Utilità e prospettive della Data Protection Compliance
Il termine “compliance” è comunemente associato ai concetti di conformità e rispetto delle regole, siano esse norme giuridiche, clausole contrattuali, o standard tecnici, nazionali ed internazionali. Imprese, enti pubblici e liberi professionisti risultano compliant se riescono a rispettare leggi e regolamenti a cui sono tenuti, come il Regolamento Generale sulla Protezione dei Dati (GDPR), oppure se soddisfano requisiti previsti in codici deontologici e discipline di settore a cui aderiscono. Fra questi ultimi, vale la pena di menzionare almeno gli Standard certificabili ISO 27001 e 9001, volti ad assicurare, rispettivamente, la sicurezza dei sistemi di gestione delle informazioni (SGSI) e la qualità dei processi organizzativi. Consulenti, avvocati, enti di certificazione ed autorità di vigilanza si richiamano spesso alla compliance, sebbene molti manager ed imprenditori non comprendano realmente quali implicazioni pratiche abbia questa materia, considerandola al più come un insieme di adempimenti e costi fini a sé stessi. Nel presente articolo cercheremo quindi di spiegare a cosa è dovuta tale incomprensione, approfondendo in particolare gli scenari più caldi in ambito IT Compliance e Data Protection Compliance.
> Scopri il nostro servizio di consulenza in materia di Data Protection
GDPR compliance e protezione dei dati personali
Essere GDPR compliant significa rispettare il Regolamento (UE) 2016/679, cogente e obbligatorio per tutte le organizzazioni, piccole e grandi, che trattano dati personali di qualunque natura. Per dati personali si intendono le informazioni capaci di distinguere una persona fisica all’interno di un gruppo, o di rilevarne alcune caratteristiche peculiari, ad esempio: nominativi, numeri di telefono, indirizzi, cartelle cliniche, riferimenti bancari individuali, preferenze, opinioni, condizioni economiche ed altri. La necessità di regolare l’uso e la circolazione di queste informazioni ha portato i legislatori europei ad intervenire sin dai primi anni 2000, allo scopo di contrastare abusi e pratiche commerciali scorrette compiute da alcune organizzazioni, che sfruttavano i dati raccolti presso clienti e dipendenti, principalmente a fini pubblicitari e di profilazione, senza chiedere un consenso esplicito e senza adeguate garanzie che i dati raccolti non finissero anche nella disponibilità di malintenzionati ed organizzazioni criminali. Il caso più eclatante fu senz’altro il fallimento della società britannica Cambridge Analitica, accusata di aver sfruttato Facebook per raccogliere i dati personali di 87 milioni di utenti, al fine di rivenderli sotto forma di informazioni per orientare campagne di influenza e propaganda politica. Anche Facebook rimase coinvolto nello scandalo, per non aver vigilato sul rispetto di leggi e politiche vigenti in fatto di trattamento e scambio dei dati personali, sulla piattaforma. Dalle ricostruzioni, emerse il coinvolgimento sostanziale di Cambridge Analitica nelle campagne elettorali dell’ex presidente degli Stati Unititi Donald Trump, del senatore americano Ted Cruz, dei comitati pro Brexit in Gran Bretagna prima del referendum popolare, ed in altri scenari. Benché le norme penali dell’epoca, locali e internazionali, non fossero ancora sufficientemente mature per assicurare la punibilità individuale degli individui coinvolti, fu possibile comminare sanzioni amministrative per oltre 5 miliardi di euro a Facebook ed impedire a Cambridge Analitica di seguitare nel trattamento spregiudicato di dati raccolti, grazie all’esistenza di obblighi di compliance, che le due società non avevano rispettato.
Il principio di Accountability
Come le tasse, i limiti di velocità, o le misure obbligatorie antincendio, anche la compliance rappresenta certamente un limite alle attività di impresa, che tuttavia previene abusi e vicende gravi come quella descritta, altrimenti destinati a crescere e a generare costi collettivi di lungo periodo molto superiori.
Per evitare un impatto negativo troppo netto su bilancio e business continuity delle organizzazioni, il legislatore ha comunque progressivamente abbandonato l’approccio prescrittivo iniziale, cercando di evitare elenchi puntuali di obblighi e limitazioni, uguali per tutti, e preferendo insistere su principi come l’accountability. Con il termine accountability ci si riferisce alla responsabilizzazione delle organizzazioni, chiamate a rispettare pochi principi, fra cui liceità, correttezza e trasparenza nelle operazioni di trattamento dei dati personali, ottenute grazie alla valutazione dei rischi ed all’adozione di misure di mitigazione, proprie per ogni specifica realtà. Quindi, per essere compliant al GDPR, bisogna anzitutto agire secondo accountability, ovvero consapevolezza dei rischi, competenza e responsabilità nei confronti delle parti coinvolte.
Il Titolare del trattamento, chiamato a definire le operazioni sui dati, deve dimostrare di avere contezza dei dati che tratta, del perché ha scelto di trattarli, della loro posizione e conservazione e dei rischi a cui va incontro. Prima di acquisire e trattare un dato, è quindi obbligatorio informare l’interessato sulle conseguenze che tale trattamento potrebbe comportare, effettuando un’analisi del rischio e valutando misure tecniche ed organizzative sufficienti a minimizzare le criticità emergenti, per quanto possibile. Fra i principali rischi riscontrabili si evidenziano distruzione e perdita dei dati, l’alterazione volontaria o involontaria, la divulgazione accidentale, il furto e l’accesso indiscriminato. Prima dell’entrata in vigore del GDPR, tali rischi si consideravano evitati applicando un decalogo di prescrizioni, elencate nel Dlgs. 196/2003, detto “Codice Privacy” e nei suoi allegati tecnici. Tale approccio aveva il grande limite di ridurre la protezione dei dati ad un mero elenco di adempimenti burocratici, non completamente calati nella realtà di ogni specifico Titolare del trattamento. Oggi invece, come detto, è il Titolare stesso che deve individuare rischi e contromisure di mitigazione, propri degli scenari in di trattamento in cui si ritrova ad operare. Infine, il GDPR obbliga il Titolare del trattamento a verificare che anche i Responsabili esterni, cioè coloro che trattano alcuni dati personali per suo conto, magari dall’esterno dell’organizzazione, stiano effettivamente prendendo adeguate precauzioni, evitando eventuali trasferimenti di dati verso altri soggetti, senza dare opportuna evidenza.
Compliance agli standard ISO
Come anticipato, anche l’aderenza a clausole contrattuali, statuti, codici deontologici e discipline di settore può generare obblighi di compliance per l’organizzazione. Tali obblighi sono spesso riconducibili a clausole contrattuali esigibili dalle parti contraenti, fra cui partner, fornitori, soggetti pubblici e privati, organismi di vigilanza. È questo il caso, per esempio, degli Standard ISO, ad oggi molto utilizzati fra privati e imprese, per assicurare un certo grado di affidabilità nell’impiego dei sistemi informativi e nel trattamento dei dati.
ISO è l’acronimo di International Organization for Standardization, attualmente la più grande organizzazione internazionale indipendente per la definizione di norme tecniche. Gli standard ISO coprono una grande varietà di campi diversi e sono fondamentali per tutte le imprese che vogliono rassicurare clienti, investitori e partner, sul rispetto di procedure di lavoro e regole di comportamento collaudate. Per attestare il rispetto di uno Standard ISO, esiste la possibilità di certificarne l’applicazione all’interno dell’organizzazione, attraverso una dichiarazione di conformità, rilasciata da organismi terzi ed imparziali, accreditati dalla ISO stessa. La certificazione viene sempre rilasciata in seguito ad audit ripetuti, con cadenze periodiche, al fine di garantire il mantenimento dei requisiti di sicurezza e compliance nel tempo.
Nel campo della sicurezza dei sistemi informativi e della protezione dei dati, esiste un’intera famiglia di norme ISO, linee guida e manuali di applicazione e supporto, di cui segue un breve elenco esemplificativo:
- ISO/IEC 27001:2022 Tecnologie Informatiche – Tecniche di sicurezza – Sistemi di gestione della sicurezza dell’informazione (SGSI) – Requisiti.
- ISO/IEC 27002:2022 Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni.
- ISO/IEC 27003:2018 Tecnologie Informatiche – Tecniche di sicurezza – Guida all’implementazione dei SGSI.
- ISO/IEC 27006 Tecnologie Informatiche – Tecniche di sicurezza – Requisiti per gli organismi che forniscono audit e certificazione dei SGSI.
- ISO/IEC 27009 Tecnologie Informatiche – Tecniche di sicurezza – Applicazione specifica per settore di ISO/IEC 27001 – Requisiti.
- ISO/IEC 27031 Tecnologie Informatiche – Tecniche di sicurezza – Linee guida per la preparazione delle tecnologie dell’informazione e della comunicazione per la continuità operativa.
- ISO/IEC 27032 Tecnologia dell’informazione – Tecniche di sicurezza – Linee guida per la sicurezza informatica (Cyber security).
- ISO/IEC 27037 Linee guida per l’identificazione, acquisizione e conservazione delle prove digitali.
- ISO 27500:2016 Organizzazione orientata all’utente – Principi generali e logici.
> Scopri il corso ISO 27001: gestione sicura delle informazioni
Sebbene l’adesione a norme tecniche e codici di condotta non sia un requisito di legge, salvo espliciti richiami all’interno delle norme giuridiche, è ormai consuetudine considerare queste fonti anche ai fini della compliance ad alcune leggi e regolamenti. Il GDPR stesso, all’articolo 42, raccomanda a Stati membri ed organismi di vigilanza l’adozione di meccanismi di certificazione basati su norme tecniche e discipline, quale strumento di accountability dei Titolari del trattamento. Ad oggi l’autorità Garante per la privacy ha mantenuto l’accreditamento di alcuni codici di condotta e deontologia professionale, già convalidati prima dell’entrata in vigore del GDPR e allegati al Dlgs. 196/2003, pienamente utilizzabili ai fini della compliance al Regolamento stesso. Al contrario, non sono ancora state individuate norme tecniche, ai sensi dell’articolo 42. Come spesso accade, però, il mercato ha anticipato tali previsioni, scommettendo sugli standard ISO e UNI, di fatto già molto utilizzati ed accettati, non solo nella forma di requisiti contrattuali in ambito commerciale, ma anche in giudizio e durante le ispezioni delle autorità di controllo. Ad ulteriore conferma di questa tendenza, la stessa ISO sta aggiornando le sue norme tecniche, mutuando requisiti e vocabolario dal GDPR e da altre norme giuridiche. Per esempio, nell’ultimo aggiornamento, lo Standard ISO/IEC 27001:2022 è stato rinominato Information security, cyber security and privacy protection, stabilendo un parallelismo voluto con il Regolamento Europeo ed introducendo controlli specifici per includere i principali requisiti di sicurezza dei dati rinvenibili nel Regolamento stesso, fra cui: Privacy by design e by default, minimizzazione, pseudonimizzazione, riservatezza, integrità, disponibilità dei dati e conservazione di informazioni documentate sull’accountability del Titolare del trattamento.