La crescente diffusione di prodotti e servizi ICT di nuova generazione basati sull’elaborazione massiva e sistematica di informazioni personali e non (Internet of Things, Big Data, Cloud computing e Smartphone), accrescono il ruolo strategico dei temi della privacy e della sicurezza dei dati raccolti con tali modalità pervasive.
Key4Biz del 4 settembre 2017 segnala che l’information security per la protezione dei dati vedrà crescere gli investimenti, a livello globale, portando la spesa complessiva a 86,4 miliardi con un incremento +7% rispetto al 2016. Nel 2018 il mercato globale della sicurezza informatica è stimato in crescita ulteriore +8% con un fatturato previsto di circa 93 miliardi di dollari.
Fattore di crescita è considerato il nuovo General Data Protection Regulation (GDPR: Reg. UE 69/2016) che come noto diverrà pienamente applicativo il 25 maggio 2018 in tutti gli Stati comunitari (27+1: compresa, infatti, anche United Kingdom nonostante la Brexit, stando alle rassicuranti dichiarazioni in tal senso dell’Information Data Commission inglese): secondo le stime degli analisti determinerà il 65% delle decisioni di acquisto di prodotti e servizi destinati a combattere la perdita di dati (data loss prevention) fino al 2018 (Fonte Gartner Group).
Ma il tema della sicurezza non è solo nell’agenda dei CEO e CIO delle Società private e degli enti pubblici: anche gli Stati – dal G7 alla UE – si muovono con sempre maggior attenzione per mitigare i rischi di attacco informatico.
Non caso la Commissione europea è pronta a trasformare l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), nella potenziata Agenzia della Cybersicurezza, e a creare un Competence center comunitario per la cybersicurezza: così al G7 dell’industria di Torino si esprime Roberto Viola, al vertice della DG CONNECT di Bruxelles, illustrando il nuovo piano europeo contro il crimine informatico.
Key4Biz del 27 settembre 2017 segnala che nel testo conclusivo presentato alla stampa dal nostro Ministro dello Sviluppo economico italiano “G7 ICT and industry ministers’ declaration. Making the next production revolution inclusive, open and secure” nella trasformazione digitale dell’industria 4.0 si evidenzia proprio il fattore “Security“ cybersicurezza per le imprese oltre alla tutela dei diritti di proprietà intellettuale.
La centralità del principio di sicurezza del trattamento dei dati personali emerge, fra l’altro, anche dal considerando n. 83 del GDPR secondo cui:
“Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale”.
Principio di sicurezza cristallizzato nell’art. 32 del GDPR in base al quale il Titolare del trattamento e il Responsabile del trattamento – tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche – mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
- a) la pseudonimizzazione e la cifratura dei dati personali;
- b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Certo il complesso tema della tutela della privacy – che spazia dall’originario diritto alla riservatezza personale sino al diritto alla protezione dei dati personali di più recente tipizzazione normativa – non si esaurisce nella sicurezza dei dati ma va ben oltre; si pone, infatti, all’attenzione del giurista un quesito ineludibile: nell’economia attuale basata sul data mining – in cui il “nuovo petrolio” è costituito dallo sfruttamento massivo dei dati – è ancora possibile un’effettiva tutela di tali fondamentali diritti nella società dell’informazione o piuttosto si tratta di un singolare ossimoro dei tempi moderni?
La risposta non è semplice e non basta un nuovo regolamento per risolvere tutti i problemi che le nuove tecnologie pongono: certo è un buon punto di partenza.
WIRED international, in un recente articolo sul nuovo iconico Iphone X, in relazione al riconoscimento facciale FACE ID adottato sugli smartphone della Casa di Cupertino, evoca inquietanti scenari in ordine alla sicurezza e alla sorveglianza telematica di massa da parte di autorità governative:
“And this could in theory make Apple an irresistible target for a new type of mass surveillance order. The government could issue an order to Apple with a set of targets and instructions to scan iPhones, iPads, and Macs to search for specific targets based on FaceID, and then provide the government with those targets’ location based on the GPS data of devices’ that receive a match”.
Mai come oggi potremmo dire, a ragione, che la tutela della privacy e la protezione dei dati personali costituiscono una vera e propria sfida regolatoria: Social Network, Cloud Computing, Internet of Things, Smartphone e Big Data sono solo alcune delle principali “temibili” variabili socio-economiche e tecnologiche che occorre disciplinare in modo equilibrato, bilanciando contrapposti interessi.
Temi fondamentali regolati nello scenario globale secondo differenti modelli di tutela e prospettiva: quello europea rafforzato e basato su diritti fondamentali della persona costituzionalmente protetti, quello USA più flessibile e basata su un approccio settoriale, case by case, spesso soccombente rispetto alle non sempre evidenti esigenze di sicurezza nazionale e talvolta semplicemente mercatorie, come pare nel recente caso dell’abrogazione della normativa della Federal Communication Commission che prevedeva obblighi privacy degli ISP.
La Commissione UE pare aver raccolto la sfida della tutela della privacy e della protezione dei dati personali con l’approvazione del nuovo GDPR – in sostituzione dell’ormai storica Direttiva CE 95/46 – anche se ancora resta da scrivere il fondamentale tassello della privacy digitale.
E’ stato recentemente avviato anche il processo di riforma della Direttiva 2002/58/CE (c.d. “Direttiva ePrivacy“), che dovrebbe uniformare l’attuale quadro normativo continentale in materia di circolazione dei dati personali nelle comunicazioni elettroniche – con un tentativo di disciplinare anche le comunicazioni Machine to Machine del nuovo fenomeno IoT – con l’introduzione, anche in questo caso, di un Regolamento direttamente applicabile negli Stati UE.
L’economia globale è ormai declinata digitalmente: le tecnologie dell’informazione e della comunicazione non costituiscono più un settore a sé stante, bensì il fondamento stesso di tutti i sistemi economici innovativi moderni.
E’ il nuovo paradigma industriale denominato Industria 4.0 – in cui tutte le fasi produttive sono gestite e condizionate dalle informazioni raccolte dalla progettazione sino al post-vendita da eterogenee tecnologie abilitanti digitali che interconnettono sistemi produttivi, prodotti e consumatori.
Il Digital Single Market (DSM) è un mercato in cui è garantita la libera circolazione delle merci, delle persone, dei servizi, dei capitali – oltre che dei dati – in condizioni di concorrenza leale, livello elevato di protezione dei consumatori e dei dati personali.
La realizzazione del DSM consentirà all’UE di mantenersi tra i leader mondiali dell’economia digitale, sostenendo la crescita delle imprese europee su scala globale.
Il considerando n. 1 del GPDR ricorda che: “La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale”. E ancora l’art. 1, comma 2 del GDPR statuisce che: “Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.
Un pilastro fondamentale del DSM è, infatti, proprio quello costituito dalla costruzione europea di un nuovo quadro regolatorio armonizzato in materia di privacy e protezione di dati personali in attuazione del generale precetto contenuto nell’articolo 16, paragrafo 1, del Trattato sul funzionamento dell’Unione europea («TFUE») che poggia sulla duplice tutela della persona offerta dai seguenti referenti normativi contenuti nella Carta dei diritti fondamentali dell’Unione Europea:
- 7 Diritto al rispetto della vita privata e familiare e
- 8 Protezione dei dati di carattere personale
Un mercato efficiente, corretto e trasparente che non rinuncia, quindi, alla tutela dei diritti fondamentali della persona e dei soggetti più deboli dal punto di vista economico, informativo e negoziale. In particolare, si rammenta l’art.8 della Carta che statuisce:
“Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica”.
La protezione prevista dal Regolamento Generale – a differenza dell’e-privacy che si applicherà anche alle persone giuridiche – si applica esclusivamente alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali.
Fra le tante novità del nuovo Regolamento – Valutazione Impatto Privacy, Data Protection Officer, Diritto all’oblio, Diritto alla portabilità dei dati e il robusto apparato sanzionatorio solo per fare alcuni cenni ex multis senza pretese di esaustività – si segnala l’art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, rafforzamento di princìpi già noti anche mediante meccanismi di certificazione indipendente, che testimonia lo sforzo di arginare la potenziale pervasività tecnologica digitale ab origine e non solo ex post.
Precisamente l’art.25 del Regolamento stabilisce che il Titolare del trattamento – tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso – mette in atto misure tecniche e organizzative adeguate, quali la pseudonomizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
Inoltre, Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.
Menzione particolare, infine, non certo per importanza merita il principio di applicazione territoriale esteso statuito dal nuovo art. 3 del GDPR che – al fine di disciplinare l’attività di trattamento dati dei grandi player multinazionali ma con sede oltre oceano,nella Silicon Valley – stabilisce che:
“Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.
E ancora:
“Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
- a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
- b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico”.
Tuttavia, nonostante l’importante sforzo normativo che il GDPR esprime – ulteriormente rafforzato dal completamento, in corso d’opera, del tassello relativo alla privacy digitale – non si può negare che la tutela della privacy e della protezione dei dati personali siano ancora elementi di uno scenario strategico globale, complesso e mutevole, non ancora giunto a un assetto regolatorio condiviso dai principali attori dei mercati multinazionali.
Da tali premesse discende l’iniziativa dello scrivente – Direttore della Collana di Studi “Diritto delle Nuove Tecnologie” – di promuovere a Firenze insieme alla Fondazione Cesifin – Lunedì 23 ottobre p.v. ore 15.00 Palazzo Incontri – il Convegno-Tavola Rotonda “Privacy digitale e protezione dei dati personali tra persona e mercato” che vedrà la partecipazione – oltre al Dott. Antonello Soro Presidente Autorità Garante per la Protezione dei Dati Personali – di autorevolissimi Relatori che interverranno sui principali aspetti dell’importante riforma a meno di un anno dalla sua piena applicazione.