GDPR, quando IoT e cloud diventano un rischio

13 Settembre 2019 in Governance Risk & Compliance As a Service - GRC360

GDPR

Colud, GDPR, IoT e altre tecnologie non possono che andare d’accordo? Purtroppo, la risposta non è sempre “sì”. L’adozione di nuove tecnologie può infatti comportare implicazioni legali in materia di protezione dei dati, alla luce del regolamento europeo GDPR (nonché delle normative nazionali di riferimento). Le politiche industriali degli ultimi anni a livello europeo sono volte a digitalizzare sempre di più i mercati e a spingere le aziende lungo un percorso di innovazione. In Italia, gli incentivi promossi sulla scia del Piano Nazionale Industria 4.0 hanno permesso alle aziende, dalle più grandi alle più piccole, di dotarsi di strumenti automatizzati, iperconnessi, in alcuni casi intelligenti. L’obiettivo primario è ovviamente quello di mantenersi competitivi sul mercato, ma nel mare della digitalizzazione industriale bisogna navigare senza mai perdere di vista la normativa sulla privacy. In caso contrario, si incappa in danni economici e reputazionali.

I rischi del GDRP con cloud e IoT

Bisogna sapere infatti che strumenti come cloud computing, Big Data, IoT (Internet of Things), AI (Intelligenza Artificiale), ma anche l’uso aziendale dei social e la profilazione, oltre a sistemi di riconoscimento che prevedono l’impiego di dati biometrici, pongono questioni di compliance alla normativa. In questo contesto tecnologico, la problematica relativa alla privacy è connessa all’uso del trattamento dei dati personali, alla loro sicurezza, alle misure di prevenzione messe in atto. Per un’azienda che voglia innovarsi adottando nuove tecnologie dunque è fondamentale capire quali sono i rischi che si corrono e cosa fare in concreto per mettere in pratica i dettàmi del GDPR.

Nuove tecnologie e GDPR: come usare cloud e IoT senza rischi

Per mantenersi compliant al GDPR, non bisogna mai scordare di porsi due domande nel momento in cui si predispone l’adozione di nuove tecnologie in azienda: quali sono i rischi per i diritti degli Interessati (ovvero le persone alle quali si riferiscono i dati)? Tali rischi sono sufficientemente mitigati dalle misure tecniche ed organizzative adottate? La risposta non può essere una sola, perché le variabili sono infinite a seconda del contesto in cui ci si trova e degli strumenti che si vogliono introdurre nella propria impresa. Tuttavia, grazie ai principi fondamentali e ai processi indicati dal GDPR è possibile individuare le regole da non infrangere mai e quali sono le problematiche comuni a ogni organizzazione. In un’ottica di prevenzione dei pericoli, l’articolo 25 del GDPR introduce il concetto di privacy by design, secondo il quale bisogna individuare sin dalla fase di progettazione di un intervento (come può essere appunto l’adozione di nuove tecnologie) le soluzioni adeguate a garantire la protezione dei dati.

GDPR, tecnologie e DPIA

Tra le soluzioni a disposizione del titolare del trattamento per capire come gestire correttamente i rischi in materia di data protection in relazione alle nuove tecnologie è la DPIA – Data Protection Impact Assessment. Si tratta della valutazione dell’impatto che un trattamento può avere “per i diritti e le libertà delle persone fisiche”: la procedura è prevista all’articolo 35 del GDPR e non si fa per ogni tipo di trattamento, ma solo per quelli che possono presentare un rischio elevato; tra quelli per cui è prevista ci sono anche i trattamenti legati alle innovazioni tecnologiche. Per evitare dubbi, il Garante della privacy italiano ha reso pubblico nel 2018 un elenco (disponibile qui) in cui sono elencati i trattamenti per cui occorre la DPIA. Tra questi sono inclusi per esempio il mobile payment, IoT, l’Intelligenza Artificiale, ma anche assistenti vocali connessi e wi-fi tracking. Bisogna però ricordare che il solo utilizzo di “tecnologie”, inteso genericamente, non è un elemento sufficiente per richiedere una DPIA. Infatti, si deve trattare di tecnologie innovative (o di un utilizzo innovativo di tecnologie esistenti) e deve sussistere anche un secondo criterio previsto nelle Linee guida del WP29. Insomma, per richiedere la DPIA è necessaria la coesistenza di due fattori indicati dalla normativa, la sola presenza della tecnologia innovativa non basta per ricorrere a questo strumento.

La conclusione della DPIA condurrà a tre possibili esiti: se i rischi risulteranno sufficientemente mitigati dalle misure adottate, il titolare potrà procedere ad avviare il trattamento; in caso contrario dovrà procedere alla revisione del trattamento (o delle misure) per raggiungere la compliance; in caso di dubbio potrà ricorrere alla consultazione dell’Autorità Garante.

Esempi di GDPR e tecnologie: IoT, cloud e AI

Alla luce della normativa, bisogna dunque comprendere la natura dei rischi e dei trattamenti legati alle tecnologie che si intende acquisire, a seconda delle loro caratteristiche.
Per esempio, i sistemi IoT e di cloud computing possono essere obiettivo del cyber crime, per cui potrebbero verificarsi episodi di data breach (furto di dati). In quel caso, l’azienda dovrà subito comunicare l’accaduto alle autorità e agli interessati, ma anche dimostrare di aver fatto il possibile per evitare la violazione. Inoltre, il GDPR esplicita in modo chiaro che l’interessato ha diritto a non essere soggetto a decisioni che si basano solo su trattamenti automatizzati, ambito che coinvolge l’AI. E ancora, a livello di organizzazione aziendale, si potrebbe decidere di acquisire sistemi di controllo del personale basati sul trattamento dei dati biometrici.

Risulta evidente che la questione trascende la mera applicazione della norma che necessita di essere anche opportunamente contestualizzata e a tal fine le analisi dovranno essere effettuate dai soggetti interni o, dove non fossero presenti, esterni all’organizzazione che siano dotati delle necessarie competenze professionali specialistiche atte a individuare le soluzioni adeguate e soprattutto compliant alla normativa.

Paolo Calvi – Data Protection Officer

New call-to-action