, , ,

Profilassi e Psicosi, Privacy e Protocolli ai tempi del Coronavirus. Trattamenti di dati illeciti e autocertificazioni, diritti fondamentali e rispetto del GDPR

di Giacomo Conti e Giordano Serrra

Più contagiosa che la peste, la paura si diffonde in un batter d’occhio”. – Nikolaj Gogol

Coronavirus”, “Privacy”, ”Tracciamento degli spostamenti”, “droni per la videosorveglianza dei cittadini” “Limitazioni delle libertà fondamentali” and so on…

Quali sono i leit motif dietro a queste affermazioni?

Una scomposizione a fattore comune delle seguenti affermazione sottende quattro elementi fondamentali solo apparentemente scollegati fra di loro: psicosi, profilassi, protocolli e privacy.

Analizziamo, quindi, la relazione fra questi fattori: La stampa ha contribuito a creare un clima generale di ansia e psicosi collettiva inondandoci di dati sul contagio da Coronavirus a mo’ di bollettino di guerra (psicosi), il Governo e le Autorità Locali, come reazione alla psicosi creatasi hanno posto in essere misure di contenimento, più o meno maldestre, per contrastare il fenomeno del contagio aumentando la psicosi (profilassi). In questo contesto critico, hanno proliferato iniziative, pubbliche e private, che hanno inciso sui nostri spostamenti e su altri nostri diritti fondamentali compresa, la privacy intesa nel suo senso più puro: ossia il nostro diritto a non vedere invasa la nostra sfera privata da indebite ingerenze pubbliche e private (right to be left alone).

Tutti noi dovremmo sacrificare, del resto, una parte dei nostri diritti fondamentali a favore del bene collettivo e comune e per evitare la propagazione del contagio.

Tuttavia, sorge spontaneo chiedersi se davvero le iniziative pubbliche e private che sono proliferate limitando i nostri diritti fondamentali siano funzionali a raggiungere il bene comune oppure se le profilassi “fai da te” siano frutto di una poco funzionale psicosi che limita inutilmente i nostri diritti e contribuisce ad aumentare il clima di psicosi generale.

Molte Pubbliche Amministrazioni e Imprese private hanno elaborato spontaneamente, a mo’ di anticorpi al Covid-19, moduli autocertificazione attraverso i quali raccolgono numerosi dati sullo stato di salute dei propri dipendenti, dati relativi agli spostamenti dove viene richiesto di dichiarare di non avere visitato le cosiddette “zone rosse”, dati relativi alla situazione familiare dove si richiede di non aver avuto contatto con coloro che vivono o sono stati in tali zone e, da ultimo, di non aver registrato una temperatura corporea superiore ai 37,2 C° nelle ultime due settimane.

Si pone quindi l’interrogativo se questi “anticorpi” di dubbia utilità e funzionalità che incidono sulla privacy di milioni di persone siano stati elaborati da corrette prassi di profilassi oppure se siano una risposta maldestra al fenomeno di psicosi che si è venuto a creare.

Queste prassi, i cui problemi sono evidenti, hanno richiesto l’intervento istituzionale da parte del Garante della Protezione dei Dati Personali.

L’Autorità ha, in primo luogo, chiarito che il trattamento dati per finalità di prevenzione dalla diffusione del Coronavirus deve essere svolto da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato. In questo senso, l’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

In secondo luogo, è stato precisato che i datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. Il tutto, fermo l’obbligo del lavoratore di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro

Il Garante non ha, però, chiarito il dubbio fondamentale che veniva posto, ossia se anche i datori di lavoro possano trattare per finalità legate alla tutela della salute e sicurezza sul lavoro i dati, anche di carattere particolare, relativi all’infezione di Covid-19.

In questo senso, è venuto in parziale soccorso l’EDPB (European Data Protection Board o Comitato Europeo per la Protezione dei Dati) che ha fornito parziali delucidazioni su questo delicato aspetto.

Andrea Jelinek, l’attuale presidente del Comitato, ha precisato che “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.” In lingua italiana:“Le norme sulla protezione dei dati (come il GDPR) non ostacolano le misure prese nella lotta contro la pandemia di Coronavirus. Tuttavia, vorrei sottolineare che, in questi tempi eccezionali, il Titolare del trattamento dei dati deve garantire la protezione dei dati personali degli interessati. Pertanto, numerose considerazioni dovrebbero essere assunte per garantire il trattamento legale dei dati personali”.

Una corretta applicazione del GDPR esige, pertanto, una limitazione dei dati personali degli interessati al trattamento, ma questo non si può risolvere in una indiscriminata invasione della sfera personale del dipendente e, pertanto, queste iniziative fai da te devono essere arginate o, meglio, gestite nel rispetto della legalità e del principio di accountability.

Giusta, pertanto, la considerazione del Garante che inibisce le “iniziative autonome che prevedano la raccolta di dati anche sulla salute di utenti e lavoratori che non siano normativamente previste o disposte dagli organi competenti”.

Il Governo, avvertendo l’esigenza di contemperare il diritto alla privacy con quello alla salute dei soggetti interessati, ha adottato il cosiddetto “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro”, anche passando attraverso le rappresentanze sindacali.

Il Protocollo concede ai datori di lavoro la possibilità di rilevare la temperatura corporea del personale, suggerisce alcuni accorgimenti nelle modalità di raccolta e conservazione dei dati.

Le disposizioni del protocollo invitano, in particolare, stabiliscono che il Titolare deve:

– conservare il dato raccolto non oltre il termine necessario e, comunque, non oltre il tempo giustificato per fare fronte all’emergenza (limitazione del tempo del trattamento),
– fornire immediatamente un’informativa sul trattamento dei dati ad hoc (trasparenza),
– individuare immediatamente il personale da impiegare per la raccolta del dato particolare, a procedere con la sua formazione e ad attuare senza ritardo tutte quelle contromisure idonee a proteggere i dati conservati (misure tecniche e organizzative).

Da ultimo, in caso di allontanamento dell’interessato dal luogo di lavoro per esigenze legate alla tutela della salute, questa delicata operazione deve essere effettuata con estrema delicatezza nel rispetto della dignità umana del dipendente.

A ben vedere, il Protocollo non rappresenta altro che una declinazione dei principi generali del GDPR che vengono declinati per fare fronte all’emergenza Covid-19 e si basa, in particolare, sui principi di accountability e di minimizzazione dei dati raccolti e del tempo della conservazione e di legalità del trattamento.

Fermo il rispetto delle regole imposte dal Protocollo, per rispettare le norme a protezione dei dati personali occorre, rispettare le norme dettate dal GDPR e dal buon senso.

In questo senso, sarà opportuno:

– mappare il trattamento a registro che dovrà essere debitamente aggiornato,

– adottare procedure organizzative adeguate a fronteggiare i rischi per i diritti e per le libertà fondamentali degli interessati che il trattamento dei dati da infezione Covid-19 pone,

– effettuare, verosimilmente, una valutazione di impatto,

– sentire il parere del DPO ove nominato o di un esperto della materia per gestire le criticità derivanti dal trattamento.

In altri termini, nulla di diverso da quanto ci richiedeva, già prima dell’affermarsi dell’emergenza Covid-19, il GDPR che, mai come in questi frangenti, rappresenta un baluardo dei nostri diritti fondamentali.

/da
, , , , , ,

Cookie Law e General Data Protection Regulation. Nell’attesa del Regolamento e-Privacy

di Anna Lucia Calò

Information Society, Personal Data e Cookie o identificativi di altro tipo

Il rapporto tra Cookie Law e General Data Protection Regulation in attesa del Regolamento e-Privacy

La crescita della Information Society è contraddistinta dall’emergere di nuovi servizi di comunicazione elettronica, e i beni di primaria importanza, nella moderna società dell’informazione, sono i dati personali, ovverosia, qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»).
Identificabile è la persona fisica che, può essere individuata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un “identificativo online” o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Le persone fisiche – come evidenziato nel considerando 30 del GDPR – possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookie) o a identificativi di altro tipo.
Questi identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere impiegate per realizzare profili delle persone fisiche e identificarle.

I c.d. cookie, nati come dispositivi semplificativi e agevolativi della navigazione online, sono usati per differenti e molteplici finalità e, nel linguaggio normativo, sovente, sono definiti “marcatori”.
I cookie – come spiega il Garante per la Protezione dei Dati Personali, nel provvedimento
n. 229 dell´8 maggio 2014 – sono stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. “terze parti”), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando”.

L’impiego dei cookie è regolamentato dalla Direttiva europea n.58/2002 – nota come Cookie Law o Direttiva e-Privacy – relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche.
Comprendere i motivi soggiacenti il varo di questa direttiva – contenente specifiche e precise guidelines nell’ambito del trattamento dei dati personali con i c.d. mezzi elettronici – non è difficile, e comunque, emergono, distintamente, solo anatomizzando il considerando 5, in cui il legislatore europeo, pone in evidenza che: “nelle reti pubbliche di comunicazione, l’introduzione di nuove tecnologie digitali avanzate pongono esigenze specifiche con riguardo alla tutela dei dati personali e della vita privata degli utenti.”
Non solo, nel medesimo considerando, è specificato molto chiaramente che: “l’accesso alle reti digitali mobili è ormai a disposizione e alla portata di un vasto pubblico. Queste reti digitali hanno grandi capacità e possibilità di trattare i dati personali.”
E, in ultimo, indica che: “il positivo sviluppo transfrontaliero di questi servizi dipende in parte dalla fiducia che essi riscuoteranno presso gli utenti in relazione alla loro capacità di tutelare la loro vita privata”. I servizi di comunicazione elettronica, accessibili al pubblico attraverso Internet, schiudono nuove opportunità agli utenti ma, implicano anche nuovi rischi per i loro dati personali e la loro vita privata, come puntualizzato nel successivo considerando 6 della direttiva n.58/02.

A distanza di anni dall’adozione della Cookie Law, nel 2016 è entrato in vigore un General Data Protection Regulation (n.679/16), notoriamente celebre con l’acronimo GDPR, che ha rinnovato e riformulato, totalmente, la normativa in materia di data protection. Quindi, allo stato attuale, come si pone, la direttiva e-privacy rispetto al GDPR?

Dunque, per il momento, è la Direttiva e-Privacy 2002/58/CE – modificata nel 2009 dalla Direttiva 136/CE – a regolamentare e disciplinare l’uso dei cookie e il consenso al loro utilizzo, e questo sia prima del GDPR sia dopo la sua piena attuazione – 25/5/18 – e fino al momento in cui non sarà adottato il nuovo Regolamento e-Privacy che, sostituirà l’attuale direttiva che, non è stata assolutamente abrogata o modificata dal GDPR.
Non a caso, l’art. 95 del GDPR (Rapporto con la direttiva 2002/58/CE) precisa che, il GDPR non impone obblighi supplementari alle persone fisiche o giuridiche in relazione al trattamento nel quadro della fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione nell’Unione, per quanto riguarda le materie per le quali sono soggette a obblighi specifici aventi lo stesso obiettivo fissati dalla direttiva 2002/58/CE.
La Cookie Law, precisa ed integra il GDPR, al fine di tutelare la vita privata e la riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche, dato che, le strumentazioni terminali degli utenti di reti di comunicazione elettronica e ogni informazione memorizzata in tali apparecchiature, fanno parte della sfera privata dell’utente.

Gli obblighi della normativa europea in materia cookie sono stati recepiti in Italia, con il d.lgs.69/12, che ha riformulato l’art. 122 (Informazioni raccolte nei riguardi dell’contraente o dell’utente) del d.lgs. 196/2003, e, l’unica modifica apportata all’art.122, con il d.lgs.101/18, consiste nella soppressione del riferimento “all’articolo 13, comma 3 del d.lgs.196/03″.
Per la corretta regolamentazione di tali dispositivi, è necessario distinguerli sulla base delle finalità perseguite da chi li utilizza e, in tale direzione si è mosso il legislatore italiano, che, ha ricondotto l’obbligo di acquisire, il consenso preventivo e informato degli utenti on-line, all’installazione di cookie utilizzati per finalità diverse da quelle “meramente tecniche”.

Al riguardo – come indica il Garante nel provv.
n. 229/14 – si individuano due macro-categorie: cookie tecnici e cookie di profilazione. In breve, per l’installazione dei cookie tecnici, non è richiesto il consenso degli utenti ma è necessario fornire l’informativa ex art. 13 del GDPR, mentre, i c.d. cookie di profilazione, possono essere installati sul terminale dell’utente, esclusivamente se questo abbia manifestato il proprio consenso, dopo essere stato informato con le c.d. modalità semplificate, indicate dal Garante nel medesimo provvedimento, relativo, infatti, all’individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie.

Nello specifico, l’art.122, comma 1, del d.lgs.196/03, dispone che, l’archiviazione delle informazioni nell’apparecchio terminale di un contraente o di un utente o l’accesso a informazioni già archiviate (cookie di profilazione) sono consentiti – unicamente – a condizione che il contraente o l’utente abbia espresso il proprio consenso* dopo essere stato informato con modalità semplificate e, ai fini dell’espressione del consenso ex art.122, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l’utente.
Gli obblighi di informativa e consenso per l´uso dei cookie, incombono sul titolare del sito web che installa i cookie di profilazione, mentre, per i c.d. cookie di terze parti – installati tramite il sito – gli obblighi di informativa e consenso, gravano sulle terze parti, ma il titolare del sito – intermediario tecnico tra le terze parti e gli utenti – è tenuto a inserire nell´informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse, come indica e specifica il Garante nel provvedimento n. 229 dell´8 maggio 2014.

Ciò – continua l’art.122, comma 1 del d.lgs.196/03 – non vieta l’eventuale archiviazione tecnica o l’accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio (cookie tecnici).
A questo riguardo, è opportuno precisare che, le disposizioni dettate in tema di informativa e consenso per i cookie tecnici, valgono anche per i c.d. cookie analytics, solo nelle ipotesi in cui, questi ultimi sono impiegati a “fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito” (cfr. prov.n.229/14 del Garante).
Salvo quanto previsto dal comma 1 dell’art.122, con riferimento ai cookie tecnici e di profilazione, è – comunque – vietato l’uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell’apparecchio terminale di un contraente o di un utente, per archiviare informazioni o per monitorare le operazioni dell’utente.

L’art. 122 del d.lgs. 196/2003, trova applicazione per tutti i siti web che installano cookie sui terminali degli utenti, utilizzando per il trattamento, strumenti siti sul territorio dello Stato, a prescindere dalla presenza di una sede nel territorio.
Le violazioni delle disposizioni di cui all’art.122, sono soggette alla sanzione amministrativa di cui all’articolo 83, paragrafo 5, del GDPR, come previsto dall’art. 166 – Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori – del Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679.

Come noto, l’applicazione della Direttiva UE n.58/02 – relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche – negli Stati UE non è unitaria, tuttavia, la Cookie Law o Direttiva e-Privacy, come anticipato, è destinata ad essere sostituita dal Regolamento e-Privacy, attualmente ancora in fase di esame, che, a differenza della direttiva, non necessiterà di un provvedimento di recepimento interno da parte di ogni singolo Stato UE, ma esattamente come la direttiva che andrà a sostituire, opererà di concerto con il GDPR, e, rientra nel novero delle misure dirette alla realizzazione del “Digital Single Market”, poiché mira ad assicurare la funzionalità e la sicurezza dei servizi digitali, quindi, una migliore protezione della sfera privata e anche nuove opportunità economiche.

*Per chi volesse esaminare in modo approfondito la tematica relativa alla dichiarazione di consenso con riferimento ai cookie, mi riporto al testo della Sentenza della Corte – Grande Sezione – del 1° ottobre 2019 (Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV contro Planet49 GmbH.
Rinvio pregiudiziale – Direttiva 95/46/CE – Direttiva 2002/58/CE – Regolamento (UE) 2016/679 – Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche – Cookie – Nozione di consenso dell’interessato – Dichiarazione di consenso mediante una casella di spunta preselezionata. Causa C-673/17) reperibile al seguente url: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62017CJ0673.

/da
, , , , ,

L’INDIRIZZO IP E’ UN DATO PERSONALE?

di Alessandro Bottonelli

 

Secondo la Commissione Europea, parrebbe di si (V. risposta ufficiale). Eppure chi avesse interpretato che da solo un Indirizzo IP è “dato personale” ha forse preso una abbaglio? Notare che si considerano dati personali tutte le informazioni relative a una persona vivente identificata o identificabile. Anche le varie informazioni che, raccolte insieme, possono portare all’identificazione di una determinata persona costituiscono i dati personali”. Notare il raccolte insieme. Dopo la premessa, segue una lista esemplificativa di possibili dati personali, fra cui spicca: “un indirizzo IP”. Le informazioni della lista d’esempio sono individualmente “dati personali”? O sono tali quando sono informazioni che assemblate fra loro identificano una persona fisica? (v. ancora il raccolte insieme).

La tesi dell’autore è che da solo un indirizzo IP non identifica una persona fisica. Nella migliore delle ipotesi, e non sempre, identifica una macchina o meglio un sistema (PC, Server, Stampante, Disco di Rete, Router, qualunque cosa). Di per sè l’indirizzo IP non ci dice nulla della “persona” (fisica!) dietro al o ai sistemi¦ quando una persona c’è! (v. IoT, domotica ed altro).

Legare un IP pubblico ad un interessato (persona fisica: individuo appartenente alla specie homo-sapiens) richiede molti altri dati da correlare fra loro temporalmente e logicamente. E quasi mai oltre ogni ragionevole dubbio. Molti di questi altri dati sono accessibili solo alle c.d. “LEA” (Law Enforcemente Agencies) a fronte di specifiche circostanze e mandati. Da notare che le “LEA” sono escluse dal campo di applicazione (o “scope“) del GDPR. Anche per un’azienda di qualunque dimensione è difficile legare con assoluta certezza un IP privato delle proprie reti interne ad una persona fisica. Anche quando (quando?) si raccolgano a norma i log.

In sintesi: un indirizzo IP da solo non è, di per sé, dato personale: difficile da esso identificare univocamente una persona fisica. Servono altri dati.

A supporto di questa tesi occorre una spiegazione tecnica: che si spera d’aver reso il più possibile accessibile a tutti. Un indirizzo IP è ¨ la proprietà   di uno o più sistemi. Non è una proprietà dell’interessato che forse sta usando il sistema: se c’è¨ almeno un umano dietro al sistema. Non è neanche una proprietà della o delle macchine che compongono il sistema. E spesso è una proprietà volatile, non fissa nel tempo (i c.d. “ip dinamici”). Per parafrasare: sarebbe come sostenere che la “targa”, e non necessariamente permanente, di una automobile identifichi il suo guidatore. O, peggio, sostenere che la targa, mutevole, di un autobus identifichi tutti i suoi passeggeri (quando più¹ sistemi condivisi da più¹ persone condividono lo stesso IP).Per esemplificare e semplificare, prendete il vostro PC (ma vale per qualunque sistema/macchina: un server, una WebCam, un Televisore, ecc.).

Fig. 1 – la “pila” o “catena” apri in nuova scheda

Fate riferimento alla figura 1. Pensate al PC o qualunque altro oggetto di rete. Da spenta la macchina è un semplice “pezzo di ferro”, senza alcuna proprietà e men che meno un indirizzo IP. Da acceso il pezzo di ferro diventa sistema grazie al Sistema Operativo “OS” installato sulla macchina, non importa quale OS, anzi, una singola macchina potrebbe diventare più sistemi (questione qui non approfondita) che condividono lo stesso indirizzo IP. Fra le tante cose che fa, l’OS inizializza la c.d. Scheda di Rete (NIC o “Network Interface Card“), di qualunque natura essa sia: wifi, cablata o altro. Per i puristi: la NIC ha, anzi avrebbe, una proprietà unica di fabbrica chiamata MAC-Address, peccato che esso sia riprogrammabile dall’OS e serva solo alla rete locale, quindi è un’informazione che va perduta oltre il primo router: quindi la NIC non identifica neanche il pezzo di ferro. Finita di inizializzare la NIC, il Sistema Operativo (forse!) associa alla NIC un “indirizzo IP” della rete locale, ma anche due, tre o dieci indirizzi IP: nulla lo impedisce. Concluso tutto questo processo, il sistema (non la macchina, non i suoi utenti!) ha uno o più indirizzi IP. Che sia stato o meno riprogrammato, il MAC-Address è “informazione perduta”: non arriva ad InterNet. È probabile che il sistema o sistemi della rete locale subiscano il c.d. “NATting”: tutto e tutti si presentano ad internet con un solo indirizzo IP pubblico. Le informazioni MAC-Address e IP address della rete locale sono andate perdute.

In conclusione. Organizzazioni con uno o migliaia di sistemi “dentro” la propria rete locale si presentano ad Internet con un unico indirizzo IP: come si lega quell’indirizzo al o agli umani, se ce ne sono, che stanno usando quell’indirizzo? Come anticipato, si può fare: ma è¨ un esercizio difficile proprio come provare a legare la targa (mutevole!) di un autobus a tutti i suoi passeggeri! O, peggio, tentare di legare il codice radio di una nave traghetto che trasporta più autobus prima agli autobus e poi ai passeggeri di ogni autobus.

In realtà , la parafrasi è imperfetta. È più facile per una “LEA” (Law Enforcement Agency”) legare il codice radio della nave traghetto agli autobus attraverso il manifesto di carico della nave e con qualche altro passaggio arrivare ai passeggeri degli autobus. Il codice radio del traghetto e le targhe degli autobus sono statici. Invece gli indirizzi IP (le targhe e codici radio della parafrasi) sono spesso volatili: rendendo l’esercizio ben più complicato.

/da
, , , ,

Aggiornamenti e vulnerabilità del sistema Linux. Bug, Access Point e Wi-Fi.

di Paolo Montali

 

L’overflow del buffer può essere attivato nei chip Wi-Fi Realtek

Qualsiasi Software, allo stato attuale delle cose, presenta delle vulnerabilità. Per vulnerabilità, si intendono delle debolezze che vengono (spesso) inconsapevolmente create dagli sviluppatori e che possono essere utilizzate da parte di malintenzionati per entrare all’interno di un sistema.

Questo è noto agli sviluppatori, per cui le case di software si preoccupano, nei loro reparti di ricerca e sviluppo, di miigliorare gli aspetti di sicurezza e in generale di andare ad eliminare mano a mano le vulnerabilità e in generale qualsiasi tipo di “bug” che si sia manifestato o sia stato rilevato, in fase di testing, così come a seguito delle segnalazioni da parte dei Clienti/utilizzatori.

I “bug” sono ancora più pericolosi nei sistemi di connettività o di networking, in quanto, vista la loro funzione di apparati per l’interconnessione di computer, possono consentire di aprire delle porte che dovrebbero restare chiuse.

Questo è il motivo per cui è fondamentale tenere aggiornati tutti i sistemi ad ogni livello, dai BIOS o firmware dei Computer e dei vari dispositivi di networking, ai Sistemi Operativi, a tutti gli applicativi utilizzati sui computer, fino agli ERP o sistemi gestionali.

Oggi ci occupiamo del problema del mancato aggiornamento degli apparati Wi-FI con CHIP Realtek.

Le reti Wi-Fi sono una grande comodità, ma spesso ci dimentichiamo che anche questi apparati sono dotati di software per funzionare. A bordo hanno un sistema operativo (Linux) sul quale vengono implementati dei software per l’implementazione degli standard di comunicazione e per la gestione delle regole di connettività.

E’ stato verificato che gli Access Point con CHIP Realtek non patchati possono essere attaccati sfruttando le onde Wi-Fi, causando l’overflow nel buffer del nucleo (kernel) del Sistema Operativo Linux e creando il blocco o il controllo totale da parte dell’attaccante, dei computer connessi.

Il bug rilevato, si trova nel driver RTLWIFI, che viene utilizzato per gestire i chip Wi-Fi Realtek. La vulnerabilità causa un overflow del buffer nel kernel Linux quando una macchina con un chip Wi-Fi Realtek si trova nel raggio di azione di un dispositivo “malevolo”.

E’ stato verificato che come minimo, gli exploit possono causare un arresto anomalo del sistema operativo e possono consentire a un hacker di ottenere il controllo completo del computer connessi. Il difetto risale alla versione 3.10.1 del kernel Linux rilasciato nel 2013.

Purtroppo sappiamo bene che ci sono molti dispositivi che non vengono aggiornati, per cui potremmo avere nei nostri uffici o nelle nostre case dispositivi con questo bug.

‘Il problema è serio’, ha detto ad Ars Nico Waisman, un ingegnere capo della sicurezza presso Github. ‘È una vulnerabilità che, nei sistemi che utilizzano il driver Realtek (RTLWIFI), attiva un overflow in remoto tramite Wi-Fi sul kernel Linux.

La vulnerabilità è stata denominata CVE-2019-17666. Gli sviluppatori hanno proposto una correzione intorno alla metà del mese di Ottobre 2019, che probabilmente verrà incorporata nel kernel del sistema operativo nei prossimi giorni o settimane. Solo dopo ciò la correzione si farà strada in varie distribuzioni Linux.

/da
, , ,

LASCIATE OGNI SPERANZA VOI CHE TRATTATE DATI PERSONALI. CHE COSA DEVE REALMENTE TEMERE CHI NON RISPETTA IL GDPR?

di Giacomo Conti

 

Il GDPR è stata una norma, per molti aspetti, molto mal compresa che ha destato una significativa ed ingiustificata paura e incomprensione fra titolari e responsabili del trattamento nonché fra gli stessi consulenti ed operatori del diritto.

Si è assistito, infatti, a prassi poco virtuose – per usare un eufemismo – fra cui spiccano consulenze difensive finalizzate a creare inutili e vuoti scudi di carta e inutile formazione, nonché terrorismo psicologico operato al solo fine di lucrare sulla paura innestata da questa nuova norma. Molti hanno anche sospeso trattamenti pienamente legittimi per paura di improbabili sanzioni.

Questa paura è frutto, principalmente, di una cattiva interpretazione e, soprattutto, del temutissimo art. 83 GDPR il quale stabilisce che le sanzioni derivanti da una violazione della normativa possono raggiungere cifre molto significative che possono ammontare fino a 20 Milioni di Euro oppure al 4% del fatturato mondiale annuo.

Molti hanno interpretato la disposizione nel senso che anche la PMI con un fatturato annuo di qualche milione di Euro che si limita a trattare i dati dei propri dipendenti su scala non elevata potrebbe essere sanzionata per milioni e milioni di Euro in caso di violazione del GDPR e pertanto: “Guai a voi che non vi adeguate!”.

Giusto?” In realtà non può esserci un’interpretazione peggiore della disposizione in esame e, è doveroso precisarlo, una veloce lettura delle Guidelines on Fines dell’EPBD (ai tempi Working Party 29) e una comprensione sommaria del case based aproach alla base dell’applicazione della sanzione avrebbe dovuto condurre chiunque a giungere a differenti conclusioni.

Come si evince da una lettura, sempre superficiale dei considerando al GDPR, emerge come la norma sia espressione di un basilare principio di civiltà e sia nata per garantire la circolazione del dato personale nel rispetto dei diritti fondamentali della persona fisica in una società sempre più tecnologica che si basa sempre di più su uno scambio di dati personali contro servizi.

Tenuto conto di queste coordinate interpretative è autoevidente come non sia la sanzione pecuniaria il principale pericolo che corrono titolari e responsabili di trattamento posto che il GDPR, evidentemente, non è nato per punire imprenditori ed operatori economici che trattano dati personali.

Del resto, è evidente come sia facile per grandi realtà e per operatori OTT accantonare fondi e risorse per fare fronte ad eventuali sanzioni oppure rincarare il prezzo di alcuni dei loro beni o servizi senza subire un grande danno.

Se, da un lato, l’art. 83 GDPR è sopravvalutato; dall’altro, si parla troppo poco dell’art. 58 GDPR e dei poteri conformativi e inibitori di cui sono dotate le Autorità Garanti che possono anche imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento.

Una sanzione di questo tipo, al contrario di una sanzione pecuniaria, ha un effetto letteralmente paralizzante sul business e può determinare un vero e proprio fallimento di società e startup che si basano su un trattamento illecito dei dati personali.

Si pensi, ad esempio, ad un’applicazione che raccoglie online dati di natura medica senza chiedere il consenso per il trattamento di dati idonei a rivelare la salute dell’interessato e senza informare adeguatamente gli interessati (magari addirittura omettendo un’informativa in lingua italiana) e senza valutare in alcun modo i rischi per i soggetti coinvolti nel trattamento.

Inutile dire come nessuna sanzione economica potrebbe essere adeguatamente punitiva e come solo un divieto di trattamento, con conseguente chiusura del business, potrebbe tutelare adeguatamente gli interessati. Ugualmente, un eventuale ordine di sospendere i flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale può avere conseguenze disastrose per un’organizzazione aziendale.

Si pensi, in secondo luogo a un grosso gruppo che perde il controllo dei dati dei propri clienti rischia di perdere la fiducia di questi e di vedere pregiudicata la sua immagine e reputazione se i clienti arrivano a percepire che le loro informazioni personali non sono adeguatamente protette.

Un pregiudizio reputazionale e una perdita di clientela, sicuramente, rappresenta un pregiudizio per il business più significativo di una qualunque sanzione pecuniaria.

/da
, , ,

UN CONSENSO PER UNO E UNO PER TUTTI. UNA CORRETTA APPLICAZIONE DEL PRINCIPIO DI IRRESPONSABILIZZAZIONE.

di Giacomo Conti

 

Il consenso è solo una fra le basi giuridiche che il GDPR prevede come condizione di liceità del trattamento. Esso non è, tuttavia, né la principale né, tantomeno, è indispensabile per legittimare ogni trattamento operato dall’organizzazione aziendale.

Se è vero che il vecchio Codice della privacy dava al consenso una particolare importanza al consenso, nel nuovo impianto normativo il consenso è solo una delle basi giuridiche e, a ben vedere, anche la più difficile da gestire.

In primo luogo, il consenso deve esprimersi una libera manifestazione di volontà, specifica informata e inequivocabile e presuppone che venga fornita all’interessato un’informativa resa con modalità idonee.

Un consenso non può essere generico, ma è un’operazione delicata che presuppone un’analisi specifica dei trattamenti realizzati. Raccogliere consenso è, pertanto, un’operazione ben più gravosa che non limitarsi a rendere idonea informativa all’interessato.

Il consenso, infatti, non è un atto del titolare, ma un atto di volontà dell’interessato che deve essere raccolto e adeguatamente documentato dal Titolare tenuto conto del contesto in cui si articola del trattamento.

La raccolta del consenso non è, pertanto, in alcun modo sostitutivo dell’obbligo di trasparenza e di informativa, ma è un obbligo ulteriore che deve essere adeguatamente gestito da parte del titolare del trattamento e che non può prescindere da una corretta informativa.

Basare un trattamento sul consenso espone, pertanto, il titolare al rischio che l’interessato, liberamente e in qualsiasi momento, possa revocarlo facendo venire meno la base di legittimità del trattamento.

Particolarmente rischioso è, quindi, basare il trattamento sul consenso se questo è necessario per eseguire una misura contrattuale oppure risponde a esigenze di legittimo interesse del titolare come, ad esempio, la conservazione dei dati nei propri archivi.

In queste ipotesi, nel caso in cui l’interessato revocasse il proprio consenso al trattamento, l’organizzazione avrebbe il non trascurabile problema di individuare una nuova base giuridica per continuare a trattare i dati dell’interessato con la conseguenza che ogni dato trattato rischierebbe, in ogni caso, di essere inutilizzabile.

Emerge, pertanto, come il consenso più che panacea per risolvere ogni mal di GDPR, dovrebbe essere, al contrario, richiesto solamente dopo un’analisi approfondita della base giuridica del trattamento ed essere utilizzato in via residuale dove il trattamento non sia giustificato dall’esecuzione di misure contrattuali o precontrattuali o non si fondi su un legittimo interesse del titolare.

/da
, , , ,

INSIDER HACKER, RISORSE UMANE E ASSETTI ORGANIZZATIVI. I PERICOLI PER LA SICUREZZA POSTI DAI DIPENDENTI.

di Nadia Zabbeo

 

L’art. 32 del GDPR impone al titolare di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che riguardano non solo gli asset tecnologici, ma anche le risorse umane.

Le misure organizzative non devono, quindi, limitarsi alla semplice modifica dell’organigramma con l’inserimento delle divisione privacy.

Il dipendente è, molto spesso, “l’anello debole della catena” nella protezione dei dati in azienda.

L’errore umano, infatti, può essere dovuto ad una mancanza di idonea cultura e formazione o mancanza di chiare istruzioni da parte del titolare (carenze organizzative), altre per disonestà o per spirito di ritorsione nei confronti dell’organizzazione aziendale.

Quest’ultima affermazione merita indubbiamente una considerazione a sé stante in quanto, secondo il Verizon Insider Threat Report, i dipendenti sono spesso gli autori di data breach rendendosi colpevoli consapevolmente o meno, di azioni illecite quali: accessi abusivi; violazione e diffusione di dati comuni e particolari mettendo a repentaglio le misure di sicurezza adottate dall’azienda.

Il report di Verizon ha messo in evidenza che, tra altre cause (negligenza, distrazione, competenze non idonee, scopi di lucro), l’insider che abusa dei privilegi di accesso per compire azioni illecite è spesso un dipendente insoddisfatto, che si ritiene in qualche modo leso nei suoi diritti, o non sufficientemente considerato e, di conseguenza, desideroso di arrecare danno all’organizzazione.

Il contratto di assunzione non è solo una formalità burocratica e una definizione di qualifica, job description, retribuzione che regola solo aspetti economici, ma ha forti ripercussioni psicologiche sul soggetto assunto che si forma aspettative di carriera in sede di assunzione piuttosto che durante l’esecuzione del rapporto o durante gli avanzamenti di carriera.

Pertanto, una promessa disattesa, la mancanza di prospettive di carriera, di avanzamenti o incrementi salariali, o, nel peggiore dei casi, oggetto di mobbing/bossing generano insoddisfazione e, per l’effetto, un potenziale inside hacker.

L’utilizzo di molestie psicologiche per indurre un dipendente alle dimissioni è espressione di una carenza culturale e organizzativa ed opera in base a modelli che enfatizzano valori estremamente accentrati ai vertici in modalità top-down suscettibile, peraltro, di conseguenze significative per il datore di lavoro e per l’ente sul piano civile e penale.

In casi come questi, ci troviamo di fronte, quasi sempre, a modello organizzativi obsoleti, spesso funzionali con enfatizzazione di ruoli di comando e di potere, molto gerarchici, con numerosi ruoli di staff privi di ogni iniziativa decisionale e compiti di ausilio operativo, mansioni ripetitive e alienanti. Il modello organizzativo funzionale è il più “datato” ma anche il più conosciuto ed adottato specie dalle PMI, tuttavia, è destinato ad entrare in crisi con il GDPR.

Per avere una catena solida a livello di sicurezza e di valore occorre rafforzare gli “anelli deboli”.

Questi vengono sfruttati, infatti, dai pirati informatici come vulnerabilità e le azioni intraprese da questi criminali possono riguardare, anche, la corruzione dei dipendenti scontenti.

È necessario, pertanto, riprogrammare l’organizzazione, cominciando  dall’analisi di clima condotta attraverso l’ausilio di consulenti esterni che abbiano un approccio “olistico” e competenze che  spaziano dall’organizzazione aziendale, alla gestione risorse umane fino ad una approfondita conoscenza del  GDPR.

/da
, , , , ,

Il caso Faceapp. Molto rumore per nulla?

Oggi Bill ha installato una nuova app sul suo smartphone: dicono possa prendere il suo volto e renderlo più vecchio, una sorta di predizione del futuro.

La installa senza indugio e si diletta con essa per giorni; usa le sue foto da bambino, quelle di lui alle medie e, perché no, anche quelle odierne; vuole vedersi da vecchio e pensare che sarà un uomo tutto sommato bello, ancora affascinante.

Il giorno dopo essersi sbizzarrito, però, Bill viene a scoprire dei retroscena spaventosi, a dir poco allarmanti: l’app, con sede in San Pietroburgo, utilizza le sue foto in modo “perpetuo, planetario, irrevocabile, senza obbligo di pagare alcuna royalty”.

Bill si collega dunque su Facebook e legge molti stati colmi di terrore e di rabbia scritti da utenti che, nel proprio profilo, specificano orientamento sessuale, data di nascita, indirizzo, dove studiano, cosa studiano, i locali e le persone che frequentano, i film che guardano, i partiti che votano.

Bill nota che c’è una grande attenzione da parte del pubblico inerente la questione, tanto da fargli credere che gli internauti abbiano preso più coscienza circa la rilevanza della propria privacy.

Ecco quindi che scorre la home di Facebook alla ricerca di qualche post che tratti dell’inquietante scoperta effettuata da alcuni ricercatori della Microsoft, i quali hanno dimostrato come i siti pornografici raccolgono i dati di navigazione degli utenti per poi venderli a Google e Facebook, o della sconcertante scoperta che Youtube (leggi Google, ndr) effettua un’indebita profilazione dei minori al fine di renderli oggetto di marketing diretto, ma, con grande rammarico, non ne trova nessuno.

La sorella di Bill appare preoccupata: “Chissà che fine orribile faranno le foto mie e delle mie amiche, una volta nelle mani dei russi!”. Bill prova dunque a spiegarle che le sue foto sono già in giro per il Pianeta da quando partecipò alla “Ten Years Challenge” qualche tempo fa, ma non riesce: la sorella è troppo impegnata a chiedere ad Alexa la posizione della farmacia più vicina che venda farmaci per combattere la candida.

Bill allora manda un messaggio a un suo amico che ha appena pubblicato uno stato carico di odio contro i russi e FaceApp; cerca di spiegargli che non è sensato imbracciare la vecchia carabina del nonno per ottenere giustizia per questo indecente attentato alla propria riservatezza, se prima non smette di sbloccare il suo smartphone tramite il riconoscimento facciale.

Bill sa che i suoi dati più sensibili sono già stati abbondantemente carpiti in malafede dalle multinazionali della Silicon Valley, le quali si autoproclamano gli araldi della tutela della privacy del mondo intero e che impongono termini di utilizzo del tutto simili a quelli di FaceApp .

Bill sa che quando si utilizza un servizio gratuito la moneta di scambio sono i suoi dati personali, pertanto usa questi strumenti con molta attenzione, ma non chiude il cancello ora che il bue è scappato.

Sii come Bill.

 

di Giordano Serra

/da
,

LA PROTEZIONE DEI DATI PERSONALI PER TITOLARI E RESPONSABILI DEL TRATTAMENTO. PRINCIPI GENERALI, ADEMPIMENTI NORMATIVI E TUTELA DEI DIRITTI. INTRODUZIONE DELL’AUTORE

Editore: Maggioli Editore

Collana: Privacy

Pubblicato: Marzo 2019

ISBN / EAN 8891625342 / 9788891625342

Con la presente pubblicazione, l’Autore mira a spiegare in maniera semplice ma efficace gli istituti, le novità introdotte ed i nuovi adempimenti che il GDPR “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/96/CE (regolamento generale sulla protezione dei dati)” impone a titolari e responsabili che trattano dati personali.
Troppo spesso accade che chi tratta dati professionali sia confuso in relazione a quali adempimenti sia tenuto ad operare ed a come realizzarli.
Se, da un lato, corre il rischio di non comprendere sul serio l’anima della norma e non ottemperare a quanto richiesto, dall’altro si rischia di realizzare adempimenti inutili ed onerosi come, ad esempio, la nomina di un DPO in casi dove la stessa né è imposta dalla legge né ha alcuna importanza strategica.
L’approccio richiesto dal GDPR è, infatti, non formalistico bensì sostanzialistico ed il principio di substance over form permea l’intero tessuto normativo.
Esso è alla base del principio di responsabilizzazione e indispensabile per assicurare un quadro di adeguate tutele per i diritti delle persone fisiche.
In questo senso, non si chiede di produrre carte, ma di implementare procedure per garantire il rispetto della normativa, non si deve scaricare responsabilità su terzi interni od esterni all’organizzazione aziendale, ma responsabilizzare e formare i soggetti che trattano dati personali in azienda e per conto del titolare e contrattualizzare gli obblighi all’interno di un apposito accordo fra le parti dove vengono regolati gli aspetti relativi al trattamento di dati personali nell’ottica di garantire sempre un’adeguata tutela agli interessati.
Da ultimo, non si deve ottemperare in una mera ottica di paura delle sanzioni, ma adempiere alla normativa anche nell’ottica di perseguire gli obiettivi di business aziendali attraverso l’implementazione di processi efficienti di trattamento dei dati personali che richiedono consapevolezza e responsabilizzazione in capo a chi tratta dati personali.
Il Regolamento Europeo è una norma estremamente complessa ed articolata che richiede, per essere adeguatamente affrontata, il necessario coordinamento di diverse figure professionali ed una sinergia di aspetti legali, gestionali e informatici.
I diversi professionisti coinvolti nella protezione dei dati personali, pur avendo competenze e pur parlando linguaggi diversi, si trovano, infatti, ad affrontare problematiche comuni.
Se, da un lato, sono presenti prassi di settore molto valide (come le Linee guida ENISA che vengono ampiamente illustrate nel volume) che forniscono Linee guida per operatori ed interpreti, dall’altro lato la giurisprudenza in materia non si è ancora consolidata.
Inoltre, il quadro complessivo della materia è molto stratificato ed in continuo fermento ed evoluzione; seppure si stia iniziando a delineare nelle sue linee essenziali.
L’opera affronta, quindi, organicamente il Regolamento Europeo con il principale fine di illustrare tanto a titolari e responsabili di trattamento quanto a consulenti ed operatori del diritto i concetti essenziali, i principi generali, i principali adempimenti richiesti dal Regolamento Europeo ed ogni altro elemento utile a comprendere il GDPR.
Ora più che mai, a fronte del cambiamento epocale introdotto dal nuovo Regolamento Europeo, occorre promuovere la conoscenza e la comprensione della protezione dei dati personali e comprendere a fondo i principi generali alla base della protezione dei dati personali.
Un ringraziamento particolare va alla dottoressa Federica Sanvenero, professionista abilitata all’esercizio della professione forense e studiosa del diritto penale di impresa, che ha curato l’ultimo capitolo dell’opera relativo al quadro sanzionatorio penale ed amministrativo, approfondendo questi fondamentali aspetti a completamento dell’opera.

Per maggiori informazioni sull’opera vedi qui.

 

/2 Commenti/da
,

LA TENUTA DEI REGISTRI: CONSAPEVOLEZZA, ACCOUNTABILITY, SUBSTANCE OVER FORM E DOCUMENTAZIONE DELLE SCELTE.

LA TENUTA DEI REGISTRI: CONSAPEVOLEZZA, ACCOUNTABILITY, SUBSTANCE OVER FORM E DOCUMENTAZIONE DELLE SCELTE.

SINTESI DELLA RELAZIONE DELL’AVV. GIACOMO CONTI ALL’EVENTO SUMMER MEETING GDPR ITALIA – OPERATORI E CONSULENTI. MILANO IN DATA 29 GIUGNO 2018 – AGGIORNATA IN DATA 9 OTTOBRE 2018 ALL’ESITO DEI CHIARIMENTI FORNITI DALL’AUTORITA’ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI)

di Giacomo Conti edito: Il Foro Padano – Rivista di giurisprudenza e di dottrina – Fabrizio Serra Editore, Pisa – Roma – N. Rivista 1/2019

In che cosa consiste il registro delle attività di trattamento?

L’art. 30 del Regolamento (EU) n. 679/2016 di seguito “GDPR” prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento.

Si intende per registro delle attività di trattamento un documento contenente le principali informazioni specificatamente individuate dall’art. 30 del GDPR relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.

Sin da subito emerge, pertanto, come il registro costituisca uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

Il registro delle attività di trattamento è, per l’effetto, un importante strumento di consapevolezza e documentazione finalizzato a realizzare il censimento e l’analisi dei trattamenti effettuati dal titolare o responsabile.

In altri termini, il titolare o il responsabile del trattamento documentano, attraverso, il registro le attività di trattamento che effettuano sotto la propria autorità mappandole e tenendole sotto controllo.

Chi è obbligato alla tenuta del registro delle attività di trattamento?

Se, da un lato, l’art. 30 GDPR stabilisce che ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità; dall’altro, il suo comma 5 esenta dall’obbligo di tenuta dei registri le sole imprese o organizzazioni con meno di 250 dipendenti.

Peraltro, giova osservare come la suddetta esenzione già non valga nel caso in cui le attività di trattamento effettuate da titolari e responsabili, pur con un numero di dipendenti inferiore a 250, possano presentare un rischio per i diritti e le libertà dell’interessato, ove il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati personali o i dati personali relativi a condanne penali e a reati.

La portata dell’esenzione dall’obbligo di tenuta del registro è stata, inoltre, ridimensionata significativamente nelle line guida dell’ex WP29 (ora EDPB) ed anche dall’Autorità Garante Italiana valorizzando l’importanza strategica di questo adempimento, con la conseguenza che, interpretando letteralmente le indicazioni fornite, quasi tutti i titolari e i responsabili del trattamento dovrebbero essere tenuti a redigere il Registro delle attività di trattamento, con qualche rara eccezione.

Sul punto, il Garante ha specificato espressamente come, in ambito privato, i soggetti obbligati alla tenuta del registro sono tutte le imprese o organizzazioni con almeno 250 dipendenti, oltre che qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettuino trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato, qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettuino trattamenti non occasionali, oppure titolari e responsabili che trattino categorie particolari di dati ai sensi dell’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati ai sensi dell’articolo 10 GDPR.

È stato, peraltro, specificato come nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 rientrino anche le associazioni, fondazioni e i comitati, come tali tenute alla tenuta del registro al ricorrere dei presupposti di Legge.

Alla luce di quanto detto sopra, dovrebbero essere tenuti all’obbligo di redazione del registro, ad esempio:

a. gli esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente come bar, ristoranti, officine, negozi, piccola distribuzione oppure che trattino dati sanitari dei clienti quali, ad esempio, parrucchieri, estetisti, ottici, odontotecnici, tatuatori;
b. i liberi professionisti con almeno un dipendente, che trattino dati sanitari oppure dati relativi a condanne penali o reati quali commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti e medici;
c. le associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati come le organizzazioni di tendenza, le associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità e detenuti; le associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso;
d. il condominio ove tratti “categorie particolari di dati”. Si pensi, ad esempio a delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989, piuttosto che alle richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali.

Al riguardo è bene precisare come l’adozione del registro possa essere considerata, in ogni caso, un’importante scelta strategica oltre che realizzabile ed a basso costo: anche laddove l’adozione del registro delle attività di trattamento non è obbligatoria, esso potrebbe comunque essere utilizzato al fine di realizzare adempimenti pure sempre obbligatori, come quello di monitorare i flussi di dati personali e di valutare il rischio dei trattamenti.

La differenza fra ciò che è obbligatorio, ciò che è opportuno o “consigliato” oppure semplicemente strategico è spesso molto sfumata ed il diavolo si annida nei dettagli.

Quindi, in buona sostanza, tutti i titolari e responsabili di trattamento hanno l’obbligo di munirsi di registro delle attività di trattamento?

A prescindere dall’obbligo o meno di adottare il registro delle attività di trattamento, è stata valorizzata la natura di strumento di consapevolezza e documentazione che il registro – se correttamente implementato e gestito – può arrivare a svolgere.

Il Garante si è infatti espresso nel senso che, in ogni caso, anche al di fuori dei casi di tenuta obbligatoria del Registro, sia raccomandabile per tutti i titolari e responsabili del trattamento, munirsi del registro delle attività di trattamento.

Al riguardo, giova osservare come anche il Comitato Europeo per la protezione dei dati personali ha precisato come, ad esempio, è probabile che una PMI tratti regolarmente i dati relativi ai propri dipendenti in una maniera che non può essere considerata come non occasionale e come, di conseguenza, anche titolari di questo tipo di titolari e responsabili dovrebbero munirsi di registro ai sensi dell’art. 30 GDPR ed includere suddetta attività di trattamento all’interno del proprio registro[1].

Tanto il Garante quanto il Comitato Europeo per la protezione dei dati personali hanno, quindi, valorizzato l’importanza strategica del suddetto adempimento in quanto finalizzato a garantire a Titolari e Responsabili di effettuare attività di trattamento con piena contezza del tipo di trattamenti svolti, dei soggetti coinvolti e della natura dei dati trattati.

Seppure il Working Party 29 e l’Autorità Garante nazionale abbiano consigliato a gran parte di titolari e responsabili di trattamento di munirsi di registro non si può tout court inferire che tutti i titolari e responsabili di trattamento (o almeno la quasi totalità di questi) abbiano l’obbligo di munirsi di registro, posto che questa interpretazione risulterebbe, infatti, contra legem.

Peraltro, giova osservare come né le posizioni prese dal Gruppo di lavoro 29 né, tantomeno, quelle prese dal Garante siano disposizioni normative né, a maggior ragione, di interpretazione autentica, potendo le stesse, al più, fornire meri criteri indicativi ed interpretativi utili a titolari e responsabili di trattamento senza vincolarli ulteriormente rispetto a quanto stabilito in sede normativa.

Ne consegue che, da un lato, vi sono soggetti obbligati alla tenuta dal registro per legge e, dall’altro, soggetti che pur ricadendo nelle ipotesi di esenzione dall’obbligo di adottare l’adempimento, potrebbero valutare di adottarlo in un’ottica strategica.

Attraverso il registro è, infatti, possibile implementare i propri processi di documentazione in merito alle politiche di trattamento di dati personali operate al fine di dimostrare il rispetto della normativa.

Quale è la funzione del registro delle attività di trattamento e perché l’adozione dell’adempimento può essere un’opportunità per titolari e responsabili di trattamento? Il registro come strumento prodromico alla realizzazione di certi adempimenti e come strumento di cooperazione con l’Autorità di Controllo.

Attraverso l’adozione di un modello efficiente di registro, è possibile realizzare un sufficiente grado di consapevolezza e permettere di documentare le scelte in merito alle attività di trattamento di dati personali compiute da titolari e da responsabili.

Di conseguenza, il registro delle attività di trattamento è da considerarsi come un importante adempimento strategico in quanto contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability.

Infatti, un registro correttamente compilato e costantemente aggiornato permette al Titolare di tenere sotto controllo e monitorare i flussi di dati personali, le categorie di interessati coinvolte nelle operazioni di trattamento ed il numero indicativo degli stessi, i rischi ed i trattamenti che effettua in azienda e, se del caso, di agire proattivamente nell’ottica della prevenzione del rischio ed anche di documentare le data retention policy aziendali.

Non va, inoltre, sottovalutata la funzione del registro di agevolare il dialogo e la cooperazione con l’Autorità Garante in sede di esercizio dell’attività di controllo, nell’ottica di implementazione del principio di leale cooperazione, essendo il documento un importante strumento di trasparenza e di cooperazione con l’Autorità di controllo in caso di ispezione[2].

Sul punto, è doveroso osservare come ai sensi del Considerando 82 al GDRP: “Sarebbe necessario obbligare tutti i titolari del trattamento e i responsabili del trattamento a cooperare con l’autorità di controllo e a mettere, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti.”, ribadendo un concetto cardine già stabilito nell’art 30 GDPR.

Quale è la natura e quale forma deve (o dovrebbe avere) avere il registro delle attività di trattamento?

Il GDPR stabilisce, inoltre, che il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante: ai sensi dell’art. 30 comma 3: “I registri di cui ai paragrafi devono essere tenuti in forma scritta, anche in formato elettronico.”

La disposizione normativa – all’apparenza di portata trascurabile – solleva in realtà importanti problematiche applicative in quanto il concetto di forma scritta mal si concilia con la natura dinamica che dovrebbe avere il registro delle attività di trattamento.

Al riguardo, alcuni ritengono che il registro debba avere data certa e debba essere datato, firmato e sottoscritto anche digitalmente, mentre altri ritengono che possa bastare tenerlo in forma libera, come un semplice file word o Excel privilegiando l’aspetto fluido e dinamico dell’adempimento incompatibile con le rigidità e l’ingessatura che impone la forma scritta.

La prima tesi si basa su un’interpretazione letterale della norma con la conseguenza che, ai sensi dell’art. 20 comma 1bis CAD[3], il registro dovrebbe essere sottoscritto e marcato digitalmente dal titolare, con la conseguenza che, in difetto dei predetti requisiti formali, il registro non dovrebbe considerarsi realizzato e l’adempimento non realizzato.

La seconda tesi opera, per contro, un’estensione analogica del concetto di forma scritta trasformando il dato letterale della norma nel senso di forma documentabile. Questa specifica interpretazione, pure se non strettamente letterale sembra essere comunque compatibile con lo spirito del GDPR e, per certi aspetti, anche preferibile.

Del resto, chi argomenta a favore della seconda tesi ritiene che un’interpretazione letterale del combinato disposto dell’art. 30 GDPR e dell’art. 20 CAD sia difficilmente conciliabile con la natura dinamica del registro delle attività di trattamento caldeggiata da diverse Autorità Garanti Europee.

Ne consegue che l’interpretazione data dal nostro Codice dell’Amministrazione Digitale potrebbe essere troppo restrittiva e troppo poco dinamica e che non dovrebbe riguardare il registro delle attività di trattamento.

Molti operatori ed interpreti hanno, infatti, rilevato come si potrebbe fare a meno della marca temporale e della firma digitale a favore di forme più flessibili e dinamiche di gestione dell’adempimento.

In particolare, a favore della seconda tesi milita la circostanza che il registro sia considerato come un adempimento non statico e formale, bensì dinamico e sostanziale in quanto strumento di consapevolezza e responsabilizzazione da aggiornarsi ed integrarsi costantemente.

Secondo questa interpretazione, pertanto, parrebbe più opportuno che il registro assuma una forma documentabile più che scritta secondo quanto esige il dato letterale della norma in quanto la fluidità intrinseca del registro appare difficilmente compatibile con il requisito di immodificabilità richiesto dal CAD.

Il Garante – pur non sbilanciandosi eccessivamente a favore della seconda tesi – è di recente intervenuto stabilendo che il registro può essere compilato sia in formato cartaceo che elettronico a discrezione del Titolare.

Sotto il profilo formale occorre solamente che il registro sia compilato in modo tale da recare, in maniera verificabile, la data della sua prima istituzione o la data della prima creazione di ogni singola scheda per tipologia di trattamento unitamente a quella dell’ultimo aggiornamento.

Pertanto, sulla base dei suggerimenti forniti dal Garante, si potrebbe ritenere anche bastevole una mera annotazione sul documento indicante la data di creazione e l’ultimo aggiornamento dello stesso[4].

Emerge, quindi, come sia stato privilegiata la natura dinamica del registro e come il Garante non abbia richiesto a titolari e responsabili di marcare temporalmente il registro né di sottoscriverlo digitalmente, ma solo che la data ivi annotata rispetti il requisito della verificabilità.

Al contrario, il Garante ha ribadito che il registro ha natura fluida e che, come tale, deve essere mantenuto costantemente aggiornato ed integrato in quanto il contenuto di questo deve sempre corrispondere all’effettività dei trattamenti posti in essere.

Occorre, in particolare, che ogni cambiamento in ordine alle modalità, finalità, categorie di dati, categorie di interessati, sia immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute in modo da tenere sotto controllo le attività di trattamento che vengono operate sotto l’autorità del titolare.

Si deve, infatti, ritenere che il registro non sia un atto giuridico in senso stretto, da intendersi come espressione di una volontà negoziale del titolare, ma piuttosto un adempimento strategico finalizzato semplicemente a documentare le scelte di titolari e responsabili in tema di protezione dei dati personali.

Pertanto, il registro non è idoneo ad esprimere alcuna volontà negoziale, se non quella di adempiere agli obblighi normativi e, come, tale, dovrebbe assumere la forma più idonea a consentirne unicamente il pronto aggiornamento e la possibilità di metterlo a disposizione dell’Autorità Garante in caso di ispezione nella sua versione più aggiornata.

Vi sono, in ogni caso, molti gestionali che sono in grado di aiutare titolari e responsabili a tenere i registri che fanno uso di tecnologie innovative quali, ad esempio, la blockchain e che sono in grado di sviluppare e potenziare adeguati modelli di registro.

Quale è il contenuto del registro e cosa si deve indicare?

Il contenuto minimo del registro è definito dall’art 30 GDPR al primo ed al secondo comma, a seconda che il registro sia tenuto dal titolare o dal responsabile del trattamento.

La legge detta, quindi, dei requisiti generali e di contenuto minimo per il registro che altro non sono che i requisiti minimi per sviluppare un grado di consapevolezza minima delle attività di trattamento effettuate in azienda che seppur necessario può essere, talvolta, insufficiente.

L’Autorità Garante ha fornito ulteriori specificazioni in merito ai contenuti del registro, stabilendo che esso dovrebbe contenere:

(a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento come, ad esempio, il trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso. In particolare, deve essere documentato nel registro la presenza di un “legittimo interesse” ove questo costituisca la base giuridica del trattamento piuttosto che la presenza di una preventiva valutazione d’impatto posta in essere dal titolare,

(b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati, quali clienti, fornitori, dipendenti, sia quelle di dati personali oggetto di trattamento,

(c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati, come enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi), oltre che altri soggetti che operano in qualità di responsabili e sub-responsabili del trattamento, quali il consulente del lavoro o l’ufficio che elabora le buste paga dei dipendenti piuttosto che altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento. Questo processo di mappatura consente, infatti, al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali,

(d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” deve essere riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese terzo verso il quale i dati sono trasferiti e alle “garanzie” adottate a tutela degli interessati i cui dati sono trasferiti come decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo od altre misure di garanzia atipica,

(e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento, come nel caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione. Ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri come norme di legge o prassi settoriali indicativi degli stessi,

(f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art. 32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di rinviare anche a a documenti esterni di carattere generale quali procedure organizzative interne; security policy da aggiornarsi continuamente per stare al passo con gli sviluppi della tecnologia e prevenire l’insorgere di nuovi rischi.

In realtà, come spesso accade, il rispetto delle disposizioni normative è uno step necessario ma non sufficiente ed il registro, per realizzare la sua funzione (ossia quella di strumento di documentazione ed accountability) deve essere articolato e sviluppato secondo le concrete esigenze aziendali.

Ne consegue che il Titolare od il Responsabile di trattamento ben potrebbero, e forse addirittura dovrebbero, inserire ulteriori elementi od altri livelli di dettaglio nell’ambito del registro delle attività di trattamento.

Peraltro, anche molti ordini professionali ed associazioni di categoria hanno sviluppato dei modelli di registri modulati per le esigenze specifiche delle categorie che rappresentano che possono rappresentare una base di partenza che titolari di trattamento potrebbero ulteriormente arricchire e sviluppare sulla base delle proprie specifiche esigenze.

Del resto, pure nell’ambito della stessa categoria professionale di riferimento le esigenze dei singoli titolari possono mutare e, conseguentemente, ogni titolare ha il dovere di modulare le misure tecniche ed organizzative in maniera tale da garantire che queste offrano adeguati livelli di protezione dei dati personali trattati.

Si pensi, ad esempio, a un avvocato specializzato in materia di diritto penale e di violenze sessuali il quale avrà esigenze di protezione dei dati personali dei propri clienti maggiori rispetto a quelli di Colleghi specializzati nella corporate law, in fusioni ed acquisizioni che hanno come clienti, più che altro, persone giuridiche e che, potranno trattare dati di persone fisiche in maniera vieppiù occasionale.

La posizione presa dalle Autorità di Controllo europee in tema di contenuto e forma del registro.

Che cosa ha detto il Garante per la Protezione dei Dati Personali?

Il Garante della privacy ha sviluppato, di recente, una serie di corpose F.A.Q. dove ha dato alcuni chiarimenti, direttive e risposte alle principali problematiche applicative riscontrate nella prassi[5].

Pur non avendo valore di legge, queste risposte sono utili a guidare operatori e consulenti nell’ambito dello svolgimento della propria autorità.

Peraltro, anche altre Autorità Garanti straniere hanno preso posizioni significative simile a quelle della nostra Autorità Garante ed in linea con le posizioni espresse dal WP29 relativamente al registro che meritano di ricevere adeguato approfondimento.

Giova, peraltro, osservare come anche le altre Autorità di Controllo europee abbiano preso posizioni in linea con quanto osservato dal Working Party 29 e dal Garante italiano di cui è bene dare conto almeno per sommi capi.

Cosa ha detto l’Autorità garante belga?

Secondo l’Autorità Garante belga i registri interni devono essere resi disponibili per iscritto, anche in forma elettronica, chiari e facilmente comprensibili per l’Autorità Garante, creati in formato può essere flessibile al fine di soddisfare le esigenze di ogni tipo di trattamento e, da ultimo, i registri interni devono essere costantemente aggiornati.

Per l’Autorità Garante belga, quindi, il registro deve essere integrato sulla base delle esigenze del titolare e resi disponibili all’autorità.

Sotto il profilo formale emerge come il concetto di forma documentabile e consultabile elaborato dall’Autorità belga non sembri coincidere necessariamente con quanto prevede il nostro CAD sotto il profilo della forma scritta.

Quelle est la position prise par la CNIL?

Anche il CNIL (l’Autorità Garante francese) raccomanda, per quanto possibile, di arricchire il registro arricchire il registro di ulteriori informazioni al fine di renderlo uno strumento più globale per la gestione della conformità.

Emerge, quindi, come anche l’Autorità di Controllo francese ritiene, nell’ottica di valorizzare l’importanza strategica dell’adempimento in esame, che il registro delle attività di trattamento debba mappare in maniera completa e responsabile l’insieme dei trattamenti posti in essere dall’organizzazione di titolari e responsabili[6].

Quali sono i rapporti tra il registro delle attività di trattamento ed il vecchio documento programmatico per la sicurezza?

Il Garante ha specificato come l’elenco delle misure di sicurezza riportato all’interno del Registro delle attività costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente realizzate.

In particolare, è stato specificato come l’indicazione delle misure di sicurezza abbia un carattere, di per sé, dinamico e non più statico come è stato per il vecchio documento programmatico per la sicurezza previsto dall’Allegato B del d. lgs. 196/2003.

Il registro deve, infatti, essere sempre e costantemente aggiornato e modificato (quasi in tempo reale non essendo sufficiente un aggiornamento periodico) alla luce degli sviluppi della tecnologia che determina il continuo insorgere di nuovi rischi per la sicurezza dei dati personali oltre che la scoperta di nuove misure di sicurezza.

Il registro delle attività di trattamento, lungi dall’essere una carta inutile che rappresenta il punto di arrivo per titolari e responsabili finalizzato ad esaurire in una maniera cartolare e formale gli adempimenti richiesti dal Regolamento Europeo, dovrebbe essere, per contro, un punto di partenza.

Partendo da quanto annotato nel registro, titolari e responsabili di trattamento potrebbero cogliere l’occasione per mappare i flussi di dati personali e regolare i rapporti con i fornitori, per definire le proprie data retention policy in relazione ai dati personali trattati in azienda e per rendersi conto delle misure di sicurezza adottate e, non da ultimo, per valutare i rischi dei trattamenti e anche la probabilità di occorrenza delle minacce.

La realizzazione degli adempimenti previsti dal GDPR richiede un’acquisizione di consapevolezza da parte di titolari e responsabili di trattamento che può essere acquisita in sede di redazione ed aggiornamento del registro che forma, come sopra accennato, il punto di partenza per porsi interrogativi fondamentali in tema di politiche di protezione dei dati personali.

Pertanto, eppure il registro ricalchi in buona parte l’aspetto contenutistico del DPS, la logica che anima i due adempimenti è profondamente diversa, al punto che il registro nemmeno può ritenersi, in alcun modo, il successore o comparabile al documento programmatico per la sicurezza che era animato, più che altro, da un sistema formalistico oramai superato basato su autorizzazioni preventive e su una gestione, il più delle volte, cartolare degli adempimenti.

Emerge, quindi, come sia profondamente diversa la logica alla base del D.P.S. rispetto a quella del registro.

I registri: uno, nessuno o centomila?

Da ultimo, è bene evidenziare come potrebbe anche essere insufficiente munirsi del solo registro delle attività, posto che – al fine di essere fully compliant – titolari e responsabili dovrebbero valutare di adottare altri modelli di registri per dimostrare il rispetto degli ulteriori obblighi imposti dal GDPR che non si esauriscono con la mera adozione del registro delle attività di trattamento.

In primo luogo, pare opportuno adottare il registro delle violazioni che risponde all’esigenza di documentare le violazioni subite al fine di procedere alla loro valutazione secondo quanto esige l’art. 33 comma 5 GDPR. La documentazione della violazione subita è, infatti, cruciale posto che senza una completa annotazione degli elementi descrittivi della violazione subita, non si può determinarne né la gravità né le conseguenze per gli interessati.

In secondo luogo, è bene che titolari e responsabili di trattamento si muniscano anche del registro della formazione di collaboratori e dipendenti posto che l’art. 29 richiede che i soggetti che effettuano attività di trattamento sotto l’autorità di titolari e responsabili non siano solo autorizzati, ma anche debitamente istruiti.

Con l’avvento del GDPR deve, infatti, ritenersi superata la logica di nomina formale dei soggetti incaricati.

Lo spirito sostanziale della normativa europea – in distonia con la previgente disciplina – esige che chi opera attività di trattamento sia debitamente autorizzato ed istruito dal titolare, anche in ragione delle funzioni aziendali e delle mansioni svolte nell’ambito delle attività di trattamento che il titolare od il responsabile effettuano. Il registro della formazione risponde, quindi, all’esigenza di documentare la formazione dei soggetti che operano sotto l’autorità del titolare o del responsabile ai sensi dell’art. 29 GDPR.

Da ultimo, le migliori prassi[7] richiedono, altresì, di operare un censimento della strumentazione elettronica attraverso la quale titolari e responsabili effettuano le attività di trattamento. In particolare, occorre programmare, dirigere, attuare e valutare quanto deve essere messo in atto per la protezione dei dati personali in ambito di ICT affinché un’organizzazione sia nelle condizioni di essere conforme a quanto previsto dal quadro normativo europeo e nazionale.

Pertanto, occorre che un titolare o responsabile affronti la protezione dei dati personali in ambito ICT in modo sistematico e organizzato attuando, periodicamente o a seguito di cambiamenti significativi, quali ad esempio modifiche della normativa o dell’organizzazione aziendale, un cambiamento strutturale dell’ambito ICT o delle sue caratteristiche. Occorre, quindi, identificare i flussi di dati personali in ambito ICT relativi a ogni trattamento e mantenerli aggiornati in un inventario dei trattamenti di dati personali in ambito ICT in linea con quanto prescritto dall’art. 30 del GDPR.

In particolare, il titolare o responsabile che effettua attività di trattamento con strumenti ICT deve, tenuto conto della complessità dell’organizzazione per cui opera ed in proporzione alla complessità delle attività di trattamento, stabilire e mantenere un inventario dei trattamenti dei dati personali in ambito ICT che includa l’identificazione dei processi che utilizzano dati personali in ambito ICT, delle origini dei dati personali trattati, delle categorie di dati personali trattati con particolare attenzione ai soggetti vulnerabili, delle finalità per le quali i dati personali possono essere utilizzati, dei potenziali destinatari di dati personali, incluse terze parti, del ruolo (titolare, responsabile o contitolare del trattamento) dell’organizzazione, dei sistemi informativi coinvolti e degli archivi di dati personali, degli eventuali trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, del periodo di conservazione dei dati personali oppure dei criteri utilizzati per determinare tale periodo e le misure previste al termine di tale periodo e delle sedi dove è svolto il trattamento.

Occorre, infine, garantire che i ripetuti inventari dei trattamenti di dati personali in ambito ICT producano risultati coerenti, validi e comparabili, in particolar modo se prodotti con l’apporto di strumenti automatizzati.

Il suddetto inventario può essere sviluppato e gestito in un registro a parte oppure essere inserito come allegato al registro delle attività di trattamento.

[1] V. sul punto Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR.

[2] Cfr. Cons. 82 GDPR.

[3] “Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. In tutti gli altri casi, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità. La data e l’ora di formazione del documento informatico sono opponibili ai terzi se apposte in conformità alle Linee guida.”

[4] Il Garante ha fatto espresso riferimento al concetto di annotazione.

In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:

“- scheda creata in data XY”

“- ultimo aggiornamento avvenuto in data XY”.

[5] Sul punto, si rinvia al seguente link per maggiori approfondimenti sulla materia: https://www.garanteprivacy.it/home/faq/registro-delle-attivita-di-trattamento.

[6] “Le registre de traitement doit recenser l’ensemble des traitements mis en œuvre par votre organisme. [omissis] La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité.” (Cfr. https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement)

[7] Prassi di riferimento: UNI/PdR 43.2:2018 – Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) – Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT.

/1 Commento/da