Manca ormai meno di un anno a quando dovrà essere pienamente applicato in tutti i Paesi UE il General Data Protection Regulation (Gdpr): com’è noto, da maggio 2018, introdurrà nuovi obblighi a carico di Titolari e Responsabili del trattamento del dato, particolarmente rilevanti nel caso di dati elettronici. Il Gdpr va ad allinearsi alle tante disposizioni che stanno modificando lo scenario normativo europeo e delle quali condivide l’obiettivo principale, cioè quello di elevare il trust delle transazioni digitali al fine di rafforzare la fiducia dei consumatori.
A differenza di altre disposizioni europee – quali Psd2 o le direttive antiriciclaggio – che indicano esplicitamente gli strumenti per raggiungere la compliance normativa, il Gdpr invece è incentrato sul trattamento del dato in termini di risultato atteso: la protezione e la minimizzazione dell’utilizzo del dato. E nessuna indicazione viene fornita sugli strumenti da implementare per raggiungere tale scopo. Una valutazione, questa, che resta a carico delle imprese, spesso però sprovviste delle necessarie competenze interne e per le quali sarà pertanto cruciale affidarsi a un IT provider che sappia guidarle nella scelta delle soluzioni più adatte.
Punto di riferimento, in questo contesto, è il Regolamento eIdas in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato Ue: anche nel Gdpr, infatti, sono i trust services gli “abilitatori della fiducia”.
Pensiamo, ad esempio, a uno dei principi fondamentali del Regolamento, quello del consenso informato. Il Gdpr dispone – nel rispetto del principio di liceità – che il dato personale possa essere trattato solo dopo aver reso all’interessato un’informativa e, in alcuni casi, aver raccolto il suo consenso all’utilizzo dei dati forniti. Nei casi in cui il trattamento sia basato sul consenso, e a maggior ragione laddove questo debba essere “espresso”, sarà opportuno avere certezza dell’identità dell’interessato e avere a disposizione strumenti che permettano di conservare negli anni la volontà del soggetto. Questo avviene in particolare in tutti quei contesti – come quello sanitario – dove un errato trattamento del dato potrebbe ledere i diritti fondamentali dei cittadini. Nel contesto digitale in cui viviamo questi obiettivi possono essere raggiunti con strumenti di e-identification, come Spid, ovvero con soluzioni trust quali firma avanzata, digitale o qualificata, che permettono di garantire paternità e integrità dei documenti.
Qualora, poi, il consenso dovesse venire meno, il Titolare potrebbe richiedere formalmente l’interruzione del trattamento mediante un altro servizio trust, la Posta Elettronica Certificata o altro servizio di delivery fiduciario: come per le comunicazioni di cui infra, questi strumenti permettono l’opponibilità a terzi della comunicazione con garanzia dell’avvenuto invio e ricezione della revoca. Non bisogna, comunque, dimenticare che il Regolamento impone che il consenso sia revocato con la stessa facilità con cui è stato prestato: potrebbe, quindi, essere a carico del Titolare mettere l’Interessato in condizioni ottimali per la procedura di revoca.
Un altro esempio lo fornisce un secondo principio cardine del Gdpr, quello relativo agli obblighi di notifica. Una volta immesso nei sistemi di un’azienda, il dato può seguire diverse strade a seconda del fine per cui è stato raccolto: essere trasferito a terzi, essere oggetto di una serie di diritti dell’Interessato e, infine, essere infine eliminato, cancellato o anonimizzato. Qualora queste operazioni vadano comunicate ai vari stakeholder, dovranno essere utilizzati strumenti che ne garantiscano l’opponibilità a terzi in sede giudiziaria: strumenti di delivery certificati o qualificati. E dunque trust.
Gli obblighi di risultato – e non di mezzi – imposti dal Gdpr, lasciano inoltre spazio anche per altri due servizi elettronici spesso abilitanti per la corretta digitalizzazione dei processi: la marcatura temporale e la conservazione digitale. Questo tipo di strumenti permette di preservare negli anni e di avere contezza temporale della raccolta del consenso, quando necessario, e del trattamento eseguito sui dati personali, mettendo il Titolare in grado di rispondere a un eventuale audit.
Il Gdpr, in sostanza, prescrive che tutto ciò che riguarda il trattamento del dato sia pensato e realizzato con criteri improntati alla fiducia: persino l’architettura dei processi deve rispettare, per quanto disposto dall’art. 25 del Regolamento, i principi di privacy by design e by default.
E’ evidente come, per le imprese, lo scenario creato dal Gdpr sia estremamente sfidante. Tuttavia, può rivelarsi ricco di opportunità per coloro che sceglieranno di puntare sul digital trust non solo per rispondere agli obblighi di adeguamento normativo, ma per incrementare la propria competitività. Una trasformazione che sarà più semplice avendo al proprio fianco un partner in grado di offrire non solo soluzioni tecnologicamente innovative, ma anche la consulenza di processo e normativa necessarie a disegnare una roadmap sostenibile del processo di cambiamento.