La sfida della privacy by design e by default*

Già alla lettura delle prime bozze del nuovo Regolamento Generale sulla Protezione dei Dati (GDPR), due questioni avevano da subito attratto la mia attenzione e fatto sorgere diverse criticità. La prima riguarda l’art.13, par. 2, a), “nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato la seguente informazione: il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo”.

Siamo d’accordo, non è una vera novità, il principio della limitazione della conservazione esisteva già, solo che, improrogabilmente, dal 25 maggio 2018, sarebbe stato necessario pubblicizzare agli interessati la durata della conservazione dei dati da loro forniti, assumendosi da subito una responsabilità esplicita nell’affermare quindi di essere in grado di distruggere gli stessi dati raccolti al termine prefissato.

Cioè, in un mondo tecnologico basato sulla proliferazione dei dati, dalla continua interconnessione, del “tengo tutto e per sempre”, dei database relazionali, delle indicizzazioni sempre più spinte e in “real time”, occorreva essere certi di riuscire ad appiccicare ad ogni dato personale raccolto il suo fine vita, basato su una data certa oppure su un criterio per determinarla. Mission impossible? Direi quasi!

La seconda questione, ancora più potente ed ancor oggi diffusamente inapplicata, oltre che delicata in particolare considerazione del diffondersi di sistemi che utilizzano l’intelligenza artificiale, riguarda l’art. 25 “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”, per il quale riprendo due passaggi: il titolare del trattamento mette in atto misure tecniche e organizzative adeguate volte ad attuare in modo efficace i principi di protezione dei dati e volte a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.

Quindi il vostro sistema informatico, inteso come il complesso di infrastruttura hardware, sistemi operativi, software applicativi, modalità di connessione e comunicazione dovrebbe essere stato progettato e configurato come capace di garantire (con il minimo rischio correlato) l’applicazione della limitazione delle finalità e della conservazione, la minimizzazione, la disponibilità, l’integrità e la riservatezza dei dati. È ovvio che non ci siamo e deve cambiare il paradigma tecnologico, sarà quindi un lavoro lungo e in prospettiva che però, e qui sta la buona notizia, è già iniziato.

Sono proprio le odierne necessità di difendere disponibilità, integrità e riservatezza del complesso delle informazioni aziendali (e non solo dei dati personali) che ci stanno spingendo in quella direzione, sulla via dell’implementazione di un buon sistema di gestione sulla sicurezza delle informazioni. Il cybercrime, più che il GDPR, sta muovendo le organizzazioni a ripensare il proprio sistema informatico facendo propri i buoni principi di protezione dei dati, che si sposano, questi sì, con gli stesse principi esposti dal Regolamento UE.

La missione è creare un processo di miglioramento continuo che permetta di spingere al massimo la disponibilità dei dati, che è il vero fattore competitivo per le aziende, all’interno di un ambiente che consenta di impostare la desiderata riservatezza e la garantita integrità.

Occorre diminuire la superficie d’attacco e la prima mossa è quella di ridurre le quantità e il tempo. Devo sapere quali dati servono e quali posso eliminare o semplicemente non raccogliere, quale ciclo di vita applicare ai dati fondamentali per la mia organizzazione. Dal “tutto e per sempre” occorre passare al “necessario” sia in termini di dimensione che di durata. L’Impero Romano conquistava e manteneva, fino a che la dimensione raggiunta è stata semplicemente indifendibile.

La strategia sarà basata sul capire fin da subito di quali dati abbiamo necessità per sviluppare il business e non sul raccogliere qualsiasi cosa perché è facile e poi magari un giorno mi servirà.

Un’azienda moderna sarà sicura se sarà in grado quindi di progettare un sistema informatico capace di limitare la raccolta delle informazioni, di limitarne la conservazione, di minimizzarne l’utilizzo, di massimizzarne la disponibilità, di garantirne l’integrità, di mantenerne la riservatezza. A questo punto non sarà solo sicura, ma anche compliant.

*intervista a Daniele Gombi Ceo DataPro
“https://www.federprivacy.org/informazione/punto-di-vista/la-sfida-della-privacy-by-design-e-by-default