Il regolamento UE 2016/679 anche conosciuto come GDPR (General Data Protection Regulamentation) è un Regolamento Europeo approvato il 14/04/2016 ed entrato in vigore il 25/04/2016 (direttamente applicabile a partire dal 25/04/2018).
Il GDPR, come ogni regolamento europeo, è un atto giuridico obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri. Esso stabilisce le norme relative al trattamento dei dati personali delle persone fisiche, quindi diritti e doveri nella gestione del dato.
Questo regolamento è indirizzato ad aziende e lavoratori autonomi all’interno dell’Unione Europea nonché a tutte le attività che hanno come target utenti all’interno del territorio UE. Pertanto tutte le attività extra UE che riguardano l’offerta di beni, la prestazione di servizi, o il monitoraggio del comportamenti di soggetti all’interno dell’UE, sono soggette al Regolamento.
- regolamento UE 2016/679
- direttiva UE 2016/280
Disclaimer
Questo articolo vuole essere un punto di partenza per gli sviluppatori che intendono adeguare i propri software.
Non vuole in nessun modo fornire una visione completa ed esaustiva sul GDPR (non tratterà ad esempio la nomina dei DPO) né va intesto come sostitutivo ad una consulenza legale.
Si consiglia una lettura approfondita della Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali del Garante della Privacy.
Il dato personale
Punto cardine (in quanto oggetto della tutela) del GDPR è il concetto di dato personale.
È inteso come dato personale qualsiasi informazione in grado di identificare (o di rendere identificabile), anche a fronte dell’incrocio con altre informazioni, una persona fisica.
Sulla base di questa definizione sono da considerare dati personali (ad esempio): il nome e cognome, data di nascita, luogo di nascita, codice fiscale, l’indirizzo di casa, numero della carta di identità (patente, passaporto, etc), informazioni genetiche (tra cui i dati biometrici), il numero di telefono, etc.
Esistono categorie di dati come ad esempio l’indirizzo e-mail, lo username o l’indirizzo IP che di per sé potrebbero non ricadere nella definizione di dato personale, ma che vale la pena considerare come tali. Uno username sì fatto “paolo_rizzello” può identificare la mia persona e pertanto va trattato come dato personale (stesso discorso vale per un indirizzo IP pubblico che sia esso statico o associato ad un’informazione temporale).
Va tenuto presente che fra i dati personali esistono categorie di dati considerate particolari che richiedono un trattamento speciale o che semplicemente non possono essere trattate (a meno di particolari condizioni), tra queste: dati relativi all’origine razziale o etnica, all’opinione politica, alle convinzioni filosofiche o religiose, i (suddetti) dati biometrici, dati relativi alla salute, etc.
Nuovi diritti degli utilizzatori
Il GDPR introduce una serie di diritti per i destinatari del trattamento, in particolare:
- Diritto di accesso alle informazioni
- Diritto di limitazione del trattamento
- Diritto all’oblio
- Diritto alla portabilità
Diritto di accesso alle informazioni e diritto alla portabilità
Sono due diritti per i quali è necessario predisporre delle procedure operative che consentano l’esportazione dei dati utente.
L’esportazione dei dati utente in nostro possesso può essere fatta in un formato aperto come XML o JSON.
Diritto di limitazione del trattamento e diritto all’oblio
Sono i due diritti per i quali è necessario predisporre delle procedure operative che consentano la cancellazione in tutto o in parte, dei dati personali dell’utente, dal sistema.
Per il diritto di limitazione del trattamento è importante che le operazioni di opt-out siano semplici tanto quanto quelle di opt-in.
Qualora non fosse possibile rimuovere le informazioni utente una strada percorribile potrebbe essere quella di anonimizzare tali informazioni.
Va tenuto presente che il diritto all’oblio non si applica a tutte quelle informazioni che devono essere mantenute nei sistemi per fini legali (es. fatturazione, per le finalità fiscali, log di sistema, etc).
Responsabilizzazione del Titolare del Trattamento
Il Titolare del trattamento (ovvero la persona fisica o giuridica che determina le finalità e i mezzi del trattamento di dati personali, nonché designa responsabili e personale preposto al trattamento) è sempre direttamente responsabile del dato e di come viene trattato.
Questo implica che il Titolare dovrà adottare adeguate misure tecnico/organizzative in grado assicurare l’applicazione del regolamento a livello aziendale e di garantire sicurezza.
Le Informative
Il GDPR ha un impatto molto più amplio di quel che si pensa e il primo step per raggiungere la compliancy è quello di analizzare e adeguare i processi aziendali ed i software che trattano i dati. Le sole informative, sebbene necessarie, non sono sufficienti per raggiungere l’adeguamento, se non vi è dietro una gestione del dato nel pieno rispetto della base giuridica nonché la definizione delle dovute procedure operative atte a garantire i diritti e i doveri su citati.
Nella stesura delle informative è necessario rispettare alcuni principi:
- Illustrare con parole semplici le finalità dei vari trattamenti
- Riportare il titolare ed eventualmente responsabili e DPO
- Riportare il periodo di conservazione dei dati o perlomeno i criteri necessari a calcolare tale periodo
- Riportare se il trattamento prevede
- Il trasferimento dati in paesi terzi (specificando le modalità)
- L’utilizzo di processi decisionali automatizzati (specificando la logica di tali processi)
Il Consenso
L’ottenimento del consenso, da parte dell’utente è uno dei punti caldi del GDPR. Il consenso deve essere ottenuto tramite azione positiva da parte dell’utente. Il consenso, per essere considerato valido, deve essere:
- Libero, ovvero privo di condizionamenti. L’utente deve poter esprimere il consenso senza che vi siano conseguenze negative in caso di mancato consenso, raggiri o intimidazioni
- Preventivo, ovvero deve precedere le operazioni di trattamento e non può essere postumo
- Specifico, ovvero essere espresso per la singola finalità del trattamento. Non è quindi possibile accorpare più di una finalità sulla stessa richiesta di consenso.
- Informato. L’utente deve essere messo al corrente in modo chiaro circa i dati raccolti e le finalità, le figure terze coinvolte nel trattamento, etc.
- Verificabile: il titolare deve essere in grado di dimostrare che l’utente ha conferito il consenso per un determinato trattamento.
- Revocabile: l’utente ha il diritto di revocare, in qualsiasi momento e senza alcuna motivazione, il consenso precedentemente conferito
Il GDPR ed EU Cookie Law
Il GDPR non è da considerare un sostituto della EU Cookie Law, né fa riferimento a cookie nel suo testo di legge (eccezione fatta per il considerando 30). I cookie che contengono delle mere informazioni di natura tecnica che non possono essere utilizzate per tracciare/profilare l’utente, devono essere gestiti secondo i principi descritti dalla Cookie Law.
Diverso discorso si applica invece ai cookie di tracciamento/profilazione nonché tutti i cookie (anche tecnici) che contengono dati personali dell’utente (in questo caso bisognerebbe anche stabilire per quale motivo un cookie contiene dati personali dell’utente e se non esiste una soluzione alternativa).
Nel momento in cui i cookie entrano a far parte di un processo di trattamento è necessario rispettare i principi introdotti dal GDPR. In particolare, il consenso per questi cookie dovrà essere libero, specifico, informato inequivocabile, dimostrabile e revocabile.
A livello operativo è necessario che il nostro cookie banner fornisca all’utente:
- informazioni dettagliate sulle finalità per le quali i vari cookie vengono installati nel suo sistema,
- la possibilità di esprimere consenso positivo o negativo
- la possibilità di revocare il consenso
Rischi, Data Breach e misure di sicurezza
Il GDPR pone una forte attenzione sul Data Breach (eventi di accesso non autorizzato ai dati personali). Oltre alle misure di sicurezza necessarie ad impedire simili eventi è necessario disporre di opportune procedure/strumenti di monitoraggio per identificare gli accessi non autorizzati ai nostri sistemi.
L’approccio conservativo, nella stesura (o adeguamento di un software) è sicuramente un primo step per la riduzione del rischio: mantenere nei sistemi informatici le sole informazioni essenziali per il trattamento o una versione “pseudonimizzata” di esse (come avviene nel salvataggio delle password con meccanismi di hashing+salt) consente di ridurre il numero di dati privati, presenti sui nostri sistemi.
Per tutte quelle informazioni personali, che devono essere mantenute nei sistemi, un’ottima soluzione potrebbe essere quella di crittografare i database (per i laravel user ho scritto un articolo che spiega come implementare un livello di crittografia su Eloquent).
Per il mantenimento in sicurezza dei sistemi è opportuno stendere un piano di aggiornamento periodico, nonché una serie di procedure di backup e disaster recovery.
È necessario assicurarsi che i nostri provider (e tutti i responsabili) siano GDPR compliant.
Infine è opportuno avere un occhio di riguardo per il wetware (la parte umida del software): è opportuno formare gli utilizzatori dei nostri sistemi in materia di privacy e sicurezza, per evitare attacchi di social engineering.
Conclusioni
Il GDPR è sicuramente un grande cambiamento e come ogni grande cambiamento ha generato grande malcontento fra le aziende che devono rendersi conformi.
Se dovessimo guardare tuttavia la questione da un punto di vista oggettivo, e con una prospettiva più apia, fra gioie e dolori, si sentiva la mancanza di un regolamento che ponesse un freno all’uso sconsiderato (volente o nolente) dei dati, da parte delle aziende.
Infine, se da un lato il processo di compliancy può essere doloroso in termini di risorse, dall’altro fornisce un’istantanea dell’azienda, garantisce maggiore sicurezza, rende formali e documentati i processi interni, nonché stabilisce obblighi e diritti fra i vari soggetti che entrano a contatto con la realtà aziendale (siano essi clienti, utenti, dipendenti, fornitori, etc).
