Misure di sicurezza tecniche

L’articolo 32 del GDPR indica in primo luogo i parametri fondamentali per valutare l’adeguatezza delle misure da adottare: si dovrà tener conto “dello stato dell'arte e dei costi di at- tuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del ri- schio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. In secondo luogo, la disposizione individua un elenco non esaustivo di misure idonee a garantire la sicurezza del trattamento599_{. Tra queste la pseudonimizzazione}600 _{e la cifratura}601 _{sono certamente da qua-}

lificare come misure tecniche, mentre la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento (art. 32.1.b)), nonché la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisi- co e tecnico (art.32.1.c)), configurano in realtà gli obiettivi a cui devono tendere le misure di

598 _{Tra i molti, si v. PEPPET,Regulating the Internet of Things: first steps toward managing discrimination, privacy, security}

and consent, cit., 133.

599 _{Si fa presente che tale approccio differisce da quello precedentemente adottato dal Codice Privacy che agli}

articoli 33-36, ora abrogati, prevedeva una serie di misure minime la cui implementazione rappresentava un onere per il titolare del trattamento al fine di garantire un livello “minimo” di sicurezza. Il Regolamento, inve- ce, fa leva sul concetto di adeguatezza e impone una valutazione caso per caso affinché la tutela sia modulata in base al grado di rischiosità dei trattamenti. Cfr. D’OTTAVIO, Ruoli e funzioni privacy principali ai sensi del regola-

mento, cit., 152; BOLOGNINI,PELINO,BISTOLFI,Le obbligazioni di compliance in materia di protezione dei dati, cit.,

409.

600 _{Per un approfondimento sul concetto di pseudonimizzazione, tra i molti: L. BOLOGNINI, Interruzione mo-}

mentanea e selettiva del collegamento – il dato pseudonimizzato, in BOLOGNINI,BISTOLFI,PELINO,(a cura di),Il regola- mento privacy europeo: commentario alla nuova disciplina sulla protezione dei dati personali, cit., 81-85. Per una riflessione

critica anche in relazione alla tecnica di anonimizzazione: C. FOGLIA, Il dilemma (ancora aperto) dell’anonimizzazione e il ruolo della pseudonimizzazione nel GDPR, in PANETTA (a cura di), Circolazione e protezione dei

dati personali, tra libertà e regole del mercato, cit., 309-328; STALLA-BOURDILLON,KNIGHT, Anonymous Data v. Perso-

nal Data — A False Debate: An EU Perspective on Anonymization, Pseudonymization and Personal Data, cit.

114

sicurezza, rischiando di confondere mezzi e fini602. Pur rilevando tale imprecisione, non si può non constatare l’importanza di queste ultime due previsioni nell’ambito dei sistemi di Intelligenza Artificiale603_{. La prima vuole assicurare la qualità e l’accessibilità dei dati, en-}

trambi profili di alto rischio nel contesto dell’IA in quanto la mancata garanzia di un alto livello di sicurezza in tal senso comporta la possibilità di bias e/o utilizzo improprio dei da- ti. La seconda ha un ruolo centrale nel caso dei trattamenti interconnessi tipici dei sistemi di Intelligenza Artificiale, poiché la lunghezza della catena dei trattamenti e la loro connessio- ne può richiedere tempi di ripristino molto variabili che possono avere conseguenze criti- che in determinate situazioni604.

Tra le misure tecniche, inoltre, possono essere inserite quelle ex articolo 25 del GDPR, che integrano nel trattamento le garanzie necessarie a soddisfare i requisiti del Re- golamento tutelando i diritti dell’interessato605. Tale articolo, rubricato “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”, introduce i concetti di data protection by default e data protection by design. La protezione per impostazione predefinita (by default) si so- stanzia in quelle misure (tra le quali il considerando 78 individua specificamente la pseudo- nimizzazione e la minimizzazione) funzionali a garantire che vengano trattati solo i dati personali necessari alle finalità perseguite; la massima protezione dei dati è fissata a priori mediante il loro minimo trattamento606_{. La protezione fin dalla progettazione, invece, com-}

porta la creazione di prodotti e servizi che tengano conto sin dalla loro ideazione delle re- gole e dei principi della tutela dei dati personali607.

La previsione esplicita di queste due misure segna un cambiamento di prospettiva ri- spetto al passato, in cui era adottato un approccio “difensivo” rispetto ai rischi derivanti dall’utilizzo degli strumenti tecnologici per il trattamento dei dati personali608. Tale impiego della tecnologia era considerato unicamente quale fonte di pericolo per l’interessato, igno-

602 _{F.BRAVO, L’“architettura” del trattamento e la sicurezza dei dati e dei sistemi, in CUFFARO,D’ORAZIO,RICCIUTO (a}

cura di), I dati personali nel diritto europeo, cit., 805-806.

603 _{PIZZETTI,La protezione dei dati personali e la sfida dell’Intelligenza Artificiale, cit., 132.}

604 _{Si pensi ad esempio ad un incidente tecnico che renda indisponibili i dati utilizzati da un device destinato al}

controllo dei livelli di insulina nel sangue e al conseguente rilascio di tale sostanza. Cfr. GIOVANELLA,Le per- sone e le cose: la tutela dei dati personali nell’ambito dell’Internet of Things, cit., 1223-1224.

605 _{In particolare è il considerando 78 a congiungere i concetti di accountability – profondamente connesso al}

principio di sicurezza secondo quanto già detto nel precedente paragrafo – e data protection by design e by default. Di conseguenza, tali misure possono essere adottate tanto per garantire in termini generali la compliance con il Regolamento, quanto per assicurare in via specifica la sicurezza del trattamento. Cfr. BOLOGNINI,PELINO, BISTOLFI,Le obbligazioni di compliance in materia di protezione dei dati, cit., 401, 324; BRAVO, L’“architettura” del trat-

tamento e la sicurezza dei dati e dei sistemi, cit. 835.

606 _{Ibidem, 324.} 607 _Ibidem.

rando le nuove possibilità offerte da questa sin dalla fase di progettazione e lungo tutto il ciclo di vita del trattamento. Se da un lato è pacifico che l’impiego di sistemi evoluti com- porti l’esposizione al rischio di una seria compromissione dei diritti e delle libertà fonda- mentali dell’interessato, dall’altro è altrettanto vero che gli stessi possono essere utilizzati per prevenire e gestire tali criticità609_.

Riguardo alle applicazioni della protezione fin dalla progettazione, si può portare l’esempio significativo dei privacy design patterns (o privacy patterns), ossia delle porzioni modulari di “co- dice” con cui i programmatori o gli sviluppatori realizzano, e mettono a disposizione della comunità per un successivo utilizzo, determinate funzioni volte ad assicurare in maniera strutturale il rispetto della protezione dei dati personali610_{. Nel caso della protezione per impo-}

stazioni predefinite, sempre a titolo esemplificativo, andrebbe escluso a priori il trattamento dei dati di geolocalizzazione nell’utilizzo di un’applicazione per dispositivi mobili consentendo al fruitore di operare una scelta diversa, ex post, in relazione alle sue specifiche esigenze di trattamento611_{. In tal modo si potrebbe proteggere un utente non avveduto, pur lasciando la}

possibilità ad un utente esperto, qualora lo volesse, di scegliere una diversa configurazione del proprio dispositivo612_{. Così l’interessato potrebbe recuperare la consapevolezza del trat-}

tamento di cui sono oggetto i suoi dati personali, fondamentale per poter esercitare un con- trollo effettivo613_.

Le misure di data protection by design e by default, tuttavia, non si limitano agli aspetti tecnici. Infatti, è lo stesso considerando 78 del Regolamento a menzionarne le potenzialità anche in ambito organizzativo: “[…] il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default”.

609 _{A.PRINCIPATO,Verso nuovi approcci alla tutela della privacy: privacy by design e privacy by default settings, in Contr. e}

impr./Europa, 2015, 197 ss.

610 _{BRAVO, L’“architettura” del trattamento e la sicurezza dei dati e dei sistemi, cit., 795; N.PAGLIARULO,Big data, priva-}

cy by design and by default, relazione tenuta al Convegno sul tema “Cybersecurity e Data Protection”, disponibile al

sito:http://campus.unibo.it/281629/44/02_Paglliarulo_GDPR_Data_Protection.pdf.

611 _{BRAVO, L’“architettura” del trattamento e la sicurezza dei dati e dei sistemi, cit., 801.}

612 _{GIOVANELLA,Le persone e le cose: la tutela dei dati personali nell’ambito dell’Internet of Things, cit., 1237.}

613 _{Si è già fatto cenno al problema dell’invisibilità di alcuni trattamenti automatizzati che pone l’interessato, a}

sua insaputa, in una posizione di pura soggezione nei confronti di un trattamento di cui non conosce nemme- no l’esistenza. Cfr. Capitolo 2, paragrafo 1.1.

116