Il nuovo Regolamento GDPR Protezione Dati UE 679/2018 e la responsabilità delle aziende

La soluzione LUTECH a  tutela le aziende che trattano Dati Personali.
Certificazione su blockchain dei consensi privacy dematerializzati

Negli ultimi anni il progresso tecnologico ha inesorabilmente e gradualmente eroso la nostra privacy: una gran parte di ciò che fanno sia gli individui che le aziende oggi è di pubblico dominio.

Le aziende fanno business con la raccolta, il monitoraggio, l’archiviazione e la rivendita di dati personali ed aziendali elaborando in modo sistematico e su larga scala schemi comportamentali, preferenze e abitudini di consumo.

I modelli di business emergenti implicano che sia la gestione di questi dati che la raccolta dei Consensi Privacy venga svolta in modalità digitale e quindi totalmente dematerializzata.

 

IL “CONSENSO PRIVACY” – UN’ARMA A DOPPIO TAGLIO PER CHI TRATTA DATI

L’utilizzo dei nostri dati personali è subordinato in via esclusiva e non delegabile al meccanismo del Consenso al Trattamento dei Dati, detto brevemente “Consenso Privacy”.

I requisiti funzionali per la validità legale di un “Consenso Privacy” sono spiegati dalle linee guida del Gruppo di Lavoro dell’Articolo 29 GDPR nel documento emesso il 16 aprile 2018 “Guidelines on Consent under Regulation 2016/679”, e valgono per la raccolta e conservazione dei Consensi sia in forma cartacea che in forma interamente digitale.

 

IL RISCHIO AZIENDALE DA “CONSENSO DEMATERIALIZZATO”

I quotidiani sono pieni di casi in cui l’azienda Titolare del Trattamento è stata citata dall’Interessato per presunto o effettivo trattamento illecito di dati (senza consenso dell’Interessato).

Riportiamo qui solo uno delle varie dozzine di casi, documentati dal sito del Garante:

Ordinanza ingiunzione nei confronti di Telecom ltalia S.p.A. – documento  7665804 del 18 gennaio 2018 … “numerose segnalazioni pervenute all’Autorità, con le quali sono stati lamentati contatti telefonici indesiderati a scopo promozionale da parte di Tim S.p.A. nei confronti di soggetti che non avevano prestato il consenso al trattamento dei dati per tale finalità”.

 

RESPONSABILITA’ E ONERE DELLA PROVA

La cattiva notizia è che la Giurisprudenza Italiana equipara la Responsabilità di chi effettua il Trattamento dei Dati Personali a quella di chi “esercita attività pericolose” (cfr nota 1), tale responsabilità è chiaramente inquadrata dall’Art. 2050 del Codice Civile: Responsabilità per l’esercizio di attività pericolose: “…chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”.

Va da se’ che à Responsabilità à Risarcimento danni, pertanto è evidente che ogni azienda che tratta dati deve mettersi nelle condizioni di potersi difendere da qualsiasi contestazione mossa dall’Interessato riguardo al presunto utilizzo illecito o irregolare dei suoi dati, dimostrando in modo inequivocabile e non opponibile di disporre dell’autorizzazione dell’Interessato stesso (Consenso Privacy) per i trattamenti dei dati che l’azienda stessa svolge.

 

CONSENSI DEMATERIALIZZATI E NUOVO REGOLAMENTO UE 679/2018 GDPR

Nel caso – sempre più frequente – in cui i “Consensi Privacy” siano raccolti conservati unicamente in formato digitale, la validità ed il valore della prova presentata in giudizio dall’azienda Titolare sono subordinati al rispetto di requisiti tecnici che ne imporrebbero la conservazione mediante “misure adeguate” (Regolamento UE 679/2018 – articolo 32 paragrafo 1): nello specifico il Titolare deve poter dimostrare di aver applicato “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato”.

Il rischio in questo caso non è strettamente connesso alla perdita o alla violazione dei dati, bensì relativo alla possibilità da parte del Titolare di dimostrare la liceità dei trattamenti svolti, il che significa disporre degli effettivi Consensi da parte degli interessati.

Questo è ancor più vero a causa dell’evidente conflitto di interessi per l’azienda che tratta dati, la quale gioca un doppio ruolo: essa è Titolare del Trattamento e quindi beneficiaria del Consenso Privacy raccolto in formato digitale ma – allo stesso tempo – ne è la conservatrice in formato digitale, il che presuppone che ne possa avere il pieno ed illimitato controllo – a meno che non abbia posto in essere misure adeguate di autolimitazione, che ne garantiscano la marcatura temporale e la non modificabilità).

 

L’APPROCCIO LUTECH PER LA CONSERVAZIONE DEI CONSENSI

LUTECH ha studiato una soluzione tutelare l’azienda dai rischi legati alla non adeguata conservazione dei “Consensi Privacy” digitali.

La soluzione LUTECH consiste nell’utilizzare una blockchain come “distributed ledger” per assicurare “data certa” e “contenuto certo” al set dei “Consensi Privacy” prestati/negati da un Interessato ad un Titolare per il trattamento dei dati personali, esclusivamente per specifiche finalità e secondo precise modalità.

Nei numeri precedenti abbiamo già parlato su queste pagine delle proprietà e dei vantaggi offerti dalla blockchain, ed è fuor di dubbio che la “non modificabilità” e la “marcatura temporale” – intrinseche ed associate ad ogni transazione blockchain – possano essere considerati “misure adeguate” ai sensi della GDPR Articolo 32 Paragrafo 1.

La soluzione LUTECH, denominata PCS (Privacy-Consent-Server) è una piattaforma tecnologica basata su blockchain che consente a qualsiasi azienda che tratta dati di certificare la “data certa” e il “contenuto” dei Consensi Privacy raccolti sulle proprie piattaforme digitali dai propri Clienti/Prospects.

Sulla blockchain (permissionless) gestita dalla piattaforma viene aggiunta una nuova transazione che include la chiave crittografica (HASH) costruita in modo strutturato in base a: codice NDG Interessato (il Cliente), identificativo Titolare del Trattamento Dati (l’azienda che raccoglie i consensi), valore della stringa dei consensi effettivamente prestati/negati, data/ora in cui il consenso è stato prestato.

Una volta memorizzato sulla blockchain, la chiave crittografica diviene immutabile e rimane intrinsecamente rappresentativa in modo definitivo ed immutabile ai dati che l’hanno originata: soggetti, consensi, marca temporale, costituendo quindi una misura adeguata in caso di contestazioni legali da parte di qualsiasi soggetto coinvolto nel trattamento dei dati personali.

Gli attori ed il processo di interazione con il servizio LUTECH PCS sono illustrati nello schema in figura.

La soluzione Privacy-Consent-Server di LUTECH è basata su Blockchain a tutela le aziende che trattano dati dai rischi di illecito trattamento garantendo trasparenza, immutabilità e data certa al set dei “Consensi Privacy” prestati/negati dai Clienti.

Privacy-Consent-Server di LUTECH è la prova che le stesse tecnologie che oggi rappresentano la minaccia primaria alla nostra privacy sono anche in grado di aiutarci a far evolvere l’approccio di gestione e tutela dei nostri Dati Personali.

di Stefano Galleni