Sulle PA scatta l’onere del rischio informatico, “ecco perché le nuove regole Ue sono una rivoluzione”

È notizia di poche settimane fa la pubblicazione in gazzetta ufficiale dell’Unione Europea del nuovo Regolamento in materia di protezione dei dati personali che entrerà in vigore alla fine del mese di maggio del 2018.

La nuova normativa propone importantissime novità nel panorama normativo che devono essere analizzate e comprese nella loro portata non solo pratica ma anche di impostazione perché, a differenza di oggi, il Regolamento spinge moltissimo su concetti quali l’analisi dei rischi, la valutazione di impatto, la privacy by design e by default, la dimostrabilità della idoneità delle misure di sicurezza adottate. In pratica, quindi, si passa da una filosofia normativa fortemente imperniata sul concetto di “elenco di misure da adottare” a una impostazione incentrata soprattutto sulla richiesta alle pubbliche amministrazioni e alle aziende di sapersi valutare adottando le misure di sicurezza ritenuto, caso per caso, più adeguate.

Basti dire, a dimostrazione di quanto sopra, che il regolamento prevede fra l’altro che il responsabile della protezione dei dati (quando nominato per obbligo di legge o volontariamente) debba sorvegliare l’osservanza del Regolamento, di ogni disposizione di legge rilevante nonché delle politiche del titolare del trattamento in materia di protezione dei dati personali con ciò dando per scontato che ci siano vere e proprie “politiche” alla base delle scelte in materia di sicurezza informatica da parte dei titolari del trattamento.

Vediamo dunque le maggiori novità del Regolamento in materia di sicurezza nel trattamento dei dati personali.

Innanzitutto il Regolamento impone che ciascun titolare del trattamento pubblico e privato nel “disegnare” i propri trattamenti debba tenere conto della tecnologia disponibile, dei costi di attuazione (importantissima specificazione considerando che non tutti i soggetti pubblici e privati hanno pari forza economica), nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche della probabilità e della gravità del rischio per i diritti e le libertà delle persone fisiche.

In pratica quindi, le scelte di ciascuna azienda e pubblica amministrazione devono partire da una analisi dei rischi che non potrà che essere guidata dalla “delicatezza” del trattamento. Sulla base dei rischi rilevanti e della valutazione probabilistica, si potrà allora valutare le tecnologie disponibili e il loro costo al fine di trovare il giusto equilibrio costo/tutela.

Inoltre, il Regolamento prevede che il titolare del trattamento debba mettere in atto opportune misure per garantire che siano trattati, di default, solo i dati personali necessari per ogni specifica finalità del trattamento. In pratica quindi occorre limitare il trattamento alle informazioni strettamente necessarie in considerazione della quantità dei dati raccolti, l’estensione del trattamento, il periodo di conservazione e la loro accessibilità.

Rispetto al tema stretto della sicurezza del trattamento dei dati personali il Regolamento abbandona il concetto di misure minime di sicurezza (oggi Allegato B al d.lgs 196/03) per spostare decisamente il focus normativo sul concetto di idoneità.

Si prevede infatti che la pubblica amministrazione o l’azienda, tenuto conto dei medesimi criteri sopra indicati (tecnologia disponibile, costi di attuazione, natura, oggetto, contesto e finalità del trattamento, rischio) debba mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato, tra cui (riportando solo alcune voci) l’uso della criptazione dei dati personali; la capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi; la capacità di ripristinare la disponibilità e l’accesso ai dati in modo tempestivo quando necessario nonché una procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

In particolare l’ultimo passaggio appare quanto mai esplicativo della nuova filosofia normativa che vede il trattamento dei dati come un flusso da monitorare continuamente: il titolare del trattamento deve testare, verificare e valutare regolarmente se quanto posto in essere in termini di sicurezza sia adeguato o meno.

Altra novità assoluta, se si considera il perimetro di applicazione, è l’obbligo di segnalare le violazioni dei dati personali. Oggi tale obbligo è presente in parte nel mondo pubblico, in parte nel mondo sanitario (dossier) in parte nel mondo delle telecomunicazioni.

Con il Regolamento l’obbligo di segnalare le violazioni dei dati riguarderà tutti posto che la norma prevede che in caso di violazione dei dati personali, il titolare del trattamento ha obbligo di notifica all’Autorità di controllo senza ritardo, nel caso in cui sussista un rischio per i diritti e le libertà degli individui. La notifica deve avvenire, salvo casi particolari, entro 72 ore dalla violazione. Inoltre, quando la violazione dei dati personali rischia di pregiudicare i diritti e le libertà dell’individuo, il titolare del trattamento deve comunicare la violazione all’ interessato coinvolto. Tuttavia, per evitare che la semplice segnalazione risulti già essere una condanna anche solo sotto il profilo dell’immagine, il Regolamento prevede che non è richiesta la comunicazione di una violazione dei dati personali all’interessato se il titolare del trattamento dimostra all’Autorità di controllo che ha utilizzato opportune misure tecnologiche di protezione e tali misure erano state applicate ai dati personali oggetto della violazione. In pratica quindi il Regolamento aiuta a limitare effetti dannosi dovuti a una violazione se la Pubblica Amministrazione o l’azienda si sono comportate comunque in modo virtuoso.

Infine qualche parola sul responsabile della protezione dei dati, nuova figura introdotta dal Regolamento. Trattasi di una figura con compiti di informazione e consiglio, monitoraggio e supporto e di interfaccia con le autorità. Non è figura che possa avere compiti decisionali o interpretativi della normativa.

Pochi (e non sempre chiarissimi) sono i casi in cui tale figura deve essere presente e, in particolare, quando:

• le attività principali del Titolare o del responsabile consistono in trattamenti che richiedono il controllo regolare e sistematico dei dati degli interessati (settore telecomunicazioni?);
• le attività principali del Titolare del trattamento o del Responsabile consistono nel trattamento di categorie particolari di dati (relativi all’origine razziale o etnica, convinzioni politiche o religiose, appartenenza a sindacati, dati genetici o biometrici che riguardino salute, vita sessuale o orientamento sessuale) o di dati relativi a condanne penali e reati (sicuramente primo fra tutti il settore sanitario);
• il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione dei tribunali nell’esercizio delle funzioni giurisdizionali.