1

Il Principio di Accountabilty nel Nuovo Regolamento UE 2016/679 – Seconda Parte

Nel precedente articolo sono state prese in esame la disciplina in materia di trattamento dei dati personali prevista dal GDPR e le figure ad esso deputate.

Tuttavia, dal tenore del nuovo art. 2-quaterdecies del D.lgs 196/2003[1] risulta evidente come la sola dicotomia titolare-responsabile non sia sufficiente a ricostruire l’intera catena organizzativa nell’ambito di un trattamento, data la pluralità degli attori[2] presenti.

Il titolare che intenda avvalersi di collaboratori è tenuto, prima di avviare un qualsiasi trattamento, ad individuare, formare e istruire i singoli soggetti autorizzati al trattamento stesso; in tal senso è utile richiamare la disciplina dell’art. 29[3] del GDPR che, nel richiedere l’adozione di misure organizzative, richiama il principio di accountability.

Come detto i soggetti autorizzati, quali figure di supporto al titolare o al responsabile, per poter essere nominati devono essere destinatari, prima dell’avvio del trattamento dei dati personali, di formazione adeguata nonché di istruzioni differenziate in ragione delle competenze essi attribuite, essendo evidente il divieto per ciascun soggetto di trattare dati sotto l’autorità del titolare in carenza di una designazione espressa e coerente con i compiti o le funzioni ad esso attribuite. Tra i soggetti autorizzati al trattamento rientra la figura dell’amministratore di sistema che seppur non espressamente richiamata nel GDPR viene definita nel provvedimento dell’Autorità Garante[4]

L’insieme delle misure adottate – nonché di ogni altra informazione richiesta dal GDPR o comunque necessaria in ragione del caso concreto – dev’essere annotato nei registri di trattamento ai sensi dell’art. 30 del GDPR a cura del titolare e del responsabile del trattamento, cui spetta inoltre la loro tenuta.

Il registro dei trattamenti ex art 30 del GDPR è dunque sempre obbligatorio (ad esclusione dei casi previsti dall’art. 30 paragrafo 5 del GDPR[5]) e rappresenta al tempo stesso uno strumento di accountability e di cooperazione con l’Autorità Garante.

Questa seconda definizione discende dall’essere la prima documentazione che il titolare deve mettere a disposizione dell’Autorità per consentirle di verificare, comprovandola, la coerenza al GDPR dei trattamenti posti in essere.

Il registro deve contenere almeno le informazioni elencate nei paragrafi 1 e 2 e descrivere in forma sintetica tutti i trattamenti effettuati dal titolare e/o dal responsabile; nonché essere costantemente aggiornato ad ogni variazione dei contenuti o integrato con l’inserimento dei nuovi trattamenti, deducendosi quindi il suo carattere dinamico e non statico. La compilazione, inoltre, dovrà avvenire al termine di un censimento dei dati trattati e solo dopo aver effettuato un’attenta e puntuale mappatura dei processi e dei procedimenti (trattamenti), corredata dalle finalità e da ogni altra informazione utile.

Il principio di accountability è anche nella cooperazione del titolare con l’Autorità Garante (munita tra l’altro dei poteri di cui all’art 58 GDPR), anche ribadita nell’art. 30 par. 4 . L’art. 31 contiene dunque un obbligo di carattere generale che implica un controllo non limitato ai soli registri ma a tutte le attività di ispezione e controllo[6] e tale, da un lato, da attestare la conformità al GDPR e, dall’altro, di consentire un monitoraggio sulle attività svolte. Le attività ispettive sono effettuate a norma del Regolamento deliberato dall’Autorità Garante n. 1 del 2021[7].

I principi di privacy by design e privacy by default e le conseguenti misure tecniche organizzative si traducono nell’obbligo generale di sicurezza declinato nell’art. 32 (il cui principio è contenuto nell’art 5, par 1 lett. f) GDPR).

Il titolare è tenuto ad applicare il principio di responsabilizzazione enunciato nell’art. 5 par. 1 mediante l’adozione di misure adeguate, che devono essere, se necessario, periodicamente riesaminate e aggiornate, nonché a comprovare il rispetto e l’efficacia delle stesse come prescritto anche dall’art. 24.)

In tale contesto gli artt. 25 e 32 concorrono ad elencare alcune misure tecniche che si differenziano dalle misure organizzative (consistendo queste ultime nella suddivisione delle responsabilità). A titolo esemplificativo ma non esaustivo citiamo la nomina del responsabile, ove necessario; redazione di apposite policy interne; la nomina dei soggetti autorizzati al trattamento con annesse le relative istruzioni; la nomina dell’amministratore di sistema e del Responsabile protezione dei dati; la formazione, etc.

Una violazione dei dati personali[8] (data breach) può comprometterne la riservatezza, l’integrità o la disponibilità ma rappresenta altresì un indice di funzionalità del sistema di accountability progettato dal titolare, nonché l’opportunità di affrontare con maggior consapevolezza la verifica dei processi di trattamento per individuare i contesti che necessitano di aggiornamenti, così da renderli maggiormente coerenti con il GDPR. Quest’ultimo, dopo aver definito la violazione dei dati personali(art. 4 par. 1 n. 12) agli artt. 33 e 34 regolamenta, rispettivamente, la materia della notifica di una violazione dei dati personali all’autorità di controllo e la comunicazione di una violazione dei dati personali all’interessato.

Il titolare, a norma dell’art. 33 del GDPR, è tenuto a notificare all’Autorità Garante la violazione dei dati personali, a meno che non sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oggetto della tutela non sono infatti i dati personali in sé ma i diritti e le libertà delle persone fisiche a cui fanno riferimento.

La notifica – da trasmettersi, ove possibile, entro 72 ore dall’avvenuta conoscenza – deve evidenziare almeno le seguenti indicazioni: la descrizione dell’evento; il numero approssimativo e le categorie di persone fisiche e dati coinvolti; le informazioni di contatto del Responsabile della protezione dei dati personali o altri contatti presso cui ottenere più informazioni; la descrizione, in termini di probabilità, delle conseguenze dell’incidente e delle misure adottate o di cui si propone ladozione per attenuare gli effetti negativi, oltre agli elementi richiesti nel modello predisposto dall’Autorità Garante[9] a cui si rinvia. La notifica, se trasmessa oltre le 72 ore dall’avvenuta conoscenza, deve essere corredata dai motivi del ritardo. Sempre in ottica di accountability, il titolare è tenuto a compilare un apposito registro delle violazioni nel quale dovranno essere annotate sia le violazioni oggetto di notifica sia quelle per cui la notifica non è stata necessaria, corredata dalle motivazioni, al fine di consentire all’Autorità Garante ogni verifica circa la corretta applicazione dell’art. 33 GDPR da parte del titolare.

In presenza di una violazione dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche il titolare è tenuto, a norma dell’art. 34, a notificare l’ accaduto anche all’interessato, senza ingiustificato ritardo e con linguaggio semplice, unitamente alle seguenti informazioni:

  1. il nome e i dati del responsabile della protezione dei dati o di altro contatto presso cui ottenere più informazioni;
  2. le probabili conseguenze della violazione dei dati personali;
  3. le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Medesimo tenore si riscontra nel Considerando n. 85 del GDPR[10] che, seppur in un’ottica di prevenzione post-violazione, richiama i possibili rischi per gli interessati.

La comunicazione all’interessato deve avvenire in ragione dei livelli di rischio evidenziati nelle linee guida richiamate nella nota n. 15; mentre sempre l’art. 34 individua i casi in cui il titolare è esonerato dall’obbligo di comunicazione e le modalità alternative alla comunicazione diretta al singolo interessato, nonché i poteri dell’Autorità Garante in caso di inerzia del titolare.

Non può dubitarsi che la logica dell’art. 34 GDPR sia quella di una procedimentalizzazione della gestione dell’eventuale rischio connesso al verificarsi del data breach[11], secondo un modello di notification che in passato era stato utilizzato in maniera eterogenea, tanto in tema di misure applicabili alla notifica delle violazioni di dati personali (a norma della Direttiva 2002/58/CE) quanto, in un altro ambito e con diverse finalità, della Direttiva 31/2000 in materia di responsabilità degli internet service provider.

Gli art. 35 e 36 sono norme generali e procedurali per la gestione del rischio il cui intento deve essere ricercato nell’aumentare l’aderenza del trattamento al GDPR e, in tale ottica, l’analisi del rischio[12] e le misure adottate dovranno essere comprovate. Nel dubbio, la valutazione d’impatto deve essere sempre eseguita.

Anche l’istituto della valutazione d’impatto è orientato al principio di accountability, afferendo quest’ultima alla fase della progettazione del trattamento, da doversi eseguire nei casi previsti e con le modalità dall’art. 35 paragrafo 1[13] poiché ciascun trattamento di dati personali implica comunque un rischio ed è onere del titolare mitigarlo con le adeguate misure tecniche e organizzative.

Il successivo par. 3 individua poi, nell’ambito del paragrafo 1, i seguenti casi nei quali la valutazione d’impatto è richiesta:

  1. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato(compresa la profilazione) e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  2. il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

L’Autorità Garante, in forza del successivo paragrafo 4, ha redatto una lista di trattamenti[14] per il quali la valutazione d’impatto è obbligatoria.

Da ultimo, a norma dell’art. 35 par. 11, se necessario il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati, almeno quando insorgano variazioni del rischio rappresentato dalle attività relative al trattamento.

L’art. 36 – rubricato “consultazione preventiva” – regolamenta una fase eventuale e successiva rispetto alla valutazione d’impatto sopra richiamata, la cui finalità è il coinvolgimento dell’Autorità Garante da parte del titolare nell’ipotesi in cui, all’esito dell’analisi del rischio, sia presente un rischio residuale ancora elevato[15].

La consultazione preventiva è procedimentalizzata nei paragrafi 2 e 3 dell’art. 36: nell’ipotesi di trattamenti non in linea con il GDPR, l’Autorità Garante provvederà a fornire al titolare un parere scritto e non un’autorizzazione, in coerenza con il principio di accountability, in quanto le scelte restano sempre di competenza del titolare. A presidio della mancata applicazione degli artt. 35 e 36, sono previste le sanzioni di cui all’art. 83 par. 4 lett. a) del GDPR.

Sempre in ambito di accountability occorre evidenziare la nuova figura introdotta dal GDPR, il Responsabile della Protezione dei Dati (RPD), la cui disciplina e funzioni sono contenute negli art. 37-39. Per quanto di interesse in questa sede, va sottolineato il ruolo centrale che assume[16]: titolare e responsabile assicurano infatti il tempestivo e adeguato coinvolgimento dell’RPD in tutte le questioni riguardanti la protezione dei dati personali, potendo questi intervenire nelle fasi sia preliminari che successive dei trattamenti al fine di consentire la corretta applicazione del regolamento. Ma il RPD, come in precedenza evidenziato, è anche punto di contatto e strumento di cooperazione con l’Autorità Garante.

Da ultimo, si rappresenta come l’accountability si componga di almeno tre elementi:

  1. la “trasparenza”, come garanzia da parte del titolare circa la completa accessibilità alle informazioni per gli interessati;
  2. l’”accountability” vera e propria, ovvero la capacità del titolare di rendere conto di scelte, comportamenti e azioni;
  3. la “compliance”, come capacità di rispettare le norme da parte del titolare.

La mancata osservanza da parte del titolare della disciplina vigente in materia di protezione dei dati personali – quindi non solo il GDPR ma anche la disciplina collegata – o l’impossibilità per quest’ultimo di dimostrare la propria accountability lo pone nella condizione di essere destinatario delle sanzioni amministrative previste dal Regolamento, dal codice privacy e da altre disposizioni vigenti in materia, nonché dalle relative norme penali.

L’irrogazione della sanzione da parte dell’Autorità Garante lascia impregiudicata la possibilità dell’interessato di agire civilmente, nei confronti del titolare, per il risarcimento del danno sofferto.

Note

[1] Art. 29 – Attribuzione di funzioni e compiti a soggetti designati

Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

[2] La protezione dei dati deve «palesarsi come una catena solida non soltanto nelle sue maglie principali “titolare” e responsabile” (…) ma anche in quelle, gli incaricati che seppure non onerate da compiti e responsabilità specifiche nei confronti degli interessati e autorità di controllo, contribuiscono sensibilmente alla tenuta della protezione dei dati personali». Come è stato correttamente osservato da Nocera, Commento all’art. 2-quaterdecies in Sciaudone, Caravà (a cura di), Il Codice della privacy, Pisa, 2019, p. 171.

[3] Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento – Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

[4] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1577499

[5] Art. 30 – Registri delle attività di trattamento

[omissis]

Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

[6] Così pure Cavalcanti, Miele, commento all’art 31 del Regolamento, in D’Agostino, Barlassina, Colarocco (a cura di) Commentario al Regolamento UE 2016/679 e al codice della privacy aggiornato, Milano, 2019, 204.

[7] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9107633

[8] Art. 4 par. 1 n. 12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

[9] https://servizi.gpdp.it/databreach/s/ e https://ec.europa.eu/newsroom/article29/items/612052/en

[10] “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.

[11] Si esprime in tal senso Montalero, La gestione del rischio, in Finocchiaro, La protezione dei dati personali, Torino, 2019, 520-521.

[12]https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9254237

[13] Art. 35 GDPR – Valutazione d’impatto sulla protezione dei dati

  1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
  2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.
  3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
  4. a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  5. b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
  6. c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
  7. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.
  8. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.
  9. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.
  10. La valutazione contiene almeno:
  11. a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  12. b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  13. c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
  14. d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
  15. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.
  16. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
  17. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.
  18. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

[14] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9058979

[15] https://ec.europa.eu/newsroom/article29/items/611236/en e https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9059358

[16] Articolo 39 – Compiti del responsabile della protezione dei dati

  1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
  2. a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  3. b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  4. c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  5. d) cooperare con l’autorità di controllo;
  6. e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
  7. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Articolo a cura di Massimo Ippoliti

Profilo Autore

Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/il-principio-di-accountabilty-nel-nuovo-regolamento-ue-2016-679-seconda-parte/




Protezione dei dati, la Cina multa la Didi Global per 1,2 miliardi di dollari

Si è conclusa giovedì l’indagine che ha visto al centro dell’attenzione la Didi Global Inc che rappresenta una delle più grandi piattaforme tecnologiche per la mobilità al mondo. L’Autorità per la regolamentazione della sicurezza informatica cinese (CAC) ha multato per 1,2 miliardi di dollari l’azienda per aver violato alcune delle principali leggi in ambito data protection.

La società con sede in Cina offre un’ampia gamma di servizi tramite le sue app in tutto il mondo (America Latina, Asia-Pacifico e Africa) arrivando ad affermarsi leader del mercato di ride-hailing. La decisione arriva proprio nel momento in cui l’azienda si affacciava al mercato azionario americano mettendo così in guardia milioni di investitori.

Secondo la Cyberspace Administration of China (CAC) la Didi avrebbe violato pesantemente la privacy dei suoi utenti. Il colosso avrebbe raccolto illegalmente negli ultimi sette anni, quindi a partire dal 2015, milioni di informazioni sui suoi clienti danneggiando così la sicurezza nazionale.

La multa inflitta corrisponde a 8,026 miliardi di yuan, corrispondenti a 1,2 miliardi di dollari, e le violazioni sono costate 1 milione di yuan al fondatore ed amministratore delegato Cheng Wei ed altrettanto al presidente Jean Liu.

La società Didi, sostenuta dall’azienda americana Uber Technologies Inc e dalla giapponese SoftBank Group Corp, tramite una dichiarazione rilasciata dal proprio account Weibo, ha dichiarato di accettare la decisione del CAC e di aver già cominciato la procedura di verifica delle violazioni.

Didi Chuxing, dopo esser entrata nel mercato azionario americano, puntava alla borsa di Hong Kong cercando di quotarsi, secondo i piani iniziali, proprio nei mesi estivi. Tuttavia, ha dovuto sospendere questi progetti a tempo indeterminato a causa della decisione delle autorità cinesi.

Il provvedimento preso dall’autorità cinese si incastra perfettamente all’interno di un quadro normativo in continua evoluzione per quanto riguarda la tutela dei cittadini rispetto alle violazioni di cyber sicurezza. Sembra, così, solo uno dei tanti segnali forti che il governo cinese dà alle sue aziende intimandole di rispettare la privacy dei cittadini.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/protezione-dei-dati-la-cina-multa-la-didi-global-per-12-miliardi-di-dollari/




La CyberSecurity per i droni

Introduzione

La progressiva integrazione dei droni nello spazio aereo civile europeo e l’emergere di numerose applicazioni di questi strumenti (dalle attività ricreative ai servizi, fino ai campi della fotografia, della logistica e della sorveglianza delle infrastrutture) hanno portato alla reale necessità, da un lato, di concentrarsi sulle sfide che il loro utilizzo su larga scala potrebbe comportare per la tutela della privacy, delle libertà civili e politiche di ciascuno e, dall’altro, valutare le misure necessarie per garantire il rispetto dei diritti fondamentali e la protezione dei dati.

Diversi sono, infatti, i rischi per la tutela della privacy che possono derivare dal trattamento di dati (come immagini, suoni e dati di geolocalizzazione relativi a una persona fisica identificata o identificabile) effettuato con i dispositivi a bordo di un drone. Tali rischi possono andare dalla mancanza di trasparenza sui tipi di trattamento, a causa alla difficoltà di vedere i droni da terra, sino alla difficoltà, in ogni caso, di sapere quali siano le apparecchiature a bordo destinate al trattamento di dati, quali siano i fini per cui vengono raccolti i dati personali e da chi. Inoltre, le potenzialità dei droni e la possibilità di interconnetterne più di uno facilita ancor di più la loro capacità di ottenere punti di osservazione unici. Ad esempio, grazie alla possibilità di evitare ostacoli o superare barriere o recinzioni, facilitando la raccolta di un’ampia varietà di informazioni con un alto rischio di raccolta dati in blocco e possibili usi illeciti per molteplici scopi.

Rischi ancora maggiori per i diritti e le libertà delle persone sorgono laddove il trattamento di dati personali mediante droni sia effettuato ai fini di contrasto della criminalità.

Prima di utilizzare un drone è necessario rispettare una serie di obblighi e nello specifico:

  • verificare, ove consentito l’utilizzo di droni, se sia necessaria una specifica autorizzazione da parte delle autorità dell’aviazione civile (AAC);
  • individuare i criteri più idonei di liceità del trattamento;
  • rispettare i principi di limitazione delle finalità, minimizzazione dei dati e proporzionalità (selezionando le tecnologie e le misure più appropriate per evitare la raccolta di dati personali non necessari);
  • soddisfare, nel modo più idoneo alla fattispecie in esame, il principio di trasparenza (informando gli interessati del trattamento effettuato);
  • adottare tutte le opportune misure di sicurezza;
  • garantire l’eliminazione o l’anonimizzazione dei dati personali non strettamente necessari.

È inoltre necessario considerare la possibilità di interconnettere più droni al fine di sorvegliare una vasta area. Sciami di droni con canali di comunicazione in tempo reale che li collegano tra loro e con terze parti comportano rischi ancora maggiori per la protezione dei dati; in quanto potrebbero facilmente consentire una sorveglianza coordinata, ovvero il controllo del movimento di persone o veicoli su vaste aree.

Vi è quindi un alto rischio che il trattamento dei dati personali da parte dei droni diventi segreto e causi significative interferenze nella sfera più privata delle persone. Allo stesso tempo, date le attrezzature messe a bordo potenzialmente sofisticate e la facilità con cui i dati personali raccolti possono essere collegati ad altre informazioni, vi è un maggior rischio di “function creep”; ovvero il rischio di modifica o estensione dell’uso per scopi incompatibili.

Inoltre, il potenziale impatto dell’intrusione nella privacy è aggravato dall’ampia varietà di individui ed entità coinvolti nell’uso dei droni. Anche i produttori di droni, ad esempio, hanno un ruolo da svolgere nella fase di progettazione di tali dispositivi, considerando che le caratteristiche operative possono, in misura minore o maggiore, prestarsi ad applicazioni invadenti per la privacy (ad esempio, nel caso di piccoli o droni di medie dimensioni in grado di volare all’interno di edifici).

Regole di base e regolamenti sui droni

Regolamento europeo

EASA (European Union Aviation Safety Agency)

Il regolamento di base è stato attuato attraverso due regolamenti, di seguito.

Regolamento (UE) 2019/947 e Regolamento (UE) 2019/945

Il Regolamento 2019/947 fornisce regole e procedure incentrate sulle operazioni e basate sul rischio per le operazioni con i droni. Definisce tre categorie di operazioni UAS: Aperte, Specifiche e Certificate sviluppate parallelamente alle categorie JARUS A, B e C.

Categoria aperta (Open Category) – Droni civili

Nella categoria aperta, non esiste un’approvazione operativa ma piuttosto una serie di limitazioni come la Visual Line Of Sight (VLOS), l’altezza massima di 120 metri e la massa massima al decollo inferiore a 25 kg. Il regolamento include “operations over people” (OOP). La categoria aperta è suddivisa in 3 sottocategorie rilevanti per l’OOP indicate di seguito:

  • A1 – consente il sorvolo di persone isolate, con droni con una massa sotto i 250gr nelle classi C0 e 900gr in C1. È richiesta la formazione online. (Sorvolare persone ma non assembramenti di persone);
  • A2 – consente di volare vicino alle persone, per droni con una massa massima di 4kg in classe C2. È richiesta una formazione online più una formazione pratica auto-dichiarata (Volare vicino le persone);
  • A3- consente voli solo lontano dalle persone e dagli aeroporti, per droni con una massa massima di 25kg, classe C3 e C4. È richiesta anche la formazione online. (Volare lontano dalle persone).

Categoria specifica (Specific Category) – Droni civili

La categoria specifica copre tutte le operazioni che non rientrano nelle categorie aperte e certificate. Richiede un’autorizzazione operativa basata sul rischio rilasciata dall’autorità dello Stato membro competente. Gli esempi includono oltre la “Visual Line Of Sight” anche alcune operazioni di delivery dei droni.

Il metodo di compliance accettato utilizzato dagli Stati membri è lo Specific Operation Risk Assesmsment (SORA) sviluppato dalle autorità congiunte per la regolamentazione dei sistemi senza pilota (JARUS). Affronta il rischio terrestre e aereo e combina i due per creare un livello di garanzia e integrità specifico (SAIL) tra I e VI. Un livello di rischio di VII o superiore sposta l’operazione nella categoria certificata superiore. Il SORA definisce anche adeguate misure di mitigazione

Morier, che è stato Presidente della JARUS dal 2017 al 2019, elabora: “Per evitare l’applicazione sistematica di SORA, sono stati definiti scenari standard (operazioni a basso rischio), che consentono di fornire una Dichiarazione di conformità anziché un’autorizzazione formale. Sono state inoltre definite Pre-Determined Risk Assessments (PDRA). Se un’operazione soddisfa questi requisiti, è ancora necessaria un’autorizzazione, ma dovrebbe essere ottenuta più facilmente. Le autorizzazioni nella categoria specifica sono valide in tutti i Paesi dell’UE, ma potrebbe essere necessario verificare le misure di mitigazione legate alla geografia e al tempo”.

BVLOS (Beyond Visual line of Sight) è consentito in categorie specifiche e certificate, a seconda del risk assessment.

Categoria certificata (Certified Category) – Droni civili

Nella categoria certificata, i droni sono certificati, gli operatori ricevono un certificato e il pilota ha una licenza. Questo è molto simile ai voli dell’aviazione con equipaggio. Le operazioni certificate sono state classificate in 3 tipologie:

  • Operazioni di tipo 1– Instrument flight rules (IFR) operazioni per droni che trasportano merci nelle classi di spazio aereo A–C (ICAO airspace classification) e decollano e/o atterrano negli aeroporti che rientrano nel regolamento di base.
  • Operazioni di tipo 2 – droni che decollano e/o atterrano in ambienti congestionati utilizzando rotte predefinite nello spazio aereo U-space. Questi includono le operazioni di aeromobili VTOL (Vertical Take-Off and Landing) senza equipaggio che trasportano passeggeri (ad esempio aerotaxi) o merci (ad esempio servizi di consegna di merci).
  • Operazioni di tipo 3 – come per le operazioni di tipo 2 con velivoli VTOL con pilota a bordo, comprese le operazioni fuori dallo spazio aereo U-Space

Il Regolamento 2019/ 945 stabilisce i requisiti per la progettazione e la fabbricazione di sistemi aeronautici senza equipaggio (UAS) destinati a essere utilizzati secondo le regole e le condizioni definite nel regolamento di esecuzione (UE) 2019/947 e di componenti aggiuntivi per l’identificazione a distanza. Definisce inoltre il tipo di UAS la cui progettazione, produzione e manutenzione sarà oggetto di certificazione. Stabilisce norme sulla messa a disposizione sul mercato di UAS, kit di accessori e componenti aggiuntivi per l’identificazione a distanza e sulla loro libera circolazione nell’Unione.

Il presente regolamento, infine, fissa anche le norme per gli operatori UAS di paesi terzi, quando effettuano un’operazione UAS ai sensi del regolamento di esecuzione (UE) 2019/947 all’interno del single European sky airspace.

Figure 1 – Categoria Open, Specific e Certified

L’immagine mostra chiaramente come vengono identificate le operazioni. Con questo nuovo regolamento, il fatto che si stia pilotando un UAS (Unmanned Aircraft System) per motivi di lavoro o hobby non è più rilevante, conta solo se ciò che stai facendo può essere in qualche modo pericoloso.

JARUS

Le Joint Authority for Rulemaking on Unmanned Systems (JARUS) sono un gruppo di esperti di 60 autorità aeronautiche nazionali mondiali (NAA) e 2 organizzazioni regionali per la sicurezza aerea (EASA ed EUROCONTROL), il cui obiettivo è sviluppare regole armonizzate per gli UAS. Il concetto di regolazione incentrata sulle operazioni con le tre categorie (aperta, specifica e certificata) è stato sviluppato all’interno delle categorie JARUS.

La missione di JARUS è sviluppare requisiti tecnici e operativi per il funzionamento sicuro, protetto ed efficiente degli UAS, per fungere da riferimento comune per l’uso nei rispettivi regolamenti e linee guida dei membri JARUS, facendolo in modo efficace ed efficiente, evita la duplicazione di sforzi con altre organizzazioni aeronautiche internazionali.

JARUS è responsabile dello sviluppo della metodologia per Specific Operations Risk Assessment (SORA). È stato approvato dall’Agenzia europea per la sicurezza aerea (EASA) come mezzo di conformità accettabile (AMC) per soddisfare i requisiti dei regolamenti europei UAS (Basic Regulation, Implementing Act, Delegated Act e Annexes).

EUROCONTROL

Nell’ambito delle proprie attività volte all’integrazione sicura degli UAS, EUROCONTROL ha condotto diversi webinar basati su alcuni temi caldi nel dominio UAS, con la partecipazione delle parti interessate più rilevanti nelle diverse sessioni. L’obiettivo di questi webinar era quello di sviluppare linee guida che non fossero direttamente correlate a un particolare regolamento.

EUROCAE (European Organisation for Civil Aviation Equipment)

EUROCAE è il leader europeo nello sviluppo di standard industriali riconosciuti a livello mondiale per l’aviazione. EUROCAE sviluppa standard per l’industria che:

  • si basano sull’esperienza all’avanguardia dei suoi membri affrontando le slide globali dell’aviazione;
  • sono idonei allo scopo per essere adottati a livello internazionale;
  • supportano i processi operative, di sviluppo e normativi.

Regolamento italiano

Regolamento UAS-IT: integrazione di ENAC al regolamento droni EASA

Il 1° gennaio 2021 è entrato in vigore il Regolamento UAS-IT, che disciplina gli aspetti di competenza dell’Autorità nazionale per le operazioni con droni che non rientrano nelle disposizioni del Regolamento di esecuzione (UE) 2019/497.

Requisiti del pilota

In termini pratici il regolamento UAS-IT, ad una prima lettura, non fa altro che ribadire ciò che è già contenuto nel regolamento europeo in quanto non aggiunge nessun requisito aggiuntivo per il pilota di droni che opera nelle Open Category, per i droni privi di marcatura CE.

Rimangono validi i requisiti relativi ad altezza, distanza da infrastrutture e persone non informate.

Assicurazione

Secondo l’art. 27 dell’UAS-IT non è consentito condurre operazioni con un UAS se un’assicurazione relativa alla responsabilità verso terzi, adeguata allo scopo e con massimali non inferiori ai parametri minimi di cui alla tabella dell’art. 7 del Regolamento (CE) 785/2004.

Registrazione

Secondo quanto previsto dal regolamento di cui all’art. 6, gli operatori UAV sono tenuti a registrarsi sul portale D-Flight, anche ai fini dell’identificazione e imputazione di responsabilità civile e penale, e ad apporre il codice identificativo QR sull’UAV.

Sicurezza

La sicurezza riguarda il contrasto di tutte le azioni dolose intraprese per compiere un attacco deliberato attraverso l’utilizzo di un UAV: un’area in cui ricade il terrorismo, ad esempio. Ma anche spionaggio, aggressione, utilizzo dell’UAV per testare le difese di una struttura per poi compiere atti illeciti come intrusioni, furti, danneggiamenti. È chiaro che le leggi possono fare poco contro le operazioni illecite e criminali, ma il Regolamento ENAC ha alcune disposizioni per complicare l’uso degli UAV per scopi illegali. Il principale è l’articolo 33, che tratta esplicitamente di Sicurezza.

Sicurezza del radio link

Contrastare le minacce alla sicurezza comporta anche obblighi e doveri nei confronti del Pilota e dell’Operatore. A partire dall’obbligo di protezione del radio link, cioè del collegamento tra il drone e la radio, previsto dall’art. 33 comma 1:

L’operatore deve adottare misure adeguate per proteggere gli UAS per prevenire atti illeciti durante le operazioni anche al fine di prevenire l’interferenza volontaria del radio link“.

Le minacce a cui fa riferimento questo paragrafo sono essenzialmente due: da una parte il cosiddetto “drone Hijack”, il dirottamento del drone, ovvero la possibilità che un malintenzionato si impossessi del nostro UAS per compiere azioni illegali.

Dall’altra parte, invece, l’accesso abusivo ai dati trasmessi a terra dai SAPR: immaginiamo il caso di svolgere un’operazione specializzata per conto di un’azienda che ha segreti industriali da proteggere. Ovviamente avremo firmato stringenti accordi di riservatezza, ma un malintenzionato potrebbe essere in grado di ricevere il video link di ritorno del nostro UAV e quindi rubare informazioni riservate. Per ottemperare alle prescrizioni del comma, l’operatore e il pilota devono proteggere in ogni modo il radio link di controllo e ritorno, installando eventuali patch e aggiornamenti di sicurezza, utilizzando connessioni crittografate ove possibile e proteggendo la chiave per decrittografarle.

Proteggere l’area delle operazioni

Se il primo comma dell’articolo 33 riguarda la protezione del collegamento radio, ovvero dei collegamenti radio, dati e di controllo, tra l’UAV e la stazione di terra, il secondo comma riguarda le intrusioni meno sofisticate e tecnologiche ma non per questo meno pericolose:

“L’operatore deve stabilire procedure per impedire l’accesso di personale non autorizzato all’area operativa, alla stazione di controllo e per lo stivaggio del sistema.”

Il significato è chiaro: non c’è bisogno di hackerare una connessione radio se si può facilmente ottenere la stessa cosa rubando l’hard disk dove abbiamo registrato i dati della missione. E se i malintenzionati possono entrare, possono anche rubare l’UAV e la radio e fare quello che vogliono. Il secondo comma ci invita essenzialmente, anzi ci obbliga, a monitorare e proteggere le nostre apparecchiature, poiché ci sono casi in cui una possibile intrusione non danneggia solo noi, ma potenzialmente l’intera comunità.

Conclusioni

Pur riconoscendo i benefici a livello sociale ed economico dell’uso civile dei droni e il loro potenziale in termini di crescita, è necessario porre l’attenzione sulle minacce e sui rischi per la protezione dei dati e la propria privacy derivanti da un impiego su larga scala della tecnologia dei droni e valutare le misure necessarie per garantire il rispetto di tutti i diritti fondamentali coinvolti.

Concludendo, la continua evoluzione tecnologica ha portato ad una progressiva trasformazione normativa ed è quindi importante informarsi su tutte le novità introdotte nei regolamenti italiani ed europei consentendoci di utilizzare il drone per essere in regola e quindi per agire in sicurezza.

Articolo a cura di Domenico Raguseo, Rosita Galiandro, Giuseppe Marullo e Antonio De Chirico

Rosita Galiandro

Rosita Galiandro ha conseguito la laurea Magistrale in Sicurezza Informatica presso l’Università di Bari.

Attualmente ricopre il ruolo di Responsabile Osservatorio CyberSecurity presso Exprivia.

Contribuisce alle attività di prevendita, ha partecipato a progetti di risk assessment e GDPR compliance e collabora in piani di insegnamento con diverse università nell’ambito CyberSecurity e nel progetto CyberChallenge.IT. Fa parte della community Women For Security.

https://www.ictsecuritymagazine.com/articoli/la-cybersecurity-per-i-droni/