L’articolo 25 del GDPR si concentra su principi fondamentali: privacy by design e privacy by default. Essi si applicano in modo specifico al mercato delle soluzioni e applicazioni IT, coinvolgendo l’intero ciclo, dallo sviluppo all’implementazione.

Requisito e obiettivo di questa parte della normativa è rendere la responsabilità dei titolari consapevole rispetto alle scelte effettuate, coniugando la necessità di dimostrare quali misure sono state adottate a tutela dei dati.

Di questo tratta il principio di privacy by design che, operando in coerenza con quello di accountability, richiede, sul piano pratico, il coinvolgimento diretto dei titolari rispetto alle misure scelte.

Le misure tecniche

Partendo da quelle “tecniche” si può dire che esse rappresentino parametri e soluzioni di protezione che mirano a limitare e ridurre il più possibile e in modo efficace il rischio di violazione, furto o perdita, dei dati. Non vengono definite in maniera specifica e dettagliata ma si lascia alla libera scelta del titolare attuare le azioni che ritiene più idonee, in modo da consentirne la variazione a seconda della specificità del business piuttosto che della tecnologia utilizzata, dei dati trattati, delle finalità e di tutte quelle variabili che possono intervenire.

L’articolo 32 ne richiama, tuttavia, alcune che fungono da guida di base per chi sviluppa, implementa o deve valutare, anche in fase post-sviluppo, il grado di compliance delle soluzioni realizzate. Si parla dunque, di pseudonimizzazione e minimizzazione dei dati, per evitare l’immediata e semplice associazione del dato al soggetto fisico a cui si riferisce. Sono citate anche cifratura, capacità di ripristino ed accesso ai dati e garanzia della riservatezza.

Le misure organizzative

Nella categoria delle misure organizzative, alle quali fa riferimento sempre l’articolo 25 GDPR, sono raggruppate tutte le misure volte a disciplinare la creazione e la gestione dei profili di autorizzazione compresi quelli degli amministratori di sistema o ancora le modalità di verifica delle misure di sicurezza da adottare in caso di implementazione.

Obblighi e responsabilità di Titolari e Fornitori

Più complesso può risultare la lettura delle responsabilità giuridiche di chi realizza un software e di chi invece lo acquisisce. Si tratta, però, di un nodo fondamentale che deve sempre essere sciolto, da imprese ed enti, a tutela degli investimenti programmati, evitando i rischi di progetti che comprendano soluzioni non conformi.

In fase di acquisto o commissione di sviluppo di una soluzione, il Titolare del trattamento è obbligato a realizzare una valutazione delle misure – sia tecniche che organizzative – che prevede di adottare. Non sempre, a livello pratico, questa via è percorribile; capita, quindi, che la responsabilità del controllo venga trasferita al Fornitore. Quest’ultimo, per non entrare in contrasto con il principio di accountability, dovrà assicurare la possibilità di settare le diverse funzioni a discrezione del Titolare (si pensi, ad esempio, alla cancellazione dei dati o ai profili di autorizzazioni).

Nel caso in cui un Fornitore voglia rilasciare un software “chiuso”, non personalizzabile, la sua responsabilità rispetto ai criteri di sicurezza applicati, si accresce. Occorrerà, quindi, formalizzare tutte le ipotesi e le responsabilità a livello contrattuale, dando evidenza dell’impossibilità di intervento da parte del Cliente.

Escludendo il settore di Enti e PA, che operano attraverso bandi e gare, nel privato una prassi di acquisizione della documentazione che attesti l’effettiva e comprovata conformità normativa del software viaggia ancora a rilento, esponendo le imprese a conseguenze giuridiche di non poco conto.

I comportamenti più corretti

Due sono gli step fondamentali: la verifica preliminare della soluzione da parte del Titolare rispetto ai principi e alle misure applicate alle diverse tipologie di dati di cui è Titolare e rispetto alle scelte perseguite. Il secondo riguarda il Fornitore che dovrà attuare, a sua volta, verifica di conformità del software per quanto riguarda la tipologia di dati trattati, le misure tecniche impostate ed impostabili, le procedure organizzative di rilascio, il caricamento dati e amministrazione del sistema, nonché la contrattualizzazione delle specifiche responsabilità. Si tratta di passi fondanti ma non necessariamente sufficienti per ogni casistica possibile. Per questo occorre sempre affidarsi a un’analisi accurata e centrata sulla propria realtà di business.