Gli ultimi provvedimenti sanzionatori del Garante per la Protezione dei Dati personali, coinvolgenti società sia acquirenti sia fornitrici di servizi informatici, stanno assumendo dimensioni tali a livello sia qualitativo sia quantitativo che probabilmente, in tempi brevi, si giungerà ad un radicale cambio di paradigma circa le modalità di fornitura dei servizi digitali.
Questo cambiamento in atto dovrebbe portare le aziende fornitrici di servizi informatici, anche extraeuropee, a muovere alcune riflessioni sulle proprie strategie commerciali future, per rispondere in modo adeguato a quello che si prospetta essere nient’altro che un radicale cambiamento del mercato dei servizi digitali.
Tale assunto si poggia proprio sull’atteggiamento molto severo assunto dal Garante verso quelle organizzazioni che utilizzano o forniscono servizi informatici senza il rispetto della normativa privacy.
Alcuni degli ultimi provvedimenti sanzionatori del Garante
Basti vedere come il Garante, tra il 2020 e il 2021, abbia sanzionato ripetutamente sia titolari del trattamento, acquirenti di servizi informatici, sia responsabili o sub-responsabili del trattamento, fornitori dei predetti servizi, proprio perché i trattamenti di dati personali svolti con tali servizi violavano molteplici disposizioni del Regolamento GDPR.
Ecco alcuni esempi significativi:
a) L’Ente Roma Capitale è stato sanzionato (17.12.2020 [9524175]) una prima volta per € 500.000,00 per un sistema informatico di prenotazione di appuntamenti per l’erogazione dei servizi di municipali e sanitari, che violava molteplici disposizioni del regolamento GDPR (tra cui informativa non idonea artt. 13-14, mancata nomina del responsabile del trattamento art. 28, mancata adozione di idonee misure organizzative e tecniche a protezione dei dati artt. 5 § 2, 24, 32, assenza di una data retention policy art. 5 § 1 lett. e), controllo a distanza dei dipendenti in violazione dell’art. 4 dello Statuto dei Lavoratori).
Si noti che è stata sanzionata anche la società fornitrice dell’assistenza al servizio di prenotazione per € 40.000,00 [doc. web n. 9525315] per la mancata nomina quale responsabile del trattamento (ed altre contestazioni), con in aggiunta l’obbligo imposto dal Garante a quest’ultima società di dover comunicare ai clienti, utilizzatori del servizio, l’avvertimento circa il fatto che i propri servizi erano in violazione della normativa privacy e avvertendo di dover porre in essere tutti gli adempimenti idonei per la relativa compliance al regolamento GDPR [doc. web n. 9525337];
b) Ancora l’Ente Roma Capitale è stato nuovamente sanzionato per € 800.000,00 (22.07.2021 [9698724]) per il servizio informatico di gestione dei parcometri, in relazione all’inserimento del numero di targhe dell’auto per la quale si effettua il pagamento. Le contestazioni mosse rilevano una recidiva assenza di cultura della protezione dei dati personali (ancora mancata informativa, violazione dei principi di privacy by design e by default, mancata definizione dei ruoli dei soggetti esterni coinvolti, carenza delle misure di sicurezza, assenza di una data retention policy).
La sanzione è stata applicata anche nei confronti dell’Atac S.p.a. per € 400.000,00, a cui era stato delegato tecnicamente l’erogazione del servizio, e pure un’altra società sub-responsabile per € 30.000,00, fornitrice di un servizio informatico connesso. Per queste ultime due società la sanzione ha riguardato soprattutto (e non solo) la mancata nomina a responsabile del trattamento ex art. 28 GDPR;
c) Altro caso che sta suscitando oggi molto clamore riguarda la ben nota Università Bocconi di Milano, sanzionata per € 200.000,00 (16.09.2021 [9703988]) in relazione all’utilizzo di un programma informatico, fornito da società statunitense, per assicurare il corretto svolgimento degli esami a distanza, mediante un controllo dell’attività del client dello studente, comprendente anche il trattamento di dati biometrici. Il Garante nel provvedimento effettua una dettagliata analisi delle sistematiche violazioni al regolamento GDPR che lascia davvero sorpresi per la gravità degli errori commessi ed in particolare:
– assenza di basi giuridiche per il trattamento dei dati biometrici, atteso che il consenso espresso dallo studente è di per sé invalido vista la sua condizione di soggezione rispetto all’Università;
-informativa inidonea per violazione del principio di trasparenza tra cui, peraltro, il fatto che il programma in questione comportasse la profilazione dello studente, tramite tracciatura dei movimenti del mouse ed altre attività svolte durante la prova e nulla venisse indicato nell’informativa;
– violazione del principio di limitazione della conservazione dei dati personali nell’ambito di una non corretta impostazione della privacy by design e by default;
– trasferimento di dati personali verso gli Stati Uniti in violazione del regolamento GDPR (art. 46 § 2, lett. c, relativo alle clausole contrattuali standard) alla luce della sentenza della Corte di Giustizia dell’Unione Europea del 16.07.2020 (c.d. Schrems II). Nel provvedimento si evidenzia come nell’accordo di esportazione dei dati personali verso gli Stati Uniti mancassero, nell’allegato in cui dovevano essere riportate le misure di sicurezza supplettive a garanzia del pari livello di protezione dei dati personali rispetto alla normativa europea, le misure di garanzia, essendo queste solo richiedibili all’importatore: una sorta di allegato a richiesta…;
– Inadeguatezza della valutazione di impatto sulla protezione dei dati personali (DPIA), condotta secondo il Garante in modo apodittico, senza dettagliare in modo adeguato sui rischi legati al trattamento dei dati personali relativo al programma di controllo del client dello studente, tanto più comportando il trattamento di dati biometrici e con una penetrante profilazione dello studente durante la prova d’esame.
Si noti che negli ultimi due casi, il Garante è intervenuto su semplice segnalazione di un utilizzatore del servizio e, in particolare nell’ultimo caso, il segnalante è apparso nelle prime pagine dei principali quotidiani nazionali, suscitando molto interesse, stante il destinatario della sanzione (che viceversa ha subito un grave danno di immagine), dando indubbiamente un incentivo a segnalare altre violazioni al Garante.
Riflessioni strategiche relative ai fornitori di servizi digitali
Una prima riflessione, che appare evidente dalle contestazioni, è la scarsa importanza data alla cultura della protezione dei dati personali, vissuta evidentemente come un orpello da superare con qualche accorgimento formale, peraltro assolutamente inutile.
Ma più in profondità, questi provvedimenti portano a riflessioni strategiche riguardanti i fornitori di servizi digitali in relazione al tipo di mercato che si troveranno ad affrontare entro qualche anno.
Se i titolari del trattamento, che acquistano servizi informatici, si possono trovare a dover subire pesanti sanzioni da parte del Garante come nei casi sopra descritti, pretenderanno sempre maggiori garanzie di compliance del servizio alla normativa privacy.
Gli stessi DPO all’interno delle organizzazioni, i cui pareri sono molto influenti, staranno bene attenti a verificare le garanzie offerte e certo non faranno sconti.
Si assisterà quindi ad un cambio di paradigma commerciale nel senso che, chi vuole vendere servizi digitali ad aziende ed enti pubblici, dovrà preoccuparsi non solo di garantire la qualità informatica del servizio, ma anche di offrire le dovute garanzie di compliance privacy, pena l’uscita dal mercato entro breve tempo, soprattutto per quella fascia di clientela più esigente, ma anche più disposta ad investire pur di non trovarsi implicata in violazioni alla normativa privacy.
Il fornitore dei servizi digitali dovrà allora preoccuparsi di offrire garanzie tangibili circa la compliance privacy dei servizi digitali offerti, aiutando il cliente nel capire come utilizzare il servizio acquistato, rispettando il regolamento GDPR, avendo a disposizione tutte le informazioni idonee.
Appare allora molto concreta l’idea che nel prossimo futuro solo il fornitore che sarà in grado di offrire sul mercato servizi digitali con la garanzia della compliance privacy, potrà rimanere sul mercato.
Questo aspetto coinvolge anche fornitori di servizi informatici che si trovano fuori dal territorio dell’Unione Europea e dallo Spazio Economico Europeo, ma che intendono offrire i loro servizi digitali nel ricco mercato europeo. Dopo il caso dell’Università Bocconi è probabile che ci sarà particolare attenzione da parte dei titolari del trattamento nell’utilizzare i servizi offerti da società extracomunitarie, specie se i dati personali devono essere trasferiti negli Stati Uniti.
Meccanismi di dimostrazione della compliance privacy
Se quanto detto sopra è condivisibile, allora rivestono particolare importanza quei meccanismi che dimostrano la compliance al regolamento GDPR.
Su questo il regolamento GDPR è stato lungimirante prevedendo gli artt. 40-41 relativamente ai codici di condotta e gli artt. 42 e 43 per la certificazione dei trattamenti effettuati tramite prodotti o servizi.
Un esempio recentissimo di codice di condotta riguardante i servizi cloud (Iaas – Infrastructure as a service) è quello approvato dal CNIL, il garante francese per intendersi, nel giugno 2021 (“Data Protection Code of Conduct for Cloud Infrastructure Service Providers”, si veda il link https://www.cnil.fr/fr/recherche/cispe).
Questo codice è molto interessante perché è stato approvato anche dal Comitato Europeo di Protezione dei Dati (edpb, European Data Protection Board, che riunisce tutti i rappresentanti delle autorità di controllo degli stati membri) ex art. 40 § 7 GDPR, dandogli una rilevanza a livello europeo.
Per aderire al codice di condotta, è necessario passare il vaglio di un Organismo di Monitoraggio (art. 41 GDPR), che controlla poi anche il rispetto del codice nel tempo, potendo sanzionare l’aderente in caso di violazioni con anche la sua sospensione o esclusione e dovendo informare in questi casi pure l’autorità di controllo.
E’ indubbio che l’adesione al codice di condotta offre la possibilità alla società fornitrice di servizi cloud (Iaas), di presentarsi sul mercato con affidabili credenziali circa la sua compliance al regolamento GDPR, dando luogo ad una importante leva commerciale.
Oltre ai codici di condotta, il regolamento GDPR prevede anche la certificazione dei trattamenti effettuati da parte di titolari o responsabili del trattamento, secondo la norma EN-ISO/IEC 17065/2012 con l’aggiunta di ulteriori requisiti aggiuntivi stabiliti dall’autorità di controllo (art. 41 § 1 lett. b, 42 § 5 GDPR, con l’avvertenza che le certificazioni basate sulla norma ISO 27001 non vi rientrano atteso che gli organismi di certificazione sono accreditati sulla base della norma 17021-1 relativa ai sistemi di gestione).
In pratica, attraverso questo meccanismo di certificazione, si dimostra la compliance al regolamento GDPR dei trattamenti relativi a prodotti o servizi a cui i terzi possono fare affidamento.
Si tratta quindi di una leva commerciale di notevole importanza, perché coloro che possono esibire tale certificazione, potranno dimostrare la compliance privacy senza alcuna difficoltà e i terzi potranno farvi affidamento senza particolari complicazioni.
Per ora non c’è ancora un organismo di certificazione idoneo a rilasciare una certificazione conforme agli artt. 42 e 43 GDPR per una serie di complicazioni burocratiche.
Si può dire però che esiste lo schema ISDP©10003:2020 (liberamente scaricabile dal sito in-veo.com), schema internazionale per la valutazione della conformità al Regolamento Europeo 2016/679 (GDPR), già accreditato in forma volontaria da Accredia (il nostro organismo nazionale di accreditamento, si veda l’art. 2-septiesdecies codice privacy), secondo la norma EN-ISO/IEC 17065 e ora sottoposto all’approvazione del Garante ex art. 42 § 5 GDPR.
Quando verrà ottenuta l’approvazione da parte del Garante, la certificazione con tale schema avrà gli effetti di cui agli artt. 42-43 GDPR, con quindi efficace dimostrazione della compliance al regolamento GDPR, fermi però sempre la responsabilità del titolare o responsabile del trattamento che ha ottenuto la certificazione e i poteri di accertamento da parte dell’autorità di controllo (art. 42 § 4).
Sebbene ora quindi la certificazione secondo lo schema ISDP©10003:2020 non sia ancora una certificazione valida secondo gli artt. 42-43 GDPR, certamente rappresenta un’importante dimostrazione della compliance al regolamento GDPR dei trattamenti inerenti al prodotto o servizio certificato, stante l’accreditamento di Accredia dello schema in parola ed il controllo esercitato dall’ente di certificazione.
Si tratta quindi di un percorso da seguire con estrema attenzione perché certamente la certificazione ex artt. 42-43 GDPR, costituirà un’importante leva commerciale, probabilmente molto apprezzata.
E nel caso in cui non esista un codice di condotta o non si riesca/esista la possibilità di certificare i servizi o prodotti, come si può convincere il mercato della propria compliance privacy dei propri prodotti o servizi in modo convincente?
Certamente se l’organizzazione si certifica sulla base dello schema ISO 27001 con anche la ISO 27701 (per i servizi cloud anche 27017 e 27018) può dimostrare al mercato di aver implementato un sistema di gestione della compliance privacy affidabile, verificata da un ente di certificazione indipendente e, infatti, viene di solito apprezzata dal mercato.
Particolare importanza riveste poi per i fornitori di servizi di assistenza informatica, come gli MSP (Managed Service Provider), il contratto da presentare al cliente, che oltre a disciplinare l’ambito negoziale, deve avere l’allegato denominato dalla prassi, DPA, Data Processing Agreement, che regoli il trattamento dei dati personali ai sensi dell’art. 28 del regolamento GDPR. Si tratta di un elemento negoziale indispensabile ed appare davvero sorprendente che ancora molti MSP prestino i loro servizi senza il DPA (come accaduto nel caso Roma Capitale) o addirittura senza alcun contratto, solo fattura a fine mese.
Oppure nel caso di prodotti o servizi informatici di una certa complessità (per esempio antivirus che utilizza l’intelligenza artificiale per tracciare la rete interna aziendale), fondamentale può essere predisporre una valutazione di impatto protezione dei dati personali (DPIA ex art. 35 GDPR), da poter quantomeno esibire al cliente che chiede chiarimenti sulla compliance del servizio digitale da acquistare.
Altre soluzioni andranno valutate caso per caso in relazione alla tipologia di prodotti o servizi digitali ed alle richieste del cliente.
In conclusione appare prospettarsi un cambio radicale di paradigma circa le modalità di offerta di servizi digitali, in quanto la dimostrazione della compliance privacy costituirà un tassello fondamentale per poter competere sul mercato.
Siamo solo all’inizio e il futuro sicuramente riserverà molte sorprese.
