La privacy negli studi di ingegneria: tra informativa al cliente, consenso e misure di sicurezza

Alla luce dei requisiti previsti dal GDPR [1] , l’ingegnere titolare dello studio deve verificare l’attualità delle informative sulla privacy già predisposte e del consenso già raccolto. In particolare, è necessario verificare il periodo di conservazione dei dati, le informazioni utili riguardo ai diritti che spettano al soggetto interessato. Le info dovranno essere concise, semplici, chiare.

Va da sé che ai nuovi clienti, l’ingegnere dovrà consegnare l’informativa che dovrà essere firmata per presa visione. L’informativa deve essere chiara, trasparente, comprensibile e dare indicazioni concrete riguardo ai diritti che spettano all’interessato (revoca del consenso, accesso ai dati, rettifica, diritto all’oblio, portabilità) e alle modalità operative per il loro esercizio.

Non è più possibile la raccolta di un unico consenso utile ad ogni scopo (…autorizzo il trattamento dei miei dati personali ai sensi della L. …), esistono, infatti, degli specifici trattamenti che necessitano di consensi distinti e separati, quali a solo titolo di esempio si riportano: l’utilizzo dei dati al fine di inviare comunicazioni di contenuto commerciale (come ad esempio una newsletter); la cessione a terzi dei dati (clienti/fornitori); la cessione dei dati in paesi non sottostanti alla giurisdizione europea;

Il principio di responsabilità obbliga il Titolare del Trattamento a dotarsi degli strumenti utili a dimostrare di aver proceduto correttamente, sarà suo onere archiviare il consenso ricevuto.

Inoltre, anche se lo studio professionale di piccole (e anche medie dimensioni) non ha l’obbligo generale di dotarsi del registro dei trattamenti (poiché l’obbligo scatta quando i dati oggetto del trattamento possono rappresentare rischi per la libertà e i diritti dell’interessato o siano “sensibili) il Garante ne auspica la predisposizione anche da parte dei soggetti non obbligati. Il registro, infatti, aiuta a “mappare” le aree di rischio e dunque a rendere il professionista – in qualità del titolare del trattamento – consapevole della natura dei dati raccolti per l’esercizio dell’attività, la loro conservazione, le misure di sicurezza adottate. Sarà sufficiente un documento, in cui indicare le finalità del trattamento, le modalità di conservazione, le categorie dei dati personali conservati e degli interessati, gli eventuali trasferimenti verso paesi terzi, eventuali misure di sicurezza applicate.

È importante sapere che il GDPR non esaurisce il suo ambito di applicabilità negli espletamenti più pertinenti la “privacy” (informative, consensi al trattamento, …) ma si propone di tutelare genericamente il dato. La responsabilizzazione dei soggetti coinvolti nei trattamenti, primo fra tutti il Titolare del Trattamento (che sarebbe il Titolare dello Studio Professionale), invita a prendere le misure necessarie al fine di poter dimostrare di aver svolto le attività necessarie, sarà utile quindi agire badando alla sostanza delle attività condotte. L’articolo 32 del regolamento prevede che, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b)    la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

Ora parliamo di due aspetti relativi alla sicurezza negli studi professionali:

La gestione degli archivi informatici che rappresenta uno dei maggiori problemi connessi alla sicurezza, in quanto ormai tutti i computer sono collegati alla rete internet e quindi a rischio di Attacchi Informatici. Con il termine Attacco Informatico (o Cyber Attacco) si indica una qualunque manovra, che colpisce sistemi informativi, infrastrutture, reti di calcolatori e dispositivi elettronici personali finalizzati al furto, alterazione o distruzione delle informazioni o delle infrastrutture stesse. Gli attacchi informatici possono essere classificati come: Intercettazione dell’informazione; Alterazione (Modifica non autorizzata) dell’informazione; Generazione non autorizzata dell’informazione; Interruzione dell’informazione.

Questi attacchi informatici in una rete “sicura” (o in un sistema informatico “sicuro”) sono impediti attraverso componenti HW (hardware) e SW (software) così da garantire le caratteristiche fondamentali dell’informazione riassunte di seguito (Triangolo CIA): Confidenzialità: garantisce la privacy e riguarda la capacità di proteggere i dati da tutti gli individui che non sono autorizzati ad averli; Integrità: è la capacità di impedire che i dati vengano modificati in modo non autorizzato o indesiderato; Disponibilità: capacità di poter accedere ai dati quando ne abbiamo bisogno;

L’uso del Cloud Computing: la valutazione del livello di sicurezza nel trattamento dei dati.

Il professionista moderno gestisce sempre più il rapporto con altri studi o con i propri clienti tramite la condivisione di documenti ed elaborati attraverso l’uso del cloud computing, i cui classici esempi di applicazione, universalmente utilizzati, sono: Dropbox, Google Drive, Gmail, iCloud, OneDrive o le varie photo libraries. Il cloud computing è un modello nato per consentire un facile accesso a richiesta (on demand), tramite rete ad un pool condiviso di risorse di calcolo configurabili (server, unità di memoria, applicazioni e servizi) che possono essere rese disponibili prontamente ed analogamente rilasciate al termine dell’uso, con un impegno di gestione e di supporto minimo da parte del fornitore del servizio. La sempre più ampia diffusione di questo sistema di interscambio in ambito lavorativo, va ricondotta oltre che alla facilità dell’adozione di tale modello, anche alla cosiddetta “elasticità”, ovvero alla capacità del fornitore di aumentare rapidamente la potenza di calcolo o la capacità di memorizzazione al crescere delle richieste dell’utente e successivamente ridurre tali proprietà nel momento in cui l’utente ne richieda di meno. Anche dal punto di vista dei costi, i vantaggi sono notevoli per l’utente, che può così avere a disposizione risorse hardware, software, applicazioni e servizi senza dover affrontare i costi per l’acquisto, la configurazione e la manutenzione continua di hardware e software. Il modello di business tende a diventare analogo a quello delle utilities, ovvero una tariffazione a consumo come avviene per l’energia elettrica, l’acqua, il gas o la telefonia. Ma quali valutazioni deve fare il professionista per scegliere un sistema compliant al regolamento europeo e alle norme in materia di privacy in generale? Come affrontare una scelta coerente con il livello di rischio legato alla tipologia di dati trattati? Capire quali sono i rischi per la sicurezza e per la privacy nel cloud computing e sviluppare delle soluzioni efficienti ed efficaci sono fattori critici e che non possono essere trascurati. Le caratteristiche architetturali uniche sollevano diversi timori in tal senso. Il cloud fornisce ad esempio l’accesso ai nostri dati, e uno dei problemi è quella di essere certi che solo le entità effettivamente da noi autorizzate possano ottenerne l’accesso. Quando utilizziamo ambienti cloud, stiamo delegando a terzi (il provider) la decisione sui nostri dati e sulla nostra piattaforma in un modo completamente nuovo rispetto a quanto di solito in uso in informatica. Diventa critico quindi avere meccanismi appropriati per impedire che un cloud provider possa utilizzare i dati (o consentirne a terzi l’utilizzo) in una qualche modalità su cui non ci sia stato un preventivo accordo. E’ sicuramente improbabile che mezzi esclusivamente tecnici possano impedire completamente ai cloud provider l’uso inappropriato di tali dati; quindi, occorrerà aggiungere ad essi anche degli strumenti “non tecnici” per raggiungere l’obiettivo. Il cliente dovrà innanzitutto instaurare un rapporto di fiducia con il provider sia riguardo le sue capacità tecniche sia della sua stabilità economica. Il cloud provider deve essere ovviamente compliant con le norme sulla privacy ed in particolare con il nuovo regolamento Europeo 2016/679: il GDPR. Ma ovviamente non è sufficiente che il provider soddisfi tali requisiti; le responsabilità sui dati trattati non possono essere delegate da cliente a provider. Entrambi dovranno condividere la responsabilità della sicurezza e della privacy in ambiente cloud, anche se il livello di condivisione varia in base ai diversi modelli di cloud computing:

– Software as a Service: il provider fornisce servizi ed applicazioni con caratteristiche integrate quasi del tutto preconfigurate ed in tal senso è maggiormente responsabile della corretta gestione dei dati del cliente (ES: la posta elettronica, i calendari e gli strumenti di produttività, come Microsoft Office 365)

– Platform as a Service: il provider fornisce l’ambiente su cui il cliente sviluppa e costruisce la propria applicazione. In questo caso il cliente è il primo responsabile per la corretta protezione dell’applicazione che ha sviluppato e che gira sui sistemi del provider. Quest’ultimo dovrà comunque garantire il necessario isolamento tra le applicazioni e gli spazi di lavoro dei diversi clienti. (ESEMPI: Google App Engine, Microsoft Azure)

– Infrastructure as a Service: rappresenta il modello più espandibile e fornisce quasi nessuna caratteristica di tipo applicativo. Ci si aspetta che il cliente si occupi della sicurezza del sistema operativo, delle applicazioni e dei dati. (ESEMPIO Aws Amazon Web Services) Dal punto di vista del provider, vanno comunque fornite delle caratteristiche di protezione ai dati anche se di livello più basso. Dal punto di vista dei ruoli privacy nel Cloud Computing, è sicuramente ovvio che il titolare del trattamento dei dati è il cliente che utilizza il servizio cloud e, quindi, il titolare dello studio professionale, e ne decide le finalità e le modalità del trattamento.

Il ruolo del Provider può essere diverso: qualora questo si limiti alla mera conservazione dei dati può essere ritenuto responsabile del trattamento e dovrà essere designato tale con apposito contratto dal responsabile. Se però il cloud provider aggiunge un livello di trattamento dei dati per fini diversi da quelli del cliente diventa anch’esso titolare. Occorre altresì precisare che a volte esiste un ulteriore attore nel modello descritto in precedenza; infatti non sempre il cloud provider dispone direttamente di data center di proprietà, ma si avvale di un soggetto terzo che fornisce l’infrastruttura fisica su cui vengono poi ospitati i dati. In tal caso tale soggetto entra a far parte della catena di responsabilità dei dati e, come tale, dovrà essere coinvolto negli accordi con il cliente che dovrà fornire il consenso al suo coinvolgimento e da esso nominato sub responsabile del trattamento. In questo modo il cliente può essere sempre consapevole di tutti i soggetti coinvolti nel trattamento dei propri dati. Anche l’ubicazione fisica dei data center deve essere tenuta in conto, in particolar modo qualora questa non ricada in un paese dell’Unione Europea. Occorrerà verificare che il paese in questione fornisca gli adeguati livelli di protezione pari a quello europeo. Concludendo questa breve introduzione alla problematica della sicurezza dei dati e della privacy in ambito cloud è possibile dire che il cloud computing rappresenta sicuramente un’opportunità per le aziende in particolar modo le PMI, consentendo loro un risparmio economico ed un abbattimento dei costi di investimento. Tutto ciò a patto di servirsi di cloud provider che siano compliant alla normativa e di affidarsi a un professionista o al proprio DPO (qualora esista) per verificare il rispetto delle norme in materia di privacy. E al tempo stesso essere consapevoli che anche affidandosi a seri professionisti, il titolare resta sempre responsabile dei dati che tratta.

[1] Dal 25 maggio 2018 è divenuto pienamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.