I dati personali sono al centro della digital transformation. Che si parli di servizi alla persona, di auto a guida autonoma, di controllo a distanza della propria abitazione e degli elettrodomestici o di smart working o smart metering il punto cruciale dell’innovazione è trasformare in servizi innovativi per le persone o relativi alle persone l’enorme mole di dati che le nuove tecnologie consentono di raccogliere, analizzare, tracciare, condividere e incrociare.
I fatti di cronaca hanno già fatto emergere i rischi associati a tutto ciò: rischi legati alla sicurezza, ma anche rischi derivanti dall’uso dei dati e da una sottovalutazione delle conseguenze del particolare trattamento che si pone in essere. Rischi non confinati nella sfera digitale ma che possono incidere sulla vita fisica delle persone, provocando danni rilevanti e, talvolta, irreparabili o addirittura mortali.
Il GDPR e il rapporto tra innovazione e libertà
Il Regolamento europeo interviene in questo rapporto fra innovazione digitale, da un lato, e diritti e libertà delle persone responsabilizzando il Titolare del trattamento, definendo nuovi diritti per le persone, nuove figure di garanzia e nuovi obblighi per le aziende. Tra questi ultimi quelli che vanno sotto il nome di “Data Protection by design” e di “Data protection impact assessment” di cui si occupa questo articolo.
In, sintesi, il Titolare, cioè l’azienda, è individuato dal Regolamento come il soggetto che meglio può valutare come dare attuazione alla normativa nel proprio contesto operativo ed è responsabile (accountable) di questa valutazione e delle scelte conseguenti.
In questo contesto generale, secondo il testo italiano, il Titolare deve inserire la protezione dei dati personali tra i vincoli da considerare fin dai primi passi della progettazione di ogni nuovo servizio o prodotto basato su dati personali e di cui tenere conto in ogni fase dello sviluppo del progetto (figura 1).
Figura 1 – Data Protection by design
Quando poi le caratteristiche del nuovo trattamento possono generare rischi particolari, anche in relazione all’uso di nuove tecnologie, scatta l’obbligo di un approfondimento mirato, l’analisi di impatto sulla protezione dei dati personali (figura 2), che può sfociare, se ritenuto necessario, nella consultazione (non autorizzazione) preventiva dell’Autorità di controllo (art. 36).
Non sono, dunque, previste autorizzazioni preventive, come invece avviene oggi. La valutazione finale sulla rispondenza del nuovo servizio ai requisiti del GDPR rimane in capo al Titolare che se ne assume la piena responsabilità.
Figura 2 – Data protection impact assessment
In questo modo, l’intero processo di innovazione rimane sotto il controllo del Titolare: i tempi dell’innovazione non sono più condizionati dall’efficienza di un soggetto esterno, come il Garante, o dalla capacità di questo di capire e valutare tecnologie, contesto e impatto.
Naturalmente il Titolare è tanto libero quanto “accountable” delle scelte che fa: le deve documentare e deve saper dimostrare la rispondenza di queste ai requisiti regolamentari, avvalendosi del Data Protection Officer quando questa figura è presente. Di questo può essere chiamato a rispondere da un’ispezione o da un giudice ordinario in seguito, ad esempio, ad una class action promossa dagli interessati.
Strumenti di governo della digital transformation
Data protection by design e Data protection impact assessment costituiscono, quindi, il filtro attraverso cui ogni innovazione deve passare (figura 3): sono cioè lo strumento di governo della Digital transformation per quanto attiene il rispetto delle libertà e dei diritti delle persone nell’era digitale. La loro valenza non riguarda tanto i trattamenti in essere quanto tutta l’innovazione digitale che dal 25 maggio 2018 investirà le imprese e la società, da qualunque area geografica arrivi e qualsiasi finalità persegua.
Figura 3 – Il GDPR e l’innovazione
Questo è il contesto generale. Alcuni approfondimenti però si impongono.
- Data Protection by Design e Data Protection impact assessment non riguardano solo le esigenze di sicurezza del dato personale. La sicurezza è uno dei sei principi applicabili al trattamento dei dati personali che sono elencati al primo comma dell’articolo 5 del GDPR. Anche gli altri cinque devono essere valutati, per come sono declinati dagli articoli che li sviluppano. Non si tratta, quindi, di articoli con un profilo esclusivamente tecnologico, di competenza del CIO o del CISO.
Se si parla di rischio, a questo proposito, si deve intendere il rischio conseguente al mancato rispetto del GDPR: Data protection by design e Data protection impact assessment riguardano, per così dire, la fisiologia del trattamento non solo la patologia (artt. 32, 33, 34). - Gli attori primari, quelli che innescano queste procedure, non sono i professionisti della protezione dei dati personali, quelli che in azienda conoscono la norma e la trattano quotidianamente, ma i progettisti dell’innovazione, cioè soggetti del tutto diversi, difficili da individuare a priori perché dispersi nell’organizzazione, e con una formazione e una professionalità che raramente include competenze legali o una conoscenza approfondita della normativa.
- L’innovazione non sempre è pianificata centralmente. Il costo di una app rientra ormai in budget anche assai ridotti che non richiedono particolari approvazioni per essere spesi ma le implicazioni di quella app possono essere assai rilevanti per i dati personali di milioni di persone e, conseguentemente, possono esporre il Titolare, cioè l’azienda, a rischi assai rilevanti e sotto diversi profili.
Intercettare l’innovazione là dove avviene e nel momento in cui avviene è la sfida che questi articoli del GDPR pongono alle imprese. - Più che concentrarsi su complicate metodologie di Data Protection by design o di Data Protection impact assessment, è dunque essenziale lavorare per assicurarsi che:
- la consapevolezza della criticità del trattamento di dati personali in ogni processo di innovazione diventi un elemento acquisito dalla cultura aziendale. Nessuno progetta nuovi servizi, grandi e piccoli, senza preoccuparsi, ad esempio, dei costi di attuazione e di esercizio: allo stesso modo nessuno dovrà farlo senza pensare alla protezione dei dati personali. Non è essenziale che tutti diventino esperti di Data Protection ma che tutti siano consapevoli del problema e sappiano/possano coinvolgere un supporto adeguato.
- le procedure da attivare per gestirle correttamente esistano e siano semplici, chiare, conosciute e facilmente raggiungibili e utilizzabili da chiunque. Soprattutto nei primi periodi di applicazione della nuova normativa una metodologia complessa e onerosa sarebbe un ostacolo, non un aiuto alla compliance sostanziale delle aziende. Il primo obiettivo è che ogni innovazione, grande o piccola, costosa o gratuita, sia valutata secondo questi articoli del GDPR. Quando poi la maturità delle organizzazioni sarà adeguata, bisognerà imparare a essere selettivi, usando metodologie specializzate in funzione delle tecnologie utilizzate e con gradi di complessità diversi in funzione del tema in oggetto.
In sintesi: è il rapporto fra azienda e innovazione a dover essere reso conforme al GDPR, con tutta la complessità che questo comporta. Non è un tema limitabile a chi si occupa di compliance, è un tema che riguarda l’intera organizzazione.