PRIVACY

Protezione dei dati personali in ambito ICT

| 30/10/2018 11:09

UNI/PdR43.1:2018 - Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) - Gestione e monitoraggio dei dati personali in ambito ICT
La prassi di riferimento UNI/PdR 43 è strutturata in 2 sezioni. La sezione 1 fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT), secondo il Regolamento Europeo 679/2016 (GDPR) e la normativa vigente
.

***

Il tema della protezione dei dati personali è di assoluto rilievo e quanto mai attuale. Il diffondersi delle tecnologie e il loro esponenziale utilizzo ha determinato un consistente incremento delle informazioni digitali. L'utilizzo di device e applicazioni comporta il conseguente impiego di dati personali in forma digitale e molto spesso non ci si rende adeguatamente conto delle finalità e delle modalità di trattamento degli stessi.

Il diritto al rispetto della vita privata e della vita familiare (privacy) e quello alla protezione dei dati di carattere personale costituiscono diritti fondamentali, così come previsto rispettivamente dagli articoli 7 e 8 della Carta dei diritti fondamentali dell'unione europea (2017/C 202/02).

In particolare, la qualificazione del dato personale come diritto fondamentale è strettamente connessa all'appartenenza delle informazioni ad una persona fisica. In ragione del rapporto che lega intrinsecamente l'informazione alla persona fisica cui appartiene, il dato personale acquisisce una elevata qualificazione che gli consente l'attribuzione di un valore in senso assoluto. Pertanto, il dato personale va adeguatamente protetto per l'intera durata del trattamento e quindi in tutto il suo ciclo vitale (lifecycle). Il trattamento del dato personale deve essere conforme alle norme vigenti.

Il Trattato sul Funzionamento dell'Unione Europea (TFUE) all'art. 16, paragrafo 1, dispone che "Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano".
Il Regolamento UE 2016/679 (GDPR), applicabile dal 25 maggio del 2018, nel riformare la disciplina europea in materia di protezione dei dati personali, ha introdotto un nuovo approccio alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla loro libera circolazione. Si tratta certamente di un traguardo importante che - avendo abrogato la Direttiva 95/46/CE - ha comportato anche la modifica del codice privacy (D.Lgs. 196/2003) avvenuta con il D.Lgs. 101/2018.

All'impianto normativo va aggiunto il riferimento al c.d. soft law, costituito fondamentalmente dai provvedimenti del Garante e da quelli del Comitato europeo per la protezione dei dati (CEPD o, in inglese, European Data Protection Board - EDPB), ossia l'ex Gruppo Art. 29 e di altri organismi.

Tuttavia, al di là delle norme giuridiche, esiste per diversi settori un impianto normativo tecnico, governato in Italia dal'Ente Italiano di Unificazione (UNI), in Europa dal CEN (European Committee for Standardization) e a livello mondiale da ISO (International Organization for Standardization).

UNI è riconosciuto dall'Unione Europea e dallo Stato italiano ai sensi dell'art. 27 del Regolamento UE 1025/2012. Le attività di tali organismi consistono, fra l'altro, nell'approvare documenti, tra cui norme tecniche e prassi di riferimento, che possano fornire indicazioni applicative concrete. In questo contesto, sono ben note, ad esempio, le norme tecniche ISO della c.d. famiglia 27000 relative ai sistemi di gestione della sicurezza delle informazioni (SGSI o in inglese ISMS).

Il sistema delle norme tecniche costituisce, ad avviso dello scrivente, un ambito di completamento dei sistemi di conformità non fondati unicamente sulle norme giuridiche e sul soft law.

La piena integrazione tra normativa giuridica e tecnica può realizzare molto efficacemente gli obiettivi di conformità cui sono tenuti i soggetti destinatari delle norme. Pertanto, l'11 settembre 2018 UNI ha pubblicato la Prassi di riferimento 43:2018, recante "Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR) - Gestione e monitoraggio dei dati personali in ambito ICT". Detta prassi si compone di due sezioni.

La sezione 1 fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT), secondo il Regolamento Europeo 679/2016 (GDPR) e la normativa vigente.

La sezione 2, invece, fornisce un adeguato insieme di requisiti che permetta alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, potendo dimostrare tale conformità ed efficacia anche attraverso un percorso di certificazione; vengono indicati anche gli indirizzi per la valutazione di conformità ai requisiti definiti. Entrambe le sezioni della Prassi in questione sono liberamente scaricabili, previa registrazione, dal sito di UNI.

In che cosa consiste una prassi di riferimento?

Si tratta di un documento che raccoglie prescrizioni relative a prassi condivise proposte dall'Associazione Informatici Professionisti (AIP) che ha sottoscritto un accordo di collaborazione con UNI e UNINFO-Tecnologie informatiche e loro applicazioni Ente di normazione federato all'UNI. La Prassi UNI/PdR43.1:2018 è stata elaborata dal Tavolo "Processi di gestione privacy in ambito digitale", condotto da UNINFO su incarico di UNI.

In sostanza la prassi UNI/PdR43.1:2018 contiene nella sezione 1 una sintetica descrizione del adempimenti normativi in materia di protezione dei dati personali, mentre la sezione 2 contiene delle indicazioni operative per essere conformi al GDPR. La partecipazione al Tavolo della Prassi è stata un esperienza certamente positiva e di confronto soprattutto con il contesto produttivo e con l'Ente Nazionale di Normazione.

La Prassi UNI/PdR43.1:2018 può essere utilizzata all'interno di una organizzazione per elaborare i processi connessi al trattamento dei dati personali, ma è anche possibile rivolgersi ad una società di certificazione regolarmente accreditata presso Accredia (Ente designato dal governo italiano ad attestare la competenza, l'indipendenza e l'imparzialità degli organismi e dei laboratori che verificano la conformità dei beni e dei servizi alle norme ai sensi del Regolamento CE 765/2008) al fine di ottenere una valutazione di conformità che - si precisa - non corrisponde ad una certificazione, ma consiste in una verifica del rispetto, da parte di una organizzazione, delle prescrizioni contenute nella prassi in questione.

La Prassi, a parere dello scrivente, è un documento di indubbia utilità per tutti coloro i quali siano interessati ad analizzare i processi in materia di protezione dei dati personali in ambito digitale ed effettuare le opportune valutazioni di conformità. Il titolo del documento (Linee guida) esprime adeguatamente gli obiettivi del lavoro svolto dal Tavolo e si rivolge ai soggetti che trattano dati digitalmente.

Sul tema dei dati personali è appena il caso di sottolineare quanto è emerso dalla 40ma Conferenza internazionale dei garanti (il cui tema è stato "Debeating Ethics: Dignity and Respect in Data Driven Life") ove si è inteso evidenziare l'importanza e la preminenza dell'etica nei processi relativi al trattamento dei dati personali, proprio in considerazione di un contesto digitale in cui la nostra vita è basata sui dati.