il corretto smaltimento dei rifiuti elettronici e cartacei (punto 3) si intende, nel primo caso, l’utilizzo degli appositi distruggi documenti, attenzione però, ci sono diverse tipologie di distruggi documenti a seconda del grado di distruzione, da quelli più economici che tritano il foglio di carta in strisce lunghe e sottili (sconsigliati), ai più costosi che trasformano il foglio di carta in polvere. Come sempre la verità sta nel mezzo, un distruggi documenti funzionale è quello che trita il foglio di carta in sottili striscioline della lunghezza di 5cm; ideale è che questi apparecchi vengano installati prima di tutto in quegli uffici in cui vi è un maggior afflusso di dati personali (ufficio personale, assistente sociale, infermerie, ambulatorio medico, ecc.) o, nel caso questo non fosse possibile, in prossimità di ogni macchina fotocopiatrice.
Per rifiuto elettronico si intende per esempio l’hard disk del PC: non è sufficiente smaltire presso l’apposito ecocentro tutto l’hardware, ma occorre provvedere alla distruzione dello specifico componente (per esempio spezzandolo a metà): esistono aziende autorizzate che si occupano di questa specifica procedura e rilasciano al cliente, una volta completata l’operazione, un certificato che ne attesta l’avvenuto smaltimento secondo gli standard imposti: solo in questo caso i dati contenuti all’interno non saranno più accessibili.
A chi spetta occuparsi di sicurezza informatica
Le misure di sicurezza informatica, come suggerisce il loro nome, focalizzano la loro attenzione su altre tipologie di aspetti:
- Sicurezza della rete informatica (es: server, firewall, ecc.);
- Sicurezza online (es: sito web);
- Sicurezza dei dispositivi (es: notebook, tablet, ecc.).
Nel caso in cui l’Ente/Azienda abbia nominato un Amministratore di sistema, sarà compito di quest’ultimo suggerire al titolare quali misure attuare e come adottarle.
Rientrano al punto 4, tutte le misure finalizzate a rendere più sicuro l’accesso e la navigazione all’interno del server aziendale mediante un sistema di accessi mirati alle cartelle del server; è importante infatti che ognuno abbia accesso esclusivamente alla propria cartella. L’ufficio personale per esempio non dovrebbe avere alcun interesse ad accedere e consultare le informazioni contenute all’interno della cartella del personale infermieristico. È inoltre importante sottolineare come ogni dipendente che utilizzi un PC debba salvare tutte le informazioni sempre all’interno del server e mai in locale, così facendo si andrà a ridurre sensibilmente il rischio di perdita di dati dovuta ad eventuali malfunzionamenti della strumentazione informatica.
Le misure di cui al punto 6 sono rivolte invece a tutti i dispositivi portatili; proprio in ragione della loro natura è necessario avere delle accortezze maggiori quali ad esempio la crittografia del disco. Questa misura, se attuata, rende di fatto inaccessibili le informazioni contenute all’interno del dispositivo per chi non è in possesso della chiave di lettura.
Altra misura estremamente utile è quella riguardante la VPN (Virtual private network), questo strumento permette di utilizzare le connessioni Wi-Fi sconosciute in totale sicurezza, essa infatti consente sia di rendere invisibili le proprie attività in Rete a occhi non autorizzati, sia di mascherare l’indirizzo IP da cui si accede a Internet; le VPN si possono dividere in due grandi categorie:
- VPN hub-and-spokes, che vengono usate per collegare i vari nodi della rete (computer, smartphone, tablet, ecc.) a una sede centrale (server), il server centrale si occupa di proteggere il traffico e smistarlo tra i nodi collegati. Solitamente questo tipo di VPN è usato per le attività di camuffamento IP e protezione dei dati su connessioni non protette;
- VPN site-to-site, questa tipologia di VPN viene solitamente impiegata nel collegamento di due o più reti private differenti attraverso una connessione sicura, usando un canale non sicuro (Internet). Questo approccio viene usato spesso in ambito aziendale, per permettere lo scambio sicuro di dati e informazioni tra due o più sedi dislocate della stessa società.
- Misure organizzative da attuarsi all’interno delle strutture socio-assistenziali
Presidi assistenziali, gli ostacoli alla privacy by design
Come si è visto il principio della privacy by default impone ai titolari del trattamento di considerare la protezione dei dati personali come elemento caratterizzante e determinante per l’organizzazione interna del lavoro; nelle strutture socio-assistenziali tuttavia l’attuazione ed il rispetto di questo principio è resa molto difficoltosa dalla sussistenza simultanea più fattori quali, in via esemplificativa: la presenza di più figure professionali (le quali trattano a vario titolo ed in misura diversa dati personali e, o particolari) che sottendono quindi anche ad una diversa formazione e sensibilità in relazione al trattamento dei dati personali; un turnover talvolta ingente del personale, che può rendere difficoltosa una formazione continua e costante; l’affidamento di alcuni trattamenti a responsabili ai sensi dell’art. 28 del GDPR e l’ingresso nella struttura di soggetti esterni durante diversi momenti della giornata.
La presenza di tali fattori di rischio, non completamente governabili dal titolare del trattamento, fa sì che questi non possa fare altro che adottare, come del resto dispone l’art. 32 del GDPR, tutte le misure adeguate al rischio, con il fine non di azzerarlo (risultato impossibile proprio in virtù della non completo controllo di tali fattori) ma di contenerlo.
Ciò detto, appare pacifico sostenere che la prima misura organizzativa da intraprendere, per contenere il rischio di perdita, modificazione o accesso illecito ai dati, sia determinare i soggetti che possono trattare i dati per conto del titolare.
Una conferma di tale assunto arriva proprio dalla sistematica del regolamento, il quale regola l’impiego di altri soggetti nel trattamento appena in seguito agli articoli riguardanti l’accountability ed il titolare del trattamento.
I soggetti che possono trattare i dati per conto del titolare possono essere gli autorizzati al trattamento o i responsabili del trattamento; quest’ultimi nominati quando il titolare debba o intenda appoggiarsi ad un soggetto esterno, a seconda che il trattamento venga eseguito mediante gli uni o gli altri, mutano anche le misure organizzative da adottare.
Quando il trattamento viene effettuato mediante personale interno (ipotesi di cui all’art. 29 GDPR); questo dovrà essere informato del fatto che ricopre un ruolo all’interno della protezione dei dati personali, dal momento che è autorizzato al trattamento. Tale informazione sarà fornita attraverso un atto di nomina, nel quale dovranno essere elencati i trattamenti che dovranno essere svolti dall’autorizzato.
Trattamento dati: la formazione del personale
Individuati e nominati, gli autorizzati vanno però anche “istruiti”: queste istruzioni costituiscono il cuore delle misure di sicurezza organizzative che ogni titolare deve adottare.
All’interno dell’atto di nomina si ritiene opportuno inserire, oltre ai principi generali della normativa vigente, contenuti nell’art. 5 del Regolamento europeo, alcune di queste istruzioni, in particolare quelle più strettamente attinenti alla sicurezza, integrità e riservatezza dei dati personali nell’organizzazione e svolgimento del lavoro quotidiano come, ad esempio, la cura dei fascicoli personali dei pazienti (cartella clinica, cartella amministrativa) e/o dei lavoratori e la cura della propria postazione di lavoro.
Nella nomina, altresì, è conveniente riportare la distinzione tra i dati personali e quelli appartenenti a categorie particolari, con le conseguenti cautele ed attenzioni e differenze nell’approccio.
Definito il primo, indispensabile, passo da fare nell’organizzazione interna di un trattamento conforme alla normativa vigente, gli altri passi riguardano tutti la formazione del personale autorizzato, sotto diversi punti di vista. Dapprima risulta indispensabile fornire un’adeguata e, possibilmente, periodica formazione privacy a tutti i propri lavoratori.
Le modalità con cui questa formazione debba essere erogata (corsi frontali, telematici o con altre tipologie di didattica) vanno decise dal titolare del trattamento, il quale ne dovrà rendere conto in caso di controlli all’interno della propria accountability, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento” (art. 25 GDPR).
Il contenuto che questa formazione dovrà variare a seconda della categoria professionale alla quale viene rivolta. In una struttura socio-sanitaria infatti, potrebbe risultare insufficiente una formazione unica per personale amministrativo e sanitario che preveda unicamente gli argomenti relativi agli istituti ed alle figure contenute nel GDPR o nel D. lgs. 196/2003 ss. mm. e non anche una spiegazione dei principi e dei dettami espressi dal Garante privacy nella deliberazione del 4 giugno 2015, sull’utilizzo del dossier sanitario elettronico.
Ciò detto, una formazione che preveda degli argomenti generali e perciò indirizzata a tutti i lavoratori ed una formazione specifica, rivolta alle singole categorie interne, risulta la più idonea a contenere i rischi del trattamento.
Altra misura che risulta ormai imprescindibile è l’adozione di un regolamento informatico interno, che spieghi come utilizzare gli strumenti informatici e gli indirizzi di posta elettronica necessari allo svolgimento del proprio lavoro. Tale regolamento poi, dovrà essere coordinato con quello relativo ai controlli di sicurezza che il titolare può eseguire, per mezzo dell’amministratore di sistema, ove nominato, nel rispetto dei diritti riconosciuti ai lavoratori dalla legislazione vigente (L. 300/1970).
Codice etico e gestione delle violazioni
A completamento, inoltre, è consigliabile adottare un codice etico, il quale potrà contenere delle norme di comportamento che andranno a prevenire il possibile accesso illecito ai dati, con la relativa violazione della riservatezza degli interessati, generalmente vietando la comunicazione di dati personali al di fuori dei casi previsti dalla legislazione vigente, dal contratto di lavoro o da altre istruzioni impartite dal titolare.
Infine, si è detto che anche il più zelante dei titolari del trattamento non riuscirà a portare il rischio connesso alla propria attività a zero; da qui, quindi, la necessità di adottare un’ulteriore misura organizzativa di sicurezza che vada ad agire nei casi in cui dovesse verificarsi una qualche violazione dei dati.
Ci si riferisce all’adozione di una procedura di gestione delle violazioni dei dati: tale procedura dovrà rendere consapevoli gli autorizzati al trattamento delle azioni da intraprendere nel caso in cui si verifichi una violazione della riservatezza, dell’integrità e, o della disponibilità dei dati.
Nello specifico, dovrà spiegare quali misure porre in essere per limitare i rischi per i diritti e le libertà degli interessati e quando questo rischio diventi considerevole e perciò comporti la necessità di notificare la violazione all’Autorità garante e al tempo stesso, comunicarla agli interessati e, in generale, ogni altra indicazione pratica ritenuta necessaria per l’adempimento degli oneri imposti dagli artt. 33 e 34 GDPR.