Il GDPR ed i rischi per i professionisti della security aziendale
Bene ci siamo: il 25 maggio ormai è alle porte, il GDPR è prossimo, ma non possiamo certo affermare che in ambito trattamento dei dati personali e privacy sia tutto compiuto. Molte cose sono ancora da fare, altre per nulla affrontate, talune ancora irrisolte! Dal prossimo giugno diventerà pienamente operativo il nuovo Regolamento europeo UE 2016/679, ma nessuno compiutamente ancora sa che pesci pigliare, né dove pescarli: e questa battutaccia la dice lunga, perché è l’unica cosa certa di tutta la complessa faccenda!
I titolari del trattamento dei dati sono in perenne movimento, tra un convegno e una tavola rotonda sul tema; la figura del DPO (data protection officer, in Italia denominata RPD responsabile protezione dati) fatica non poco a materializzarsi: ad oggi assomiglia sempre più ad una sorta di illustrazione interplanetaria, astratta, quasi mitologica. C’è poi una categoria speciale di professionisti coinvolta nel processo privacy e protezione dati, che fa capo ai progettisti/installatori, coloro che dovrebbero rappresentare l’interfaccia operativa deputata alla trasformazione, alla messa in pratica, su quanto previsto nel nuovo Regolamento, per realizzare sistemi compliance, quegli impianti tecnologici preposti alla raccolta, al trattamento, alla conservazione e alla protezione dei dati personali; parliamo di una categoria professionale relegata ormai a se stessa, che potremmo tranquillamente definire ibrida, infatti la domanda, non del tutto retorica, è: dovranno formarsi e rendersi conformi al dettato del nuovo GDPR? E se si, come? Secondo quanto previsto dall’allegato K contenuto nell’ultima revisione della norma CEI 79-3 (che stabilite le competenze ed i requisiti richiesti per coloro che operano nell’ambito della fornitura di servizi per i sistemi di sicurezza, videosorveglianza, etc)? O per mezzo di un OdC (organismo di certificazione) di terza parte sotto il controllo di Accredia? Esiste già uno schema accreditato? Una norma di settore (UNI)? Chi sono gli attori deputati alla progettazione? Quali garanzie professionali hanno, ma piuttosto danno? Devono essere obbligatoriamente professionisti certificati? E quale organismo li sorveglierà? Avranno le capacità tecnico-normative compliance in ambito privacy per progettare (privacy by design), per realizzare corrette misure di sicurezza (sicurezza fisica e logica), e idonei impianti tecnologici di raccolta (controllo accessi, biometria, videosorveglianza), di trattamento e protezione (server, ced, etc) dei dati personali?
Come si può ben vedere l’argomento non è del tutto marginale, e il legislatore dovrà per forza pronunciarsi sull’argomento, perché quando si affronta la sfera della raccolta e del trattamento dei dati personali, come gli ambiti della conservazione e della protezione, beh si sconfina immediatamente su professionisti diversi raccogliendo ulteriori responsabilità.
Ho più volte affrontato, nel corso del 2017, questo complesso e spinoso argomento sul tema della responsabilità professionale in materia civilistica (contrattuale ed extracontrattuale) dell’installatore, dei progettisti e degli altri stakeholders operanti nel settore della sicurezza integrata (safety e security); una responsabilità doppia originata, da una parte, dal punto di vista tecnico e applicativo della nuova norma CEI 79-3/2012, e dall’altra, dalle numerose sentenze di condanna (cassazione sent. N°. 5644/2012, N°12879/2012) emesse dai diversi tribunali della Repubblica, quale risarcimento ai danni prodotti per negligenza/colpa del professionista, o per il mancato/errato funzionamento delle tecnologie applicate negli impianti di sicurezza.
Orbene, prima di passare all’analisi delle nuove responsabilità previste dal Regolamento UE in carico ai professionisti di settore, riassumiamo velocemente quanto previsto attualmente dalla nostra legislazione nazionale (tecnico-giuridica), appartenente agli ambiti delle progettazioni/installazioni, e che affiancherà parallelamente il nuovo GDPR UE 2016/679. Va premesso, innanzitutto, che sussistono precetti giuridici sia di ordinamento civile, che di natura penale; distinti in due ulteriori ambiti normativi: uno di carattere generale, l’altro specifico.
Il primo si fonda sull’attuazione del contratto sottoscritto tra il professionista ed il committente; con la sottoscrizione dell’accordo, il professionista assume su di se l’obbligo dell’organizzazione per il compimento dello stesso, e quindi assumendosi il rischio delle proprie capacità, garantirà che le opere e/o servizi contrattualizzati con la committenza, siano esenti da difformità e/o vizi di funzionamento/operatività. In linea di principio il professionista dovrà sempre realizzare il progetto dal punto di vista tecnico, segnalando le eventuali difformità emerse nell’alveo delle istruzioni ricevute dal committente; infatti, sarà sempre esente da responsabilità quel professionista che informa il titolare delle non conformità contenute nelle istruzioni impartite, quando tali indicazioni avranno, come risultato tecnico ultimo, soluzioni divergenti dalle regole previste dalla conformità progettuale.
Il secondo riconduce a normazione più specifica, che fa capo al D.M. N° 37/2008, decreto che stabilisce gli standard minimi nel settore impiantistico, e al testo unico sulla sicurezza del lavoro, ovvero alla Legge N° 81/2008. Di natura strettamente tecnica il testo unico, dove viene imposto agli installatori di osservare rigorosamente tutte le norme a protezione della salute personale, obbligando il professionista a conformarsi ai requisiti di sicurezza previsti dalla legge, perché solo seguendo la regola dell’arte (Legge N° 186/1968) e le norme della buona tecnica (art. 2224 CC) si potrà escludere, a suo carico, ogni tipo di responsabilità contrattuale ed extracontrattuale. Mentre il D.M. 37/2008 rappresenta la cornice normativa di indirizzo nell’ambito delle progettazioni, installazione degli impianti tecnologici (sistemi di sicurezza in genere, videosorveglianza, accessi, biometria, etc), imponendo determinati parametri minimi di sicurezza per tutte le realizzazioni impiantistiche, prescrivendo peraltro, i titoli abilitativi per l’impresa (art.3), e successivamente i necessari requisiti professionali a carico del responsabile tecnico/progettista (art.4).
E’ bene non dimenticare poi un’altra cosa fondamentale: durante la fase concettuale della progettazione, l’elaborato va contestualizzato sempre alla regola dell’arte; difatti, con tale espressione il legislatore richiama il professionista a tutta una serie di obblighi, che vanno dalla produzione dei disegni planimetrici, dagli schemi elettrici di impianto fino alle relazioni tecniche descrittive della realizzazione, finendo al rilascio della dichiarazione di conformità (art.5) dell’impianto realizzato, che ricordo essere: un documento obbligatorio per legge che includerà il progetto, la relazione dei materiali utilizzati, la relazione di rispondenza dei materiali al contesto ambientale installativo, le caratteristiche tecniche delle apparecchiature utilizzate.
Appare evidente come le diverse normative tecniche, e non solo il testo unico sulla sicurezza, siano molto rigorose e complesse, ragion per cui andranno osservate alla lettera, giacché a supporto di tale quadro legislativo, e di caratterizzazione strettamente tecnica, esiste una norma, all’interno del nostro ordinamento penale, di carattere più generale, (art. 40 CP) che stabilisce un principio fondamentale: non impedire un evento che si ha l’obbligo giuridico di impedire, equivale a cagionarlo!
Analizzando tale articolo, ben si comprende quale portata ampia abbia tale precetto penale: adagia sullo stesso scenario giuridico due particolari condotte: azione e omissione! Difatti, il titolare di una determinata condizione importante per l’ordinamento (il professionista responsabile della commessa) viene investito di una posizione di garanzia rispetto agli eventi dannosi che dovessero verificarsi in fase di realizzazione, fissando l’obbligo di predisporre tutti gli strumenti e le capacità che impediscano l’attuarsi dell’evento; ed è qui che si evidenzia la responsabilità penalmente rilevante a carico del professionista, quando si assume l’obbligo fissato dalla legge di impedire il verificarsi di situazioni di pericolo.
All’interno del nuovo GDPR sono previste diverse responsabilità, diversi soggetti professionali (titolari, responsabili, dpo, progettisti, installatori, etc). Ma spariscono, di fatto, le responsabilità penali contenute, invece, nel nostro D.L.vo N° 196/2003, il cd Codice della Privacy, e previste nell’art. 169 dal Codice, per la mancata adozione delle misure minime di sicurezza contenute sia nell’art. 33 – Misure minime: Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali-, che nella regola 25 dell’allegato B (disciplinare tecnico in materia di misure minime di sicurezza): Misure di tutela e garanzia – Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformità alle disposizioni del presente disciplinare tecnico. Mentre l’art. 162 comma 2 bis, fissa stabilmente la sanzione amministrava, determinando una responsabilità risarcitoria di natura civilistica.
Riassunto ciò, osserviamo come nel nuovo Regolamento europeo una particolare attenzione va posta al dettato dell’art. 32, punto cardine che disciplina gli obblighi e le responsabilità, individuando gli attori interessati ai processi derivanti dal trattamento dei dati personali: sono di fatto, tutti coloro (progettisti, installatori e manutentori) che operano materialmente nel settore della sicurezza, dell’impiantistica tecnica nel senso più ampio.
Ecco perché sono nuovamente tornato sull’argomento, perché tutta la materia, tra qualche mese, sarà di rilevante significato per tutti i professionisti, obbligatoriamente chiamati a rispettare quanto previsto negli articoli, e considerandi, contenuti nel nuovo GDPR: analizzando, nella fattispecie, il contenuto dettato dall’art. 32, osserviamo un precetto vincolante per coloro che dovranno misurarsi professionalmente con le tematiche connesse al trattamento dei dati personali. Peraltro, al comma 1, viene espressamente rimarcato l’obbligo di: “tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”; come al comma 2, identifica una serie di rischi specifici: “nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati”.
Il contenuto del considerando N° 83, a supporto di tale articolo, è ancora più chiaro: “per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale”. E qui si evidenzia, oltre al rischio security, un rischio safety per le persone!
Rischi che i professionisti della “sicurezza” non devono mai sottovalutare, specialmente in delicati settori a forte impatto privacy: si pensi alla videosorveglianza, ai sistemi biometrici, alle tecnologie di controllo accessi, e al nuovo emergente settore della sicurezza per mezzo dell’uso dei droni! Ora, il palese riferimento fatto dalla norma al titolare e al responsabile del trattamento, non deve essere interpretato come irrilevante e non attinente nei confronti degli altri attori operanti nel settore: progettisti e installatori; un impianto mal progettato, o peggio ancora installato in maniera errata, un’apparecchiatura elettronica non conforme, rappresentano tutte azioni che possono compromettere l’integrità e la sicurezza dei dati trattati, quindi il professionista ne risponde al pari del titolare.
Nel Considerando N° 78 ad esempio, si richiama il titolare del trattamento ad attuare solo misure (by default e by design) lineari e disciplinate fin dalla progettazione, e con maggior chiarezza si afferma: “la tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza. In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”.
Da ciò si deduce come il nuovo Regolamento indirizzi il titolare del trattamento ad essere sempre più cauto e puntuale nell’esigenza di selezionare tecnologie, servizi e installatori che garantiscano il rispetto degli obblighi di compliance normativi a lui spettanti e, conseguentemente, da un lato si rivolgerà necessariamente a chi tali garanzie dimostrerà di possedere, dall’altro, si tutelerà pretendendo determinati vincoli contrattuali.
Fin qui la dottrina in esame non identifica in maniera categorica le misure da adottare per garantire un sicuro trattamento dei dati, ma ne impone però la loro adeguatezza; tanto è vero che il tutto viene sempre riferito sia alle misure da porre in essere per garantire la sicurezza, sia al rischio con cui confrontarsi! Da qui appare evidente quale doppia lettura si ponga in merito: le tecnologie e servizi impiegati per il trattamento dei dati dovranno assicurare la sicurezza e rispondere ai precetti introdotti dal Regolamento, ma considerandole sempre misure superate in funzione della crescente innovazione tecnologica. Appare chiaro come per i professionisti inseriti nella filiera (progettisti, fornitori, installatori, etc) sarà necessario possedere una specifica conoscenza e padronanza della problematica, una settoriale competenza nelle soluzioni proposte, sia per rispondere alle esigenze della committenza, sia per scongiurare possibili responsabilità professionali.
Conoscenze e competenze che tutti i professionisti dovranno sempre mantenere adeguate e continuamente aggiornate; peraltro, non dimentichiamoci come la nuova normativa europea ponga ben altre questioni per tutti i protagonisti del trattamento, tenuti al rispetto di tali e generali obblighi, ponendo un ulteriore argomentazione: sancisce lo scopo della sicurezza del dato trattato, lasciando però aperta l’interpretazione sulle modalità finali per raggiungerlo tale risultato. Tuttavia, ciò rende evidente come tale misura postuma risulta piuttosto valida quale riscontro ex-post, piuttosto che una valutazione ex-ante!
Invero, solo quando si verificherà una violazione del dato, e il rischio dunque si materializza, sarà dimostrato come il processo attuato non era appropriato, quanto insufficienti le misure.
Rimane quale paradigma di riferimento, per il giudizio di adeguatezza, la conoscenza professionale che dovrà essere tenuta in considerazione, sia per determinare le misure da adottare a tutela dei dati trattati, sia per l’identificazione dei possibili rischi connessi al trattamento.
Tra l’altro, sempre allo scopo di delimitare la responsabilità dei professionisti che trattano i dati sottoposti a protezione, e quindi aumentarne il grado delle garanzie offerte nel trattamento stesso, il Regolamento prescrive negli artt. 40-42, che l’attestazione delle adeguate misure di sicurezza sarà avvalorata, dimostrando l’adesione ad un codice di condotta o a un meccanismo di certificazione disposti in conformità a quanto stabilito nei citati articoli.
Un articolato che suscita un’attenzione specifica, proprio perché affidarsi a un professionista rigoroso, capace e competente, dimostrerà, da parte del titolare, di aver messo in atto tutti quei meccanismi possibili (misure tecniche e organizzative) per garantire un livello di sicurezza adeguato ai possibili rischi legati al trattamento dei dati.
Ciò detto appare verosimile immaginare come specifici codici di condotta, processi di certificazione, protocolli procedurali, saranno indubbiamente un sinonimo di garanzia, quanto meno consigliabili, anche per gli stessi professionisti coinvolti (produttori, progettisti, installatori, etc).
La normativa, ponendo la sicurezza quale obiettivo fondamentale dell’intera attività del trattamento dei dati personali, non può che essere interpretata in modo preventivo; la responsabilità di chi procede al trattamento non si concretizza soltanto a violazione avvenuta, ma è sufficiente il mero effettivo pericolo: un mal funzionamento di un impianto, di un hardware o di un software, espone l’intero processo di trattamento del dato a possibili quanto pericolosi fenomeni di perdita, distruzione o cattura del dato stesso.
Invero, già attuando misure di per se non conformi, anche laddove non vi sia stata alcuna violazione alla sicurezza dei dati, si configura una imputabilità, una mancata attuazione delle prescrizioni normative. Da tutto ciò si noti quale implicazione ricadrà su tutti gli attori attivi nella filiera legata alle procedure di trattamento e protezione dei dati personali, soggetti che dovranno attentamente valutare, e conoscere nei dettagli, tutti i rischi legati all’utilizzazione dei dati, come pure i dispositivi, le misure esistenti e applicabili per annullare o contenerne il rischio.
In ultima analisi: laddove un interessato reclamasse una violazione nel trattamento dei propri dati personali, ebbene, spetterà esclusivamente al titolare del trattamento dimostrare compiutamente il corretto processo di Risk Analysis, e delle adeguate soluzioni in fatto di misure di sicurezza; come l’aver osservato, in maniera diligente, tutte le prescrizioni normative previste.
Pertanto, e parimenti, i fornitori di tecnologie, servizi e attività professionali, potranno essere chiamati a rispondere delle soggettive responsabilità. Dunque, un regolare aggiornamento tecnico e normativo da parte dei professionisti della sicurezza, con riferimento ai rischi connessi al trattamento dei dati personali e alle misure tecniche e organizzative necessarie per prevenirli, appare oggi quanto meno opportuno, se non oltremodo obbligatorio.
A cura di: Giovanni Villarosa
Giovanni Villarosa, laureato in scienze della sicurezza e intelligence, senior security manager, con estensione al DM 269/2010, master STE-SDI in sistemi e tecnologie elettroniche per la sicurezza, difesa e intelligence.