Il trasferimento di dati personali all’estero - Riskmanagement

Compliance

Come organizzare il trasferimento di dati personali all’estero

Non esiste una soluzione unica e valida per tutti i casi di trattamento all’estero. Prima di qualsiasi altra considerazione, devono essere rispettati i principi applicabili al trattamento dei dati personali, come definito nell’articolo 5 del GDPR, fatte salve le eccezioni previste.

14 Mag 2021

Per un’azienda, il trasferimento dati all’estero può essere fonte di forti preoccupazioni, oppure al contrario, venir sottovalutato dando fiducia a delle valutazioni molto semplicistiche. È errato pensare che il legittimo interesse o il consenso o la dichiarazione di adeguatezza o una loro combinazione siano una condizione esaustiva del rispetto del GDPR. Prima di qualsiasi altra considerazione, devono essere rispettati i principi applicabili al trattamento dei dati personali, come definito nell’articolo 5, fatte salve le eccezioni previste. Solo una attenta analisi del rischio permette di stabilire se il GDPR è stato rispettato e coerentemente, di fornire gli indirizzi per le decisioni.

Gli obblighi per il titolare del trattamento

Di conseguenza, come riportato nel relativo paragrafo 2, al titolare del trattamento compete l’onere di comprovare l’efficacia dei metodi adottati a protezione dei dati personali. Metodi, parola declinata sempre al plurale. Non è altrimenti possibile dimostrare l’efficacia del sistema di protezione, se non tramite un’analisi di rischio che giustifichi le contromisure applicate per ogni rischio individuato. Le contromisure devono creare una protezione a strati sovrapposti, ove ciascuno è dedicato a ridurre la probabilità della minaccia o l’impatto dell’evento di rischio. Nessun strato da solo garantisce la protezione completa ma la loro unione può farcela.

Digital event, 15 giugno
CyberSecurity360Summit: cyber risk, normative e strategie per vincere le sfide della sicurezza
Legal
Sicurezza

Ad esempio, il considerare il legittimo interesse del titolare una misura necessaria è lecito, mentre considerarla sufficiente è sbagliato, poiché non esaurisce la responsabilità di garantire la liceità del trattamento. Stabilisce solo la necessità a trattare un dato, ma poi si deve analizzare il rischio per applicare una risposta congrua al livello determinato. Lo scudo di protezione sul trattamento dei dati personali dell’interessato si estende a qualsiasi trattamento stabilito dal titolare, indipendentemente da chi, come, quando, dove o perché lo esegue.

Trasferimento dei dati all’estero: il consenso dell’interessato

Con il consenso il ragionamento è analogo, solo la prospettiva cambia. L’interessato esprime un consenso alle misure stabilite dal titolare, in accordo o aggiunta ai principi dell’articolo 5, che vincola ulteriormente il titolare stesso a far rispettare le sue stesse misure. Il consenso dichiara che l’attività è lecita ma non è una misura di protezione operativa dei dati. Il titolare ha sempre la responsabilità affinché i principi stabiliti nel paragrafo 1 dell’articolo 5 siano rispettati. Pertanto, trasferire dei dati all’estero è un rischio non trasferibile per il titolare e deve essere affrontato (o eliminato rinunciando a trattare i dati all’estero).

Per quanto riguarda la decisione di adeguatezza della Commissione (articolo 45), non si può fare alcun affidamento per due motivi. Il primo dipende dal fatto che la valutazione può cambiare nel tempo (e richiedere una nuova analisi di rischio), come successo per il “Privacy Shield” statunitense, autorizzato nel 2016 e invalidato nel 2020. Il secondo motivo è il principio generale di trasferimento (articolo 44) che dà valore alla decisione di adeguatezza ma aggiunge “fatte salve le altre disposizioni del presente regolamento”. In altre parole, scarica comunque sul titolare tutta la responsabilità di agire per proteggere i dati personali trasferiti verso paesi terzi o organizzazioni internazionali.

Apparentemente per il titolare la questione è complessa ma in realtà paradossalmente è sufficiente ragionare pensando al caso peggiore ossia affrontare un trasferimento soggetto a garanzie adeguate (articolo 46). Quindi, predisporsi per soddisfare un mix di principi (art. 5), di garanzie adeguate (art. 46) e di categorie particolari di dati personali (art. 9). Il modo di procedere è una sequenza logica di tre raccomandazioni, ossia, si analizzano le condizioni del legittimo interesse a finalizzare il trattamento dati, per identificare i problemi e valutare le soluzioni, si creano le condizioni per avere le leve per agire a protezione delle informazioni all’estero e quindi, prima di trasferire i dati, si adottano delle convenienti misure al fine di ridurre l’intensità del rischio.

Le tre raccomandazioni per il trasferimento dei dati all’estero

La prima raccomandazione è di valutare il legittimo interesse a trasferire dati personali all’estero e identificare un contesto operativo lecito (articolo 6). Sono fondamentali tre passi, la definizione dello scopo, la necessità di perseguirlo e senza compromettere i benefici per l’interessato. L’obiettivo sarà la riduzione dell’insieme dei dati allo stretto indispensabile (principio di necessità), secondo finalità lecite e senza eccedere nel trattamento. Inoltre, come atto di trasparenza per una maggior tutela reciproca, oltre alle indicazioni di legge, e anche se non fosse raccomandato dall’analisi di rischio, è importante formulare il consenso con estrema chiarezza al fine di rendere l’interessato consapevole del rischio residuo.

Primo passo: scopo. Il percorso da seguire, parte dalla definizione del contesto e degli obiettivi che si vuol raggiungere e si conclude con un’analisi del rischio. Entrano in gioco i benefici per tutte le parti interessate ma anche eventuali criticità nel garantire una lecita gestione del trattamento all’estero. Questo include l’identificazione di tutte le possibili minacce, la loro intensità rispetto allo stato desiderato di protezione e le vulnerabilità del trattamento ipotizzato, per essere in grado di definire una risposta adeguata.

Secondo passo: necessità. Vanno identificate tutte le informazioni di natura personale ritenute utili e quindi valutato se il trattamento agisce in modo proporzione allo scopo. Il principio da rispettare è quello di necessità ossia si deve minimizzare all’indispensabile l’insieme dei dati da trattare, per assicurare le finalità definite nel passo precedente. Le modalità di trattamento devono ridurre l’invasività delle operazioni al minimo impatto per i dati personali, limitandosi ad avvalersi solo di azioni indispensabili. Si analizza anche quanto realmente serve, ed in che modo, al soggetto che tratterà i dati.

Terzo passo: bilanciamento. Il legittimo interesse del titolare non deve ledere la legittima aspettativa dell’interessato di vedersi tutelati i propri dati. La prospettiva dell’analisi di rischio cambia, integrandola con l’interessato come soggetto anziché indirizzarla sul solo titolare. Le finalità di trattamento e i metodi adottati devono sempre consentire l’esercizio dei diritti dell’interessato. Quindi, si rivaluta il rischio considerando il punto di vista dell’interessato, bilanciando in conseguenza le contromisure sui nuovi criteri. Va valutata anche la particolare natura del dato, e in funzione di essa, ulteriori misure di protezione potranno essere adottate.

Le condizioni per proteggere le informazioni all’estero devono essere definite, implementate e garantite dal titolare.

La seconda raccomandazione è di prestare la massima cura nel creare delle condizioni realmente efficaci. Per fare questo esistono varie possibilità, come elencato dall’articolo 46, ma principalmente sono tre i punti da verificare con il responsabile del trattamento nel paese terzo.

  • Sulla base dell’analisi di rischio si devono inserire delle opportune clausole contrattuali, che vincolino legalmente chi tratta i dati, a garanzia di un accordo equilibrato. Nel caso specifico di trattamento dati, al committente devono essere formalmente riconosciute delle capacità di controllo, non limitate al solo prodotto finito, ma anche, sulle modalità operative del processo produttivo. Una clausola importante per migliorare la fiducia è l’audit right, ossia il diritto di eseguire un audit sui processi o nelle premises di chi tratta operativamente il dato.
  • La presenza di certificazioni di sicurezza informatica, emesse da standard internazionali, costituisce una garanzia del rispetto dei diritti degli interessati, secondo un livello di adeguatezza definito dall’analisi di rischio. Le certificazioni sono pubbliche e la veridicità del rispetto dei controlli è garantita da un processo di verifica periodico ed indipendente. Le certificazioni, volute e valutate come necessarie dall’analisi di rischio, devono essere incluse nelle clausole contrattuali.
  • Un’ulteriore garanzia deriva dall’impegno, formale e legalmente vincolante, di un codice di condotta interno con regole pertinenti alla difesa dei dati personali. Nel caso l’analisi di rischio includa delle regole riportate nel codice di condotta, come misure identificate nel sistema di protezione, il codice deve essere richiamato nel contratto come parte vincolante, assieme ai contenuti di interesse.

La terza raccomandazione, antecedente al trasferimento dei dati, è di attivare tutte le misure di protezione identificate nell’analisi di rischio, siano esse organizzative che operative. La protezione non si basa su una singola misura ma su una combinazione di strati di protezione che concorrono a ridurre l’impatto dell’eventuale violazione o la probabilità che ne venga fatto un uso non lecito.

  • Oltre a mettere in atto misure a beneficio dell’interessato, si deve organizzare la raccolta del consenso, seppur in estrema sintesi ma in forma completa e comprensibile, sulle minacce identificate, sulle vulnerabilità e sulle misure adottate, affinché si configuri un reale consenso informato. L’interessato, in tal modo, esprime la sua volontà a condividere i legittimi interessi del trattamento all’estero, alleggerendo la posizione del titolare.
  • Oltre a ridurre al minimo i dati personali trattati, si deve provare ad anonimizzarli e contrastare l’uso improprio. La perdita della capacità di identificare l’interessato è uno sforzo richiesto per diminuire la probabilità di una violazione. Per quanto possibile, i dati prima di essere trasferiti devono essere trasformati e per questo può essere di aiuto la classe di software nota come RPA (Robotic Process Automation) che permette in automatico di manipolare dati da sistemi diversi con correlazioni anche molto complesse.
  • Oltre a stilare clausole contrattuali per il controllo del comportamento di chi tratta i dati all’estero, si deve attuare una costante verifica anche del loro ambiente operativo e del rispetto delle regole concordate. I modi per attuare un monitoraggio remoto sono molteplici. Oltre ai software di controllo automatico, ci sono le visite di audit oppure, per ridurre la probabilità di azioni indesiderate, si separa la gestione delle infrastrutture, delle piattaforme software e delle applicazioni tramite provider differenti.

Conclusioni

Per concludere qualche idea pratica su come gestire l’anonimizzazione dei dati identificativi dell’interessato e la protezione in remoto. Ridurre la facilità di identificare una persona si ottiene evitando il nome, oppure gli attributi palesemente identificativi (es. codice fiscale) o la correlazione di attributi generici che lo possono rendere evidente come il solo soggetto di una certa classe. Esempio, reddito annuo superiore a un miliardo, in una città dove esiste un solo miliardario.

Quando possibile, al posto del record identificativo possiamo creare automaticamente un metadato che sarà l’identità digitale anonima. Questo “avatar” avrà un identificativo dinamico e temporaneo come sostituto della chiave. Nella tabella anagrafica del database origine, si prevede un campo dedicato a questo scopo e gestito da un software di tipo RPA. L’avatar non avrà gli attributi originali ma classi di valori che possano rappresentarli efficacemente nelle elaborazioni richieste. Esempio, la città diviene un’area geografica oppure una fascia di distanza da un punto prestabilito. Il reddito annuo non deve essere troppo elevato per non restringere troppo la classe di candidati nell’area considerata.

Per monitorare i cambiamenti si ricorre all’uso del calcolo dell’hash sui campi di interesse e al salvataggio su un ambiente diverso da quello che tratta i dati personali. I controlli si attuano con opportune classi di software definiti CAAT (Computer-Assisted Audit Tools). Per i backup, la crittografia è una scelta obbligata, meglio se salvati in un’ambiente differente da quello del provider che elabora il dato originale. Molte idee si trovano nei controlli degli standard di certificazione, basta avere l’accortezza di vederli.

Non esiste una soluzione unica e valida per tutti i casi di trattamento all’estero e queste poche idee esposte non possono essere immediatamente applicate. Servono come traccia per sviluppare una propria soluzione, indirizzata ovviamente dall’analisi di rischio. Infine, il trattamento di dati personali all’estero è indubbiamente un costo, o di implementare una soluzione o di pagare una multa in caso contrario. Il costo è un buon deterrente ad agire senza aver prima valutato attentamente i rischi, propri e dell’interessato.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Approfondimenti

D
data privacy
D
data protection
G
GDPR

Articolo 1 di 5