La fiducia dei consumatori si conquista con i trust services

Dal prossimo 25 maggio, il General Data Protection Regulation (GDPR) sarà pienamente applicabile nei 28 Stati dell’Unione Europea. Il GDPR non è un provvedimento “isolato” e si inserisce nell’alveo delle disposizioni europee che stanno influenzando lo scenario normativo nazionale con un obiettivo principale: aumentare il trust delle transazioni elettroniche al fine di rafforzare la fiducia dei consumatori nel mercato digitale.

Prendiamo ad esempio la definizione di data breach dettata dall’art. 4 del Regolamento, in cui il legislatore specifica che con “violazione dei dati personali” s’intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”: in questo modo, il GDPR ha amplificato notevolmente il significato in uso di violazione del dato, usualmente associato al solo furto. Sulla scorta di questa definizione, il WP29 ha individuato tre tipi di violazione: di confidenzialità, in caso di divulgazione o di accesso a dati personali non autorizzato o accidentale; di integrità, quando si verifica un’alterazione di dati personali non autorizzata o accidentale; e infine di disponibilità/accesso, quando i dati vengono persi, distrutti o sono inaccessibili.fig trust services
Il compito di accertare il data breach è del Titolare, o se presente anche del Responsabile, che ha l’obbligo di avvisare tempestivamente il Titolare stesso. Questi, qualora si verifichino particolari situazioni che ledono i diritti e la libertà degli individui, è tenuto a notificare l’incidente – con i relativi dettagli – alle Autorità garanti e ai cosiddetti Interessati (utenti del cui dato si tratta). Il tutto entro 72 ore o comunque senza “ingiustificato ritardo” dall’accertamento del breach.
Per alzare l’attenzione sui sempre più numerosi casi di violazione della privacy, il GDPR non solo impone significative sanzioni, anche relative al fatturato dell’Azienda (art. 83), ma prevede una nuova figura professionale, il Data Protection Officer (DPO), un supervisore indipendente la cui presenza sarà obbligatoria in particolare nelle Pubbliche Amministrazioni e nelle realtà private di grandi dimensioni o che trattano dati che presentano rischi particolari. La funzione di mediazione e vigilanza affidata a questa figura permetterà di garantire un certo ordine di intervento delle Autorità stesse.
Da un punto di vista sistematico, nonostante il Regolamento non richieda provvedimenti attuativi dei singoli Stati Membri, i legislatori locali potranno prevedere norme apposite in contesti specifici, ad esempio nei casi di trattamento per categorie particolari di dati personali – come quelli biometrici o sanitari – ovvero nei casi di profilazione decisionale. Anche dal Garante nazionale potranno arrivare input di indirizzo normativo, che si aggiungono alla sua funzione di vigilanza, ispettiva e sanzionatoria.
Più in generale, il GDPR impone che tutto ciò che riguarda il trattamento del dato sia pensato e realizzato con criteri improntati alla sicurezza e al rispetto dei diritti dell’Interessato: così nel GDPR sono i trust services gli “abilitatori della fiducia” che facilitano la compliance normativa nei diversi settori.
Pensiamo, ad esempio, a uno dei principi fondamentali del Regolamento, quello del trattamento basato sul consenso esplicito: questo viene richiesto in particolare in tutti quei contesti – come quello sanitario – dove un errato trattamento del dato potrebbe ledere i diritti fondamentali dei cittadini, e rende necessario l’uso di strumenti che garantiscano paternità e integrità dei documenti sottoscritti. Nel contesto digitale questi obiettivi possono essere raggiunti con strumenti di e-identification, come SPID, ovvero con soluzioni trust quali firma avanzata, qualificata o digitale. A ciò si aggiunge l’opportunità di disporre di strumenti di notifica opponibili a terzi, come la PEC (Posta Elettronica Certificata), per l’e-delivery delle comunicazioni tra Titolare, Responsabile, Autorità e Interessato. Da ultimo, attraverso strumenti di access e log monitoring è possibile garantire la ricostruzione e l’audit sul trattamento dei dati, avendo la certezza di una gestione corretta, nei modi e dai soggetti autorizzati.
Gli obblighi di risultato imposti dal GDPR rendono, inoltre, opportuna l’adozione di altri due servizi elettronici abilitanti per la corretta digitalizzazione dei processi: la marcatura temporale e la conservazione a norma. Questo tipo di strumenti permettono di preservare negli anni e di avere contezza temporale della raccolta del consenso, quando necessario, e del trattamento eseguito sui dati personali, mettendo così il Titolare in grado di rispondere a un eventuale audit.
L’adozione di servizi fiduciari rappresenta, quindi, la chiave di volta per affrontare con successo la sfida del GDPR, in un naturale processo di trasformazione digitale delle aziende. Un percorso che può rivelarsi ricco di opportunità per chi saprà scegliere il digital trust non solo per rispondere agli obblighi di adeguamento normativo per evitare le pesanti sanzioni, ma anche per incrementare la propria competitività con le soluzioni più innovative e affidabili.

Tags: organizzazione e processi

Site Meter