GDPR: i dati degli utenti gestiti dalle aziende che operano nel settore dell’IT

Le aziende che operano nel settore dell’IT si trovano spesso ad offrire prodotti/servizi che garantiscono agli utenti porzioni di spazio virtuale all’interno delle proprie piattaforme, spazi nei quali gli utenti hanno la possibilità di inserire, manipolare e salvare diversi livelli di dati personali.

Il 25 maggio 2018 è ormai passato e il Gdpr (General Data Protection Regulation) è diventato pienamente efficace. Il web è ricco di informazioni più o meno approfondite sull’argomento: si tratta in genere di guide all’uso e spiegazioni dei nuovi termini coniati.

L’utente è al centro di tutto il regolamento, i suoi dati sono sacri e tutte le aziende si sono dovute organizzare per rispettarlo, ma le aziende stesse, in qualità di titolari dei dati, sono sufficientemente tutelate dal GDPR? A noi interessa verificare la situazione di quelle che appartengono al mondo IT.[/av_textblock] Il regolamento dovrebbe interessare soltanto le aziende europee, ma è stato subito chiaro come tutto il mondo sia in un modo o nell’altro influenzato dal regolamento. Ciò accade perché i dati degli utenti superano agevolmente i confini comunitari, adottando servizi offerti da aziende operanti da paesi extra UE, come ad esempio Facebook e Google, ma non solo, fanno parte di questa tipologia anche molte società che offrono servizi Cloud based.

Il regolamento di riferimento in Europa sulla protezione dei dati personali non fa esplicitamente riferimento al Cloud, ma appare evidente come quest’infrastruttura debba essere conforme alle nuove norme.
I punti cardine del regolamento sono:

1. Privacy by design – La protezione dei dati personali deve essere garantita “fin dalla progettazione”
2. Privacy by default – La protezione dei dati personali deve essere garantita “per impostazione predefinita”
3. Accountability – Il titolare del trattamento adotta misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare al garante della Privacy che il trattamento dei dati personali è effettuato conformemente al Regolamento.

Un’azienda che fornisce servizi Cloud è a tutti gli effetti da ritenersi “Responsabile del trattamento dei dati” ai sensi dell’articolo 28 EU RGPD, non a caso i principali attori hanno inserito accanto al contratto di servizio con i clienti, anche il contratto che disciplina il loro ruolo in questo ambito.

In quest’ottica il titolare del trattamento che si serve di un servizio Cloud esterno:

1. Lo nomina Responsabile del trattamento dei dati
2. Verifica che soddisfi i 3 punti cardine precedentemente riportati

Le aziende che operano nel settore dell’IT si trovano spesso ad offrire prodotti/servizi che garantiscono agli utenti porzioni di spazio virtuale all’interno delle proprie piattaforme, spazi nei quali gli utenti hanno la possibilità di inserire, manipolare e salvare diversi livelli di dati personali.

L’utente gode finalmente di una serie di diritti molto importanti, ma che possono mettere seriamente in difficoltà le aziende che non si sono organizzate per garantirli, in particolare:

• il diritto di accedere ai dati
• il diritto di chiedere la rettifica di dati personali incompleti o inesatti;
• il diritto di ottenere la cancellazione dei propri dati;
• il diritto di limitare il trattamento;
• il diritto alla portabilità dei dati.

Proviamo a fare un esempio:

Un’azienda ha realizzato in passato una web application che raccoglie i dati degli utenti, in particolare: foto di luoghi d’arte che opportunamente collegati, creano un percorso culturale condiviso. Dal momento che la proprietà intellettuale delle foto è sempre di chi la realizza, l’utente potrebbe chiedere la cancellazione della propria foto dalla piattaforma. Al di là dei problemi legati alla perdita di informazioni da offrire, l’azienda potrebbe non essersi organizzata per estrapolare un singolo dato da un insieme più ampio e interconnesso.

Questo scenario è verosimile e cambia completamente l’approccio ai nuovi progetti. Se fino a oggi si poteva realizzare un software dedicato a uno specifico scopo, limitandosi a osservare l’impatto sulla privacy degli utenti, oggi il rispetto di questi ultimi è il punto di partenza dal quale sviluppare l’applicazione.

Da un punto di vista operativo questo implica il servirsi di un esperto della materia già in fase di analisi del software, andando a modificare significativamente le competenze necessarie allo sviluppo. Gli organigrammi aziendali stanno per subire un significativo cambiamento.