Diritto && Tecnologia

Approfondimenti ed aggiornamenti su diritto e tecnologia.
Domenica, 15 Marzo 2020 16:46

Privacy by design: non solo sulla carta.

Scritto da
Privacy by design - GDPR Image By Dooffy - https://pixabay.com/illustrations/gdpr-castle-protection-privacy-3285252/, CC0, https://commons.wikimedia.org/w/index.php?curid=77165450

Il concetto di privacy by design, unitamente a quello di privacy by default, posto a presidio delle attività di prevenzione dei rischi in materia di trattamento dei dati personali, assume nella disciplina tracciata dal Regolamento Europeo per la Protezione dei Dati 679/2016 (GDPR) un ruolo fondamentale nella declinazione dei compiti del titolare e, in quindi, nella definizione dei contorni della sua “accountability”.

Tuttavia, attesa anche forse la sinteticità del disposto dell’art. 25 del GDPR, l’importanza della protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design e by default), non sempre viene percepita nella sua rilevanza centrale nell’applicazione pratica e nell’impostazione delle attività del Titolare.

Privacy by design secondo il Garante Norvegese

A sottolineare la centralità del principio della privacy by design, e, quindi, l’importanza di affrontare il tema della prevenzione dei rischi fin dalle prime fasi di impostazione di nuove iniziative che comportano il trattamento dei dati personali, è di recente intervenuta l’Autorità Garante per la protezione dei dati personali Norvegese (“Datatilsynet”) sanzionando l’Agenzia per l’istruzione della municipalità di Oslo con un’ammenda di 120.000 euro, alla quale ha contestato l’insufficiente livello di sicurezza di un’applicazione mobile (“Skolemelding”) utilizzata per la comunicazione tra scuola, genitori ed alunni.

Datatilsynet ha rilevato la violazione dei principi di privacy by design per mancanza di implementazione di misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.



Criticità riscontrate

Nello specifico, la contestazione ha riguardato i seguenti aspetti di criticità della progettazione e implementazione dell’applicazione mobile Skolemelding:

  1. Previsione di un campo libero a disposizione dei genitori in cui gli stessi potevano inviare messaggi dei propri figli circa le assenze da scuola. Ciò consentiva ai genitori di inviare qualsiasi tipo di informazione, ivi inclusi riferimenti a malattie (cd. dati particolari), senza alcun filtro.
  2. Assenza di garanzie di sicurezza nell’accesso che ha permesso a persone non autorizzate di accedere e modificare i dati personali di oltre 63.000 alunni.
  3. Lancio dell’applicazione nonostante fossero note le vulnerabilità della sicurezza, accertate mediante test eseguiti in precedenza e non risolte prima della messa a disposizione degli utenti.

Nel contestare il difetto di attenzione del Titolare verso l’importanza della protezione fin dalla progettazione, Datatilsynet ha altresì evidenziato nello specifico come, un approccio orientato alla valorizzazione di questo principio, avrebbe potuto e dovuto condurre all’adozione preventiva di taluni specifici accorgimenti.

Limitare l'inserimento di dati non previsti

Nello specifico, con riferimento al punto 1), secondo Datatilsynet il Titolare avrebbe dovuto evitare di mettere a disposizione degli utenti un campo vuoto, magari sostituendolo con un menù a tendina o altre forme di scelta vincolata che limitano la possibilità di inserimento di dati non previsti. Ancora, rileva il Garante norvegese che, in caso di valutata necessità di adozione di un campo libero, il Titolare dovrebbe sempre includere un avviso per scoraggiare l’inserimento di dati particolari. Datatilsynet, poi, si spinge addirittura a consigliare l’adozione di sistemi specifici (a parere di chi scrive complessi e onerosi) che consentano la regolare ricerca nei database di dati particolari, con successiva rimozione automatica di dati indesiderati.

Sicurezza e sistemi di autenticazione

Con riferimento al punto 2), invece, il Garante norvegese, richiama la necessità di evitare sistemi di autenticazione troppo elementari, favorendo invece ad esempio l’autenticazione a più fattori e prevendendone, a seguito di una valutazione del rischio, l’obbligatorietà o facoltatività a seconda della soglia di rischio individuata. Sempre sul punto, altra raccomandazione interessante è quella secondo cui il Titolare dovrebbe implementare sistemi automatici di avviso (per esempio a mezzo mail) che informano l’utente di eventuali cambi di password o modifiche dell’account.

Test di sicurezza preventivi

Con riferimento all’ultimo punto 3), infine, il Garante Norvegese rileva come i test di sicurezza siano una parte importantissima da eseguire sempre prima del lancio dei prodotti, con la conseguenza che non dovrebbero essere rimandati al periodo successivo quando le applicazioni sono già utilizzate per il trattamento dei dati e, in sostanza, utilizzare gli stessi utenti come tester.

Violazioni al GDPR riscontrate

Alla luce di quanto sopra, sono diversi i principi del GDPR che risultano violati: dalla mancata attenzione alla fase di progettazione dei mezzi e delle attività di trattamento. Sicuramente non si considerano rispettati gli obblighi di cui all’art. 32, par. 1, lett. b), inerenti “capacità di assicurare su base permanente la riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento”, laddove l’applicazione Skolemelding non garantiva la sicurezza delle funzioni di accesso.

Al tempo stesso, l’omessa esecuzione di adeguati test di sicurezza preventivi ha violato l’art. 32, par. 1, lett. d) del GDPR, che impone al Titolare l’adozione di “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche organizzative al fine di garantire la sicurezza del trattamento”.

Sotto altro profilo, inoltre, il lancio dell’applicazione con le vulnerabilità conosciute ha comportato la responsabilità per violazione del principio di accountability del Titolare di cui all’art. 5, par. 2, con riferimento all’art. 5, par. 1, lett. f) (principio di integrità e riservatezza) e, nel momento in cui non forniva strumenti agli utenti per limitare o impedire la raccolta indesiderata di dati personali e, in quanto tale, non necessaria rispetto alle finalità, anche art. 5, par. 1, lett. c) del GDPR (principio di minimizzazione dei dati).

Conclusioni

Alla luce della decisione del Garante norvegese, quindi, si evidenzia come l’attenzione alla prevenzione dei rischi assuma un ruolo centrale in tutta l’attività di trattamento del Titolare che non può esser relegata a meri adempimenti formali e, in particolare, come il principio di privacy by design non deve essere interpretato alla stregua di un mero precetto astratto da rispettare soltanto sulla carta, pena il mancato rispetto del principio di accountability.


Creative Commons License
Andrea Stigi


Avvocato consulente di impresa a Roma nei settori del Diritto Civile e Commerciale.
L’attenzione costante verso le continue novità normative e i temi di attualità,, mi ha portato negli ultimi tempi ad occuparmi delle esigenze della clientela in materia della protezione dei dati personali, prestando assistenza e consulenza per l’adeguamento alla normativa nazionale ed europea (GDPR).

Il mio profilo su Avvocloud
I miei articoli sul blog
Contatto email

Creative Commons License Che significa?

Emergenza COVID-19

Cerca Avvocato

Cerca l'avvocato adatto al tuo caso legale con lo strumento di ricerca rapida..

Chiedi ad un Avvocato

Gli avvocati rispondono alle tue domande nella sezione "Chiedi ad un Avvocato".


Vedi Domande su COVID-19

Domande recenti

Amministratore di sostegno con procura a vendere (1 risposta)
17 ore fa
Buonasera, a giorni ho il rogito per acquisto prima casa con fondo Consap. La venditrice è amministratrice di sostegno della madre e abita a 200 km di distanza. La proprietaria...

Ordinanza sospensione cautelare lavori edili (0 risposte)
22 ore fa
La sovrintendenza di Salerno il 17/2 emette ordinanza di sospensione cautelare con Rif. all'art. 150 d.l. 42/2004.  Quali sono i termini di decadenza di detta ordinanza? Grazie

Rinuncia acquisto casa a causa covid 19 (2 risposte)
Ieri
 Buon giorno mi chiamo Daniela, Avrei bisogno di un informazione, mi e stato deliberato un mutuo il 18 febbraio 2020, dovrei rogitare il 16 aprile 2020, il problema è che a mio...

coronavirus: recesso da contratto preliminare acquisto immobile (2 risposte)
Ieri
Buongiorno, Nel novembre 2019 abbiamo sottoscritto un contratto preliminare per l'acquisto di un immobile, nella circostanza abbiamo anche versato una consistente caparra. Il...

Termini per la trascrizione alla conservatoria (2 risposte)
Ieri
quali sono i tempi per la trascrizione dell’atto  alla conservatoria  e se trascritto in ritardo può comportare annullamento dell’atto stesso  atto sottoscritto  il 18...
Questo sito utilizza cookies necessari al suo funzionamento come descritto nella COOKIE POLICY.
Chiudendo il banner o continuando la navigazione accetti l'uso dei cookies.