Sicurezza

Data protection engineering secondo ENISA

L’Agenzia Europea per la cybersecurity ha pubblicato un report per approfondire le modalità tramite le quali garantire il rispetto del Regolamento Europeo 679/2016: di seguito le indicazioni tecniche in ordine ai temi della trasparenza, possibilità di intervento e controllo dell’utente.

Pubblicato il 17 Mar 2022

Luca Giacobbe

studio GTEA

Livio Sannino

studio GTEA

L’ENISA, Agenzia Europea per la cybersecurity, ha pubblicato un report per approfondire le modalità tramite le quali garantire il rispetto del Regolamento Europeo 679/2016: di seguito le indicazioni tecniche in ordine ai temi della trasparenza, possibilità di intervento e controllo dell’utente. Con la pubblicazione del report “data protection engineering” del 31 gennaio 2022, l’Agenzia europea per la cyber sicurezza ha fornito una guida pratica con l’obiettivo di garantire il rispetto di alcuni dei principi espressi dal GDPR. Tra le tematiche più rilevanti, si segnalano quelle riferite alla trasparenza, alla possibilità di intervento (intervenability) e agli strumenti di controllo a disposizione dei soggetti interessati.

Il Report dell’ENISA

Nel report, l’ENISA sottolinea “l’importanza di permettere ai soggetti interessati di esercitare i propri diritti relativi al trattamento in maniera autonoma, intendendosi in tal senso sia l’accesso alle informazioni sul trattamento (trasparenza) che la concreta possibilità di influenzare il trattamento dei dati personali nell’ambito di quanto permesso ai soggetti titolari o responsabili del trattamento (intervenability)”[1].

Nella prospettiva dell’Agenzia, gli strumenti attualmente azionabili per essere in compliance con i principi di cui sopra sono i seguenti:

  • Privacy policy;
  • Icone;
  • Sticky Policies;
  • Preferenze espresse sulla privacy;
  • Dashboard sulla privacy;
  • Gestione e raccolta del consenso;
  • Esercizio del diritto di accesso, cancellazione, rettifica;

Privacy policy

Le privacy policy sono lo strumento per eccellenza tramite cui fornire all’interessato le informazioni relative alle modalità di trattamento dei propri dati personali. Queste devono essere concise, trasparenti, intelligibili e facilmente accessibili, nonché scritte con un linguaggio semplice e chiaro.

Nella sua disamina, l’ENISA afferma di essere ben conscia delle difficoltà tecnico-linguistiche che gli operatori del settore possono incontrare nel fornire siffatte informazioni poiché “da un lato, la semplificazione potrebbe essere necessaria per permettere all’utente medio di comprendere il significato del trattamento posto in essere; dall’altro lato, la semplificazione non deve essere suscettibile di ingenerare dubbi nello stesso[2]”.

Allo stato, le Autorità Garanti non hanno ancora indicato alcun tipo di linguaggio/registro specifico (ad es. linguaggio scientifico, giornalistico, ecc.) che possa essere universalmente utilizzato dai soggetti obbligati a rendere l’informativa. Pertanto, attualmente, la scelta di tale linguaggio è completamente rimessa al soggetto che deve rendere la policy.

Quanto al layout delle policy (i.e. il loro design) è necessario:

  1. tenere conto dei vari device sui quali la stessa sarà visualizzata (ad es. dimensioni del display), in modo tale da renderla fruibile a prescindere dal tipo di lettore utilizzato dall’utente (tablet, smartphone, pc);
  2. che sia facilmente accessibile e comprensibile anche alle persone con disabilità;

L’esistenza di una policy da fornire, in via generale, ai fruitori di un servizio non esclude comunque la possibilità di personalizzare l’esperienza dei singoli utenti mediante diverse interfacce, sulla base di quanto implementato attraverso i procedimenti HCI (human-computer interface).

Icone

Anche le icone possono essere utilizzate per facilitare la comprensione delle informazioni da fornire ai soggetti interessati. Il GDPR contempla espressamente tale possibilità all’art. 12 (7).

All’interno del report sul data protection engineering, l’Agenzia Europea si trova a sottolineare come al momento non esistano set “standard” di icone: tuttavia il disposto normativo non esclude la possibilità di procedere in via autonoma alla creazione di suddetti strumenti (cd. icone self made) per parte dei titolari del trattamento.

Sticky policy

Secondo la definizione data dall’ENISA, la sticky policy (policy adesiva) è la policy legata “indissolubilmente” ad alcune tipologie di dati personali, in modo tale da viaggiare con questi ultimi anche nei casi in cui vi sia trasferimento di dati tra diversi titolari del trattamento.

Al momento, non si segnalano tuttavia alcune soluzioni standard di questo tipo.

Preferenze espresse sulla privacy

Se di norma è il titolare del trattamento a predisporre unilateralmente le informazioni da fornire ai soggetti interessati per il tramite di policy, l’ENISA riconosce anche in capo a quest’ultimo la possibilità di procedere a esprimere preventivamente alcune preferenze in tema di trattamento di dati personali, invertendo in tal modo il flusso “standard” di informazioni.

Dunque alcuni comandi standard e machine readable provenienti direttamente dall’interessato ben possono essere accettati ed interpretati dai server. Sulla base di questo assunto, nel corso del tempo, sono stati sviluppati diversi linguaggi e protocolli.

L’ENISA cita ad esempio il “Do not track” – Standard (DNT), secondo il quale gli utenti possono esprimere per il tramite di un header http la loro volontarietà nell’essere tracciati o meno.

Ulteriore standard è quello conosciuto come GPC (Global Privacy Control) che permette all’utente di inviare un segnale di “non vendere o compare” attraverso il browser a un sito all’interno del quale l’utente può decidere di non condividere o vendere i propri dati se non nei limiti da egli stesso espressi, nel rispetto dei limiti imposti dalla legge.

Al momento si segnala che i service provider non hanno alcun obbligo di implementazione dei suddetti protocolli, pur se nella visione dell’ENISA nell’era dell’IOT il ruolo di tali preferenze avrà una rilevanza sempre maggiore. Appare pertanto opportuno che i vari provider o i fornitori di web service inizino a implementare idonei strumenti di supporto.

Privacy dashboard

La privacy dashboard (letteralmente, “cruscotto” privacy) è uno strumento che: (i) permette di migliorare la trasparenza nella resa delle informazioni al soggetto interessato; e (ii) permette a quest’ultimo di porre in essere alcuni interventi mirati alla gestione dei propri dati personali.

A differenza di quanto avviene con le privacy policy – che spesso si trovano a descrivere situazioni in via piuttosto generale – le dashboard possono essere utilizzate per spiegare con dovizia di particolari quali dati vengono trattati, a chi vengono eventualmente ceduti, o quando i medesimi dati risultano obsoleti, non corretti, incompleti o eccessivi rispetto alle finalità del trattamento. Resta fermo che nell’utilizzo di tali “cruscotti” deve prevedere un idoneo sistema di autenticazione, così modo da impedire l’accessi ai dati a terzi non autorizzati.

Nella visione dell’ENISA, i titolari dovrebbero prendere in considerazione la possibilità di implementare le privacy dashboard.

Allo stato, vi sono due tipi di privacy dashboard.

  1. Service side privacy dashboards (ad es. Google Dashboard), la quale agisce come un punto di accesso centrale per i proprietari di un account su un dato sito. La dashboard permette di amministrare in autonomia le proprie preferenze. Esse costituiscono un’implementazione proveniente dal titolare.
  2. User-side privacy dashboards, ovverosia applicazioni provenienti e controllate direttamente dal soggetto interessato (ad es. attraverso un tool installato sul proprio device);

Gestione e raccolta del consenso

Quanto alla gestione del consenso, l’Agenzia Europea per la Cybersecurity ricorda come, nella maggior parte dei casi, il trattamento online avviene sulla base di un consenso espresso degli utenti sulla base di condizioni unilateralmente predisposte dalle società titolari in un dato momento.

L’ENISA tuttavia sottolinea come nell’ambito del web i servizi offerti possono mutare con elevata frequenza (ad es. vengono implementate nuove funzioni, o vengono eliminate quelle obsolete). Ogni volta che ciò accade, la società titolare è tenuta a verificare se le condizioni di cui sopra possano o meno “coprire” le novità introdotte. In caso di esito negativo, il titolare è tenuto a chiedere un nuovo consenso al soggetto interessato, registrando di volta in volta la sua preferenza.

In tal modo, soggetti diversi potrebbero aver prestato il consenso a diverse versioni delle condizioni, e pertanto potrebbe differire la base legale del relativo trattamento e/o le possibilità di utilizzo dei rispettivi dati personali. Il titolare è tenuto a tenere conto anche di tali aspetti nella gestione delle preferenze espresse degli utenti.

Come accennato, con riferimento alla raccolta del consenso per i servizi web, la metodologia attualmente utilizzata è quello della visualizzazione a schermo dei termini e delle condizioni di servizio al cliente, con la semplice aggiunta di un pulsante che permetta all’utente di dichiarare di aver “letto e compreso questi termini di utilizzo“.

L’agenzia rileva che questo approccio presenta diversi inconvenienti:

  1. gli utenti tendono a fare clic sul pulsante senza leggere e comprendere il documento;
  2. gli utenti con disabilità non possono leggere o comprendere il documento;
  3. i problemi di visualizzazione del browser possono impedire agli utenti di leggere il documento;
  4. i servizi che non possono essere gestiti tramite browser non possono utilizzare questo metodo;
  5. i servizi resi su computer incorporati (ad es. automobili, dispositivi IoT) potrebbero non avere uno schermo per mostrare il documento;
  6. i servizi sui computer incorporati potrebbero non avere un pulsante né un altro dispositivo di input per esprimere il consenso.

Sistemi di gestione del consenso

Quanto ai sistemi di gestione del consenso, l’ENISA specifica che essi possono essere molteplici e possono mutare in base al settore di riferimento e a secondo delle modalità attraverso sui il consenso viene prestato (ad es. dal paziente al medico attraverso strumenti manuali, o su internet per altri tipi di servizi).

Esercizio del diritto di accesso, cancellazione e rettifica

L’articolo 15 del GDPR impone ai titolari e ai responsabili del trattamento di permettere l’accesso ai dati personali dei soggetti interessati.

Come specificato dall’ENISA, talvolta la risposta alle istanze provenienti dai soggetti da ultimo citati può essere difficoltosa, specie nel caso di trattamenti complessi e con elevata mole di dati. Per tale motivo, molte società si sono dotate di infrastrutture e sistemi automatici in grado di facilitare tali compiti (ad es. le già citate privacy dashboard).

Questi sistemi creano un’interfaccia attraverso la quale l’utente può esercitare i propri diritti: una volta inviata la richiesta, il servizio in via automatica procede a raccogliere e a inviare i dati personali al soggetto richiedente. L’automatizzazione comporta tuttavia dei potenziali rischi, specificamente individuati dall’Agenzia europea.

Nel dettaglio i profili relativi:

  1. all’autorizzazione alla richiesta;
  2. alla possibilità di delega della richiesta;
  3. al rischio di data breach;
  4. alla completezza dei dati forniti e alla difficoltà oggettiva di fornire tutti i dati trattati;
  5. alla correttezza dei dati inviati;
  6. al grande volume di dati che, potenzialmente, si stratifica nel tempo.

Metodi automatici possono essere applicati anche con riferimento ai diritti di cancellazione, rettifica, restrizione ecc. del trattamento.

Il ministro della Digital Governance greco, Kyriakos Pierrakakis e il vice-presidente della Commissione Europea, Margaritis Schinas, all’inaugurazione dei nuovi uffici dell’Agenzia EU per la Cybersecurity (ENISA) ad Atene, lo scorso 17 marzo 2022.

Conclusioni

Con il report “Data protection engineering” l’Agenzia Europea per la cybersecurity ha inteso fornire delle vere e proprie linee guida che potranno essere utilizzate in particolare dagli operatori del settore privacy ed IT.

Con riferimento ai profili di trasparenza, le linee guida si sono concentrate nel ribadire alcuni concetti teorici già noti, aggiungendo tuttavia alcune interessanti precisazioni volte al raggiungimento di un livello ideale nel bilanciamento tra interessi del titolare e del soggetto interessato. I risvolti pratici di tale paper potranno essere tuttavia valutati solo nel medio periodo.

Note

  1. Data Protection engineering, pag. 23, § 6
  2. Data Protection engineering, pag. 23 § 6.1
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Luca Giacobbe
studio GTEA
S
Livio Sannino
studio GTEA
Argomenti trattati

Approfondimenti

A
attacchi informatici
C
cyber attack
C
cybercrime
C
cybersecurity
S
sicurezza informatica

Prossimo

Maticmind conquista il settore difesa con l'acquisizione di GDMS Italy

I commenti sono chiusi.

LinkedIn

Twitter

Whatsapp

Facebook

Mail

Link