Questo articolo è una traduzione di un contenuto pubblicato da Alberto Nutricati su joomla.org che spiega in linee generali, soffermandosi in particolare su alcuni punti, in cosa consiste la GDPR (in italiano RGPD, ovvero il regolamento generale sulla protezione dei dati), che entrerà in vigore il 25 maggio 2018 e sarà valido per tutti i soggetti operanti all’interno dell’Unione Europea.
È bene sottolineare che si tratta di un regolamento e non di una direttiva (quella che è attualmente in vigore fino al 25 maggio): è dunque una norma a carattere obbligatorio, non solo sui risultati, ma anche nel percorso che porta ad essi.
Per ulteriori approfondimenti:
GDPR ENG
GDPR ITA
Di seguito la traduzione dell’articolo.
Negli ultimi decenni il web è diventato significativamente più social e ha reso più facile la comunicazione tra aziende ed utenti. Allo stesso tempo termini come “privacy” sono stati in molti casi sottovalutati a causa di un’abbondanza di dati personali condivisi pubblicamente. Gli utenti hanno dinamicamente contribuito alla produzione di contenuti sul web e sono stati spesso coinvolti in un “gioco” dove i loro dati personali sono diventati il prodotto attuale. Capita spesso che un utente ignori il fatto che i suoi dati personali siano informazioni che potrebbero essere condivise pubblicamente senza alcuna protezione speciale.
Panoramica del GDPR: decriptare il regolamento
Recentemente l’Unione Europea ha aggiornato le regole nell’ambito della protezione dei dati personali. In passato la Direttiva sulla protezione dei dati (Directive 95/46/EC) ha regolato il trattamento dei dati personali all’interno dell’Unione Europea. Nell’aprile 2016, dopo 20 anni, Il Parlamento Europeo ha approvato una nuova norma chiamata GDPR (General Data Protection Regulation). Il GDPR fornisce importanti aggiornamenti alla direttiva esistente ma avrà anche un campo di applicazione più ampio, stabilendo nuovi requisiti per chi tratta e controlla i dati personali. Il GDPR sarà applicabile dal 25 maggio 2018 e in quel momento, tutte le organizzazioni che operano nell'UE, ovunque si trovino, dovrebbero conformarsi ad esso. Stiamo per pubblicare una serie di articoli per introdurre l'importanza della protezione dei dati personali e fornire una panoramica di come il nuovo regolamento inciderà sui soggetti che li elaborano. Cominciamo ad analizzare l'ambito di applicabilità del regolamento: scomporremo la definizione di "dati personali" e "trattamento" di tali dati, i soggetti coinvolti ed il campo di applicazione territoriale.
I dati personali ed il loro trattamento
1. Cosa sono i dati personali
Il regolamento fornisce già una definizione di dati personali nell’articolo 4: “i dati personali comprendono qualsiasi informazione relativa ad una persona fisica identificata o identificabile (detta “soggetto dei dati”). Una persona fisica identificabile è colei che può essere identificata, direttamente o indirettamente, in particolare facendo riferimento ad un identificatore come un nome, un numero di identificazione, dati relativi all'ubicazione, un identificatore online o uno o più fattori specifici a livello fisico, fisiologico, identità genetica, mentale, economica, culturale o sociale di quella persona fisica”. La definizione, per lo più basata sulla direttiva 95/46 / CE (ancora efficace), è volutamente ampia, per consentire una migliore protezione per l'individuo: infatti la dicitura "qualsiasi informazione" già preannuncia un'ampia interpretazione della definizione. Dal punto di vista della natura delle informazioni, la definizione contiene qualsiasi tipo di informazioni su una persona: informazioni "oggettive" (come il gruppo sanguigno) o "soggettive" (come opinioni o valutazioni), indipendentemente dalla loro veridicità. Possono anche essere errate (ecco perché il regolamento ci fornisce, tra gli altri, il diritto di rettifica). Dal punto di vista dei contenuti, può includere tutto ciò che riguarda l'individuo: la vita familiare, i rapporti di lavoro, i comportamenti economici o sociali. Considerando il formato o il mezzo su cui sono contenute tali informazioni, la definizione è neutrale dal punto di vista tecnologico: può includere informazioni disponibili in qualsiasi forma: alfabetiche, numeriche, grafiche, fotografiche o acustiche e, naturalmente, informazioni memorizzate in una memoria del computer mediante codice binario, o su una videocassetta, per esempio. D'altro canto, non è necessario che le informazioni siano considerate come dati personali contenuti in un database strutturato o in un file. Inoltre, le informazioni contenute in un testo libero all'interno di un documento elettronico possono essere qualificate come dati personali, a condizione che siano soddisfatti gli altri criteri nella definizione dei dati personali. L'e-mail può, per esempio, contenere "dati personali". Bisognerebbe prestare attenzione anche ai dati biometrici (ovvero impronte digitali, retinature, strutture facciali, voci, ma anche geometria della mano, modelli venosi o anche abilità profondamente radicate o altre caratteristiche comportamentali, come la firma scritta a mano, le battiture, modi particolari di camminare o parlare). Una particolarità dei dati biometrici è che possono essere considerati sia come parte delle informazioni individuali, sia come elemento per stabilire un collegamento tra un'informazione e l'individuo ("identificatori", di cui discuteremo più dettagliatamente in seguito). I dati personali devono essere "correlati " ad una persona fisica: in termini generali, le informazioni possono essere considerate come "correlate" ad una persona quando riguardano quella persona. A prima vista, questo scenario è facile da riconoscere. Tuttavia, in alcune situazioni, le informazioni trasmesse dai dati riguardano in prima istanza oggetti e non individui. Tali oggetti di solito appartengono a qualcuno, o possono essere influenzati da individui (o influenzarli) o possono mantenere una sorta di vicinanza fisica o geografica con individui o con altri oggetti. In questi casi si può considerare che l’informazione si riferisce a quegli individui o a quegli oggetti solo indirettamente (pensiamo al valore dell'appartamento posseduto dall'individuo, che può rivelare la situazione finanziaria del soggetto).
"Persona fisica": da intendersi come esseri umani. Le informazioni relative a persone giuridiche (ad esempio un'azienda) non sono, in linea di principio, coperte dal regolamento e la protezione da esso garantita non si applica. Tuttavia, alcune norme sulla protezione dei dati possono ancora applicarsi indirettamente fintantoché tali informazioni sulle persone giuridiche possono anche essere considerate come "relative a" persone fisiche per i loro meriti, in conformità con i criteri già spiegati in questo articolo. La persona fisica deve essere "identificata o identificabile". L'identificazione viene solitamente ottenuta attraverso particolari informazioni che possono essere chiamate "identificatori" e che mantengono una particolare relazione stretta e privilegiata con quel determinato individuo (altezza, colore dei capelli) o una qualità della persona che non può essere immediatamente intuita (professione, funzione, nome, ecc.). La direttiva menziona tali "identificatori" all'interno della definizione di dati personali (in una lista) e successivamente nel regolamento facendo riferimento agli "identificatori online". In effetti, secondo il regolamento, ci sono due modi di essere potenzialmente identificati. Il primo è diretto, il secondo è indiretto: i termini di questa definizione indicano che la misura in cui determinati identificatori sono sufficienti per ottenere l'identificazione dipende dal contesto della situazione particolare: il nome completo di una persona è un ovvio che sia un identificatore. Una persona può anche essere identificabile da altre informazioni, inclusa una combinazione di diversi elementi di identificazione. Tutto ciò porta ad un gran numero di potenziali identificatori. Basti prendere un identificatore online: potrebbe ad esempio trattarsi di un cookie, già esistente in molte forme e sfumature per diversi scopi (dall'analisi dei dati web alla pubblicità). Altre forme di identificatori online sono descritte nell’articolo 30 del GDPR all’interno del quale viene chiarito che le persone fisiche possono essere identificate con identificatori online forniti da (l'elenco è intenzionalmente non esaustivo):
· dispositivi;
· applicazioni;
· strumenti (tools) e protocolli come: indirizzi IP (Internet Protocol), identificatori cookie o tag RFID (Radio Frequency Identification) che hanno reso possibile l’internet of things (internet delle cose).
Tutti questi identificatori online possono lasciare tracce, che combinate con identificatori univoci e/o altre informazioni ricevute dai server (ricordate l'importanza del contesto e dell'aggregazione), possono essere utilizzati per creare profili di soggetti ed identificarli. Abbiamo scelto gli identificatori online per illustrare la varietà dei possibili identificatori, ma si può immaginare la vastità dei potenziali identificatori rispetto a tutti gli altri fattori citati, relativi praticamente a qualsiasi cosa che riguardi i dati di un soggetto.
A seconda del settore e dell'area delle attività (di trattamento dei dati), è necessario esaminare i fattori che potrebbero interessare la privacy dei soggetti interessati in questo ambito. Inoltre, per accertare se siano ragionevolmente idonei a essere utilizzati per identificare la persona fisica, è necessario tenere conto di tutti i fattori oggettivi, come i costi e il tempo necessari per l'identificazione, tenendo conto della tecnologia disponibile al momento, degli sviluppi tecnologici e di elaborazione. La cosa fondamentale da ricordare è che gli identificatori come quelli citati sono considerati dati personali perché possono portare all'identificazione di un soggetto (gli identificatori online in combinazione con altri identificatori sono di fatto utilizzati per la profilazione, che è esplicitamente menzionata nel GDPR). I dati genetici sono chiaramente considerati dati personali, come si può leggere nell’articolo 34. Inoltre, i dati genetici sono considerati dati sensibili e meritano una protezione speciale. Lo stesso vale per i dati sulla salute personale, che includono informazioni derivate dai dati genetici, ma vanno molto oltre, come spiegato nell’articolo 35 del GDPR che riassume varie forme di dati personali relativi all'assistenza sanitaria che rientrano nel regolamento (e per i quali ci sono regole speciali di protezione).
Quindi la regola d'oro è: il contesto è importante. Più dati vengono combinati e aggregati, più i dati personali diventano più consistenti e più diventa difficile distinguerli e più alti sono i rischi e le responsabilità. Tutto ciò può portare a multe e sanzioni. A volte un indirizzo email può essere sufficiente per identificare qualcuno. A volte hai bisogno di un mix di identificatori online e di altro tipo.
Ultimo ma non meno importante: il GDPR dell'UE non riguarda i dati anonimi. Tuttavia, riguarda i cosiddetti dati personali pseudonimizzati a causa della pseudonimizzazione, spesso usata come "tattica" tra la sicurezza e l’analisi, che può essere invertita e, al contrario dei dati anonimi, si può risalire a una persona fisica identificabile: il soggetto interessato. Tuttavia, la pseudonimizzazione, insieme alla crittografia, è uno dei metodi che il GDPR raccomanda come "misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio".
2. Trattamento dei dati personali e rischi per la privacy
In questa sezione esamineremo brevemente il trattamento dei dati personali e faremo riferimento ad una serie di rischi per la privacy che potrebbero portare ad una violazione dei dati. Inizieremo con un estratto dal GDPR.
Il regolamento fornisce la definizione di "trattamento" (di dati personali) nell’articolo 4 come segue: “trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”.
Per una comprensione più approfondita del trattamento dei dati, dobbiamo comprendere i soggetti coinvolti in questa procedura. Abbiamo tre soggetti principali che possono partecipare alla procedura di elaborazione. Il "titolare del trattamento" (controller), il "responsabile del trattamento" (processor) ed il "soggetto dei dati" (data subject).
1) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
2) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
3) «soggetto dei dati»: l'individuo al quale fanno riferimento determinati dati personali.
Forniremo adesso due esempi di elaborazione di dati personali da parte di servizi online: un esempio di elaborazione non automatizzata ed uno di elaborazione automatizzata:
1) Esempio di elaborazione non automatizzata: un servizio online richiede che un utente compili un modulo e invii le sue informazioni personali (nome, sesso, email, ecc.) per l'archiviazione in un database online.
2) Esempio di elaborazione automatizzata: un servizio online acquisisce l'IP e il comportamento di un utente e raccoglie e archivia sistematicamente queste informazioni.
Quindi, il GDPR regola sia la raccolta che la registrazione e l’archiviazione automatica e/o non automatica dei dati personali. Inoltre, la definizione che il GDPR fornisce riguardo all'elaborazione include alcuni punti interessanti. Solo per citarne uno, ci concentreremo sulla “divulgazione per trasmissione”. Questo potrebbe essere sia un requisito funzionale che non funzionale per gli sviluppatori. In primis perché il servizio che tratterà i dati deve garantire che non venga divulgata alcuna informazione (a terzi) senza il consenso anticipato dell'utente. In secondo luogo, perché questo potrebbe essere il risultato di un cattivo progetto della parte funzionale del servizio, ad esempio effettuando richieste GET su HTTP. Di conseguenza, quando il servizio trasmette i dati dell'utente, sarebbe molto facile per una terza parte non autorizzata acquisire potenzialmente i dati personali degli utenti, ad esempio tramite gli URL in caso di assenza di crittografia e/o pseudonimizzazione.
Inoltre, l’articolo 5 del GDPR fornisce i principi relativi al trattamento dei dati personali. Di seguito le loro descrizioni come previsto dal regolamento:
· Liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti del soggetto interessato.
· Limitazione della finalità: i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.
· Minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
· Esattezza: i dati personali devono essere esatti e, se necessario, aggiornati.
· Limitazione della conservazione: i dati personali devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
· Integrità e riservatezza: i dati personali devono essere trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
· Responsabilità: il titolare del trattamento (controller) deve essere responsabile essendo conforme al GDPR.
Sulla base della descrizione fornita fino ad ora, è facile capire la frequenza con la quale i dati personali vengono consultati dai fornitori di servizi online (data controller/processor) senza la consapevolezza della persona interessata. Infatti, ci sono diversi scenari di modelli di condivisione dei dati personali tra utenti e fornitori di servizi online. Ad esempio, un utente condivide i suoi dati con un fornitore di servizi online con il suo consenso, in modo che possa utilizzare i suoi servizi. Un problema normale, in questo scenario, è che il servizio potrebbe richiedere più dati di quelli necessari al servizio in questione per la fornitura del servizio, oltre a quelli effettivamente richiesti. Questo è il punto in cui il GDPR richiede la minimizzazione dei dati.
Un altro scenario del modello di condivisione dei dati personali potrebbe essere il seguente: un servizio non chiede all'utente di inviare nessuno dei suoi dati personali, ma allo stesso tempo il servizio profila i suoi utenti raccogliendo automaticamente diversi dati che possono essere utilizzati per de-anonimizzare o tracciare gli utenti, ad esempio per motivi pubblicitari o di marketing. Di conseguenza, oggi un utente può essere "spiato" ed essere profilato dai servizi online con o senza il suo consenso per diversi motivi.
Anche in quest’ultimo scenario verrebbe richiesto il consenso dell'utente (sotto GDPR) per il trattamento dei suoi dati personali da parte del fornitore di servizi che li sta raccogliendo, per la ragione per la quale vengono raccolti, per come verranno elaborati, per come saranno protetti, per come vengono spostati e per quanto tempo saranno conservati; servirà in anticipo raccogliere tutte le informazioni.
Nei prossimi articoli analizzeremo il campo di applicazione territoriale e i terreni giuridici per il trattamento dei dati personali, approfondendo la categoria dei "dati personali sensibili".
Disclaimer legale: Questo articolo contiene informazioni generali su questioni legali. Le informazioni contenute non sono un consiglio e non dovrebbero essere trattate come tali. Non dovresti fare affidamento sulle informazioni su questo articolo come alternativa alla consulenza legale del tuo avvocato o di altri fornitori di servizi legali professionali. Se avete domande specifiche su qualsiasi questione legale dovreste consultare il vostro avvocato o un altro fornitore di servizi legali professionali. Non si dovrebbe mai ritardare la ricerca di consulenza legale, ignorare la consulenza legale, o iniziare o interrompere qualsiasi azione legale a causa di informazioni su questo sito.
Panoramica del GDPR: decriptare il regolamento
Claudio Peri