Il Regolamento europeo per la protezione dei dati (GDPR), attribuisce al principio di privacy by design un ruolo fondamentale nella declinazione dei compiti del titolare. Il che si traduce nella definizione dei contorni della sua accountability.
Tuttavia, l’importanza della protezione dei dati fin dalla progettazione non sempre viene percepita nella sua rilevanza centrale nell’applicazione pratica e nell’impostazione delle attività del Titolare.
Privacy by design secondo il Garante Norvegese
La centralità di questo principio è stata di recente sottolineata dall’Autorità Garante per la protezione dei dati personali Norvegese (“Datatilsynet”).
Il Garante Norvegese ha sanzionato l’Agenzia per l’istruzione della municipalità di Oslo con un’ammenda di 120.000 euro, contestando l’insufficiente livello di sicurezza di un’applicazione mobile (“Skolemelding”) utilizzata per la comunicazione tra scuola, genitori ed alunni (fonte: https://edpb.europa.eu/news/national-news/2019/norwegian-data-protection-authority-imposes-fine-municipality-oslo-education_en).
Criticità riscontrate
La contestazione ha riguardato i seguenti aspetti di criticità della progettazione e implementazione dell’app mobile Skolemelding:
- Previsione di un campo libero a disposizione dei genitori in cui gli stessi potevano inviare messaggi dei propri figli circa le assenze da scuola. Ciò consentiva ai genitori di inviare qualsiasi tipo di informazione, ivi inclusi riferimenti a malattie (cd. dati particolari), senza alcun filtro.
- Assenza di garanzie di sicurezza nell’accesso che ha permesso a persone non autorizzate di accedere e modificare i dati personali di oltre 63.000 alunni.
- Lancio dell’app nonostante fossero note le vulnerabilità della sicurezza, accertate mediante test eseguiti in precedenza e non risolte prima della messa a disposizione degli utenti.
Limitare l’inserimento di dati non previsti
Nello specifico, con riferimento primo punto il Titolare avrebbe dovuto evitare di mettere a disposizione degli utenti un campo vuoto. Una misura adeguata, invece, sarebbe stato un menù a tendina o altre forme di scelta vincolata, capaci di limitare la possibilità di inserimento di dati non previsti.
Secondo il Garante, poi, nel caso si reputi comunque necessaria l’adozione di un campo libero, il Titolare dovrebbe sempre includere un avviso per scoraggiare l’inserimento di dati particolari.
Datatilsynet, poi, consiglia l’adozione di sistemi specifici – a parere di chi scrive complessi e onerosi – capaci di ricercare i dati particolari e di cancellarli automaticamente.
Sicurezza e sistemi di autenticazione
Con riferimento secondo punto il Garante richiama invece la necessità di evitare sistemi di autenticazione troppo elementari, favorendo ad esempio l’autenticazione a più fattori e prevendendone, a seguito di una valutazione del rischio, l’obbligatorietà o facoltatività a seconda della soglia di rischio individuata.
Sempre sul punto, altra raccomandazione interessante è quella secondo cui il Titolare dovrebbe implementare sistemi automatici di avviso (per esempio a mezzo mail) che informano l’utente di eventuali cambi di password o modifiche dell’account.
Test di sicurezza preventivi
Con riferimento all’ultimo punto, infine, Datatilsynet rileva come i test di sicurezza siano una parte importantissima da eseguire sempre prima del lancio dei prodotti, con la conseguenza che non dovrebbero essere rimandati al periodo successivo quando le applicazioni sono già utilizzate per il trattamento dei dati, evitando di utilizzare gli stessi utenti come tester.
Violazioni al GDPR riscontrate
Alla luce di quanto sopra, sono diversi i principi del GDPR che risultano violati.
Anzitutto, gli obblighi di cui all’art. 32, par. 1, lett. b), inerenti “capacità di assicurare su base permanente la riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento”, laddove l’applicazione Skolemelding non garantiva la sicurezza delle funzioni di accesso.
Al tempo stesso, l’omessa esecuzione di adeguati test di sicurezza preventivi ha violato l’art. 32, par. 1, lett. d) del GDPR, che impone al Titolare l’adozione di “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche organizzative al fine di garantire la sicurezza del trattamento”.
Inoltre, il lancio dell’applicazione con le vulnerabilità conosciute ha importato la responsabilità per violazione del principio di accountability del Titolare di cui all’art. 5, par. 2, con riferimento all’art. 5, par. 1, lett. f) (principio di integrità e riservatezza) e, nel momento in cui non forniva strumenti agli utenti per limitare o impedire la raccolta indesiderata di dati personali e, in quanto tale, non necessaria rispetto alle finalità, anche art. 5, par. 1, lett. c) del GDPR (principio di minimizzazione dei dati).
Conclusioni
La decisione del Garante norvegese, quindi, evidenzia come l’attenzione alla prevenzione dei rischi assuma un ruolo centrale in tutta l’attività di trattamento del Titolare che non può esser relegata a meri adempimenti formali, insufficienti a garantire il rispetto del principio di accountability.
La decisione e le considerazioni di Datatilsynet entrano nel merito delle valutazioni e delle scelte del titolare del trattamento, per valorizzare il principio di accountability e la conseguente responsabilità, richiesta dal GDPR, a mettere in atto misure tecniche ed organizzative adeguate fin dal momento in cui vengono determinati i mezzi del trattamento.
Il principio di privacy by design non deve quindi essere interpretato come un mero precetto astratto da rispettare soltanto sulla carta, bensì come un vero e proprio impegno che dovrà trovare riscontro nella pratica applicazione dei mezzi del trattamenti concreti.
Andrea Stigi