In merito al tema della Data Protection Engineering, compito dell’ENISA è la formulazione di consigli e raccomandazioni sulle buone pratiche che gli stakeholders dovrebbero osservare per garantire la sicurezza dei dati e delle informazioni.
Tra queste, si ricordano le raccomandazioni della stessa ENISA “Tecniche di pseudonimizzazione e migliori pratiche – Raccomandazioni per sviluppare tecnologie conformi alle disposizioni in materia di protezione dei dati e privacy” adottate nel novembre 2019, che si pongono in linea di continuità con il report di recente pubblicazione.
Quest’ultimo, tuttavia, non si sofferma esclusivamente sulla trattazione di aspetti di sicurezza, ma approfondisce temi giuridici, come la Privacy Policy o l’esercizio dei diritti da parte degli interessati, sottolineando come i principi previsti dal GDPR – specie trasparenza e protezione dei dati fin dalla progettazione e per impostazione predefinita – debbano essere tradotti in concetti ingegneristici.
Data Protection Engineering, tra evoluzione digitale e tecnicismi legali
La ramificazione dei processi digitali ha comportato la remotizzazione di numerose attività: si pensi all’aumento della digitalizzazione dei pagamenti che ha via via connotato l’Italia come “cashless society”. Sebbene i Data Engineers contribuiscano a implementare e configurare misure di sicurezza, quali l’anonimizzazione, la pseudonimizzazione, la crittografia, il mascheramento ed il controllo degli accessi, non possono trascurarsi i tecnicismi legali, tanto più nel panorama on-line dove il principale strumento mediante cui il Titolare del Trattamento può comunicare con gli interessati è la documentazione a carattere legale-informativo.
Per esempio, nel caso di navigazione mediante dispositivo mobile è necessario che il Titolare adempia all’obbligo di informazione nei confronti degli interessati, fornendo, in linea con il contesto di riferimento, le informazioni in modo stratificato. In base ad un approccio ingegneristico, infatti, alla fornitura delle informazioni in blocco – che potrebbe appesantire la lettura di un testo che di per sé si presta ad essere particolarmente lungo – deve prediligersi l’indicazione di quelle essenziali, con la possibilità di creare delle finestre dove l’utente possa attingere ulteriori dettagli.
Non solo, anche fare una valutazione prognostica sulla tipologia del dispositivo di navigazione e dei pollici massimi dello schermo consente di valutare se la dimensione del testo sia compatibile con le modalità di navigazione, oltreché apprezzabile anche da persone con disabilità visive.
Tal ultimo aspetto non è di minor importanza: si ricorda, infatti, che il Garante Privacy nelle “Linee guida cookie e altri strumenti di tracciamento” ha sottolineato come sia onere del Titolare adottare ogni più opportuno accorgimento affinché le informazioni contenute nel banner siano fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari, in conformità a quanto previsto dalla Legge 9 gennaio 2004, n. 4.
Da ciò ne consegue che anche la Privacy Policy e la Cookie Policy debbano essere correttamente fruibili da parte delle medesime.
L’approccio ingegneristico, volto alla semplificazione, non deve, però, comportare una distorsione delle informazioni: seppur concise, chiare e semplici, le stesse devono essere fruibili dall’utente di conoscenze medie per consentirgli di comprendere quali siano i propri diritti e i rischi connessi all’attività di trattamento.
La semplificazione, in termini di immediatezza e intellegibilità delle informazioni, potrebbe essere, quindi, soddisfatta sia mediante la redazione di un’Informativa Privacy multi-level, sia combinando il testo con icone, come previsto dall’art. 12 (7) GDPR secondo cui “le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto […]”.
Sul punto, si ricorda che l’uso delle icone è avallato dal Garante Privacy, il quale aveva indetto un contest per individuare quelle che potessero rendere le informative più chiare proprio grazie al loro potenziale immediatamente informativo.
I vantaggi di un approccio Data Protection Engineering
Nell’ambito dell’attività informativa, l’approccio Data Protection Engineering è, altresì, fondamentale per:
- verificare eventuali problemi di navigazione che potrebbero impedire agli utenti la visualizzazione della documentazione;
- verificare se i servizi resi su computer incorporati (come auto, dispositivi IoT) siano dotati di schermo per consentire all’utente la visualizzazione dei documenti informativi e di appositi comandi per esprimere eventuali consensi.
Come anticipato, la ramificazione dei processi digitali ha comportato la dematerializzazione delle attività.
Si pensi che l’invio del materiale promozionale cartaceo ha lasciato il passo all’attività di newsletter per la conduzione di attività di marketing e di profilazione, per le quali è necessario che l’utente presti due consensi distinti e separati, sempre previa dichiarazione di aver preso visione dell’Informativa Privacy resa ai sensi dell’art. 13 del GDPR.
Tuttavia, l’implementazione delle funzionalità dei servizi web o l’evoluzione del contesto del trattamento (per es. col coinvolgimento di nuovi attori o la variazione di finalità e basi giuridiche) potrebbe rendere necessario l’aggiornamento dell’informativa privacy ed il conseguente supporto ingegneristico per creare una dashboard che consenta all’utente di verificare lo stato dei consensi ed eventualmente gestire le proprie scelte. Inoltre, nel caso in cui l’informativa sia oggetto di modifica sarebbe opportuno che il Titolare, in ottica di accountability, tracci internamente l’evoluzione del versioning e notifichi agli utenti la revisione del documento affinché possano prendere visione dell’ultimo modello.
L’approccio ingegneristico potrebbe, altresì, semplificare il processo relativo alla soddisfazione delle richieste di esercizio di diritti da parte degli interessati:
- i costi legati all’elaborazione della richiesta di accesso e i tempi di riscontro potrebbero essere bypassati consentendo all’utente, in qualsiasi momento e tramite dashboard, di consultare i propri dati personali oggetto di trattamento, così come di rettificarli o cancellarli in totale autonomia;
- in caso di richieste macchinose (come nel caso di diritto di opposizione e portabilità) e numerose, potrebbe automatizzarsi il processo al fine di ridurre gli sforzi manuali e i costi organizzativi, specie quando il trattamento coinvolge diversi attori (per es. nel caso in cui il Titolare ricorresse a numerosi fornitori e fosse necessario veicolare le richieste nei confronti di tutti i medesimi fino a conclusione della mappatura dei dati trattati);
- potrebbe essere implementato un livello di autorizzazioni affinché accedano ai dati personali solo specifici soggetti autorizzati;
- potrebbe elaborarsi un sistema di identificazione dell’interessato che effettua la richiesta e, nel caso in cui la stessa non sia formulata dal medesimo, di verifica della delega al fine di prevenire il rischio di data breach.
Questi sono solo alcuni esempi di come una metodologia multi-disciplinare sia funzionale a tradurre i principi del GDPR in requisiti tangibili e consenta di individuare le misure tecniche e organizzative maggiormente appropriate al trattamento, implementandole continuativamente durante il ciclo di vita dei dati.
L’auspicio è che il report dell’ENISA sia la cartina tornasole per dimostrare come la protezione dei dati debba essere integrata in ciascuna attività di trattamento, sin dalla progettazione e per impostazione predefinita, garantendo il principio di trasparenza e un approccio interessato-centrico affinché questi sia correttamente informato sul trattamento e abbia il pieno controllo dei proprio dati.