Nelle sue Linee guida sui concetti di titolare del trattamento e responsabile del trattamento nel GDPR[1], il Comitato europeo per la protezione dei dati fornisce un’analisi giuridica di ciò che significa determinare i mezzi di trattamento. La discussione qui è più orientata tecnicamente. Il Comitato distingue tra mezzi “essenziali” e “non essenziali”; questi ultimi possono essere determinati anche dai responsabili del trattamento. Il presente testo non fa tale distinzione e si limita a fornire un’interpretazione tecnica delle decisioni che la determinazione dei mezzi comporta.
La determinazione dei mezzi è una fase che precede l’uso operativo di un sistema di elaborazione e prepara e allestisce tutto ciò che è necessario per le operazioni di elaborazione vere e proprie. Ciò significa che, guidato dagli scopi, un titolare del trattamento deve pianificare, progettare e implementare tutto ciò che è necessario per consentire l’elaborazione stessa. Questo include almeno i seguenti compiti:
- Determinare le risorse umane e tecniche necessarie per l’elaborazione;
- Determinare le istruzioni che definiscono l’elaborazione autorizzata e che sono adatte alle risorse;
Ciò che questo comporta in modo più dettagliato è descritto qui di seguito.
La determinazione delle risorse umane comporta almeno quanto segue:
- Pianificazione che determina quali risorse umane sono necessarie, selezionando le risorse umane adatte e portandole sotto l’autorità del titolare del trattamento o responsabile del trattamento. Questo è generalmente fatto attraverso l’assunzione che stabilisce una relazione contrattuale tra il dipendente e il titolare del trattamento.
- Mettere le risorse umane in una condizione in cui possano tradurre le istruzioni in un modo che costituisca un trattamento autorizzato. Questo può comportare:
- la sottoscrizione di un accordo di astensione dalla divulgazione dei dati personali
- l’impegno della risorsa umana a certe politiche generali o codici di condotta
- formazione della risorsa umana per acquisire le conoscenze e le competenze necessarie per eseguire le istruzioni nel modo desiderato
La determinazione delle risorse tecniche comporta almeno quanto segue:
- Pianificazione, selezione e acquisizione delle risorse tecniche necessarie.
- Portare le risorse tecniche in una condizione tale che possano eseguire le operazioni di elaborazione necessarie. Questo può comportare cose come
- installazione fisica
- configurazione
- integrazione nell’infrastruttura usata
- installando il software necessario
Determinazione delle istruzioni per le risorse in generale: Dopo aver discusso la determinazione delle risorse, di seguito si analizza la determinazione delle istruzioni. Guardando Figura 5è chiaro che esistono i seguenti tipi di istruzioni:
- Istruzioni che determinano il comportamento di una singola risorsa
- istruzioni che determinano l’interazione tra più risorse
- istruzioni che determinano l’interazione tra le risorse e gli interessati
- istruzioni che determinano la divulgazione dei dati personali a terzi destinatari
Questi diversi tipi di istruzioni sono discussi più in dettaglio nel seguito, mentre si distingue tra risorse umane e tecniche.
La determinazione delle istruzioni per le risorse umane viene discussa di seguito:
- Le istruzioni per le risorse umane individuali possono essere espresse in due stili diversi:
- Definire gli output richiesti, i prodotti e gli effetti che l’attività della risorsa umana deve produrre. Questo costituisce istruzioni dichiarative che si concentrano sull’aspetto “cosa“e si affidano alla capacità della risorsa per riempire l’aspetto “come“delle istruzioni.
- Descrizioni dettagliate del modo in cui un’attività deve essere eseguita. Si tratta di istruzioni imperative che si concentrano sul come, richiedono meno intelligenza e autonomia da parte della risorsa che esegue e spesso definiscono l’aspetto del “cosa”in modo più implicito.
- Istruzioni su come le risorse umane interagiscono tra loro: Questo include la progettazione e la specificazione di processi di business, flussi di lavoro e flussi di dati. Ci sono vari linguaggi[2] formali e notazioni[3] grafiche per supportare tali attività.
- Istruzioni su come le risorse umane interagiscono con le risorse tecniche: Le risorse tecniche non sono autonome. Piuttosto, sono controllate da esseri umani (cioè, risorse umane). Anche la risorsa tecnica più autonoma ha bisogno di essere accesa. Di solito, le risorse umane esercitano un ulteriore controllo sulla risorsa tecnica attraverso interfacce utente e tramite l’interazione uomo-macchina (HMI). Un modo comune per modellare tali interazioni sono i diagrammi dei casi d’uso. Questi sono spesso usati anche per la specifica dei requisiti funzionali del software. Le istruzioni su come gli esseri umani interagiscono con le risorse tecniche definiscono anche quali risorse umane sono autorizzate ad accedere a quali risorse tecniche per quali scopi. Questi tipi di istruzioni determinano quindi anche la responsabilità che le risorse umane hanno per il funzionamento di certe risorse tecniche.
- Le istruzioni su come le risorse umane interagiscono con gli interessati determinano quali interazioni gli interessati possono avere con il titolare del trattamento. Ciò include il trattamento manuale delle invocazioni dei diritti degli interessati (cfr. Capitolo 3 GDPR) e le interazioni previste con il responsabile della protezione dei dati (DPO) (cfr. Art. 38(4) GDPR).
- Le istruzioni su come le risorse umane interagiscono con i terzi destinatari determinano quali dati personali sono comunicati manualmente ai terzi destinatari.
La determinazione delle istruzioni per le risorse tecniche comporta quanto segue:
- Le istruzioni per le risorse tecniche individuali comprendono potenzialmente i seguenti aspetti:
- Acquisto[4] di software che di solito costituisce istruzioni macchina che sono espresse in qualche linguaggio di programmazione formale (imperativo o dichiarativo). Il comportamento del software può dipendere da parametri che possono essere determinati in un momento successivo; tali parametri sono generalmente chiamati configurazione. La decisione se la configurazione è possibile e quali parametri comporta è incorporata nel software. Ci sono due tipi di configurazione,
- quello determinato dal titolare del trattamento
- quello controllato dall’interessato (per esempio preferenze e impostazioni supportate da un’interfaccia utente appropriata)
- Configurazione del software da parte del titolare del trattamento.
- Specificazione dei valori predefiniti per le configurazioni eseguite dall’interessato. Questo è ovviamente l’oggetto della protezione dei dati per difetto che è regolata nell’art. 25(2) GDPR (vedi sezione 0 sotto).
- Acquisto[4] di software che di solito costituisce istruzioni macchina che sono espresse in qualche linguaggio di programmazione formale (imperativo o dichiarativo). Il comportamento del software può dipendere da parametri che possono essere determinati in un momento successivo; tali parametri sono generalmente chiamati configurazione. La decisione se la configurazione è possibile e quali parametri comporta è incorporata nel software. Ci sono due tipi di configurazione,
- Istruzioni su come le risorse tecniche interagiscono tra loro: Le risorse tecniche possono interagire tra loro quando hanno interfacce che sono collegate da canali di comunicazione. Le comunicazioni che possono avvenire sono generalmente determinate da protocolli. Le comunicazioni possono essere rappresentate, per esempio, da diagrammi di interazione come i diagrammi di sequenza UML e i diagrammi di comunicazione UML. Tali comunicazioni comportano generalmente lo scambio di dati (personali). Questi possono essere rappresentati graficamente in diagrammi di flusso di dati. Questo tipo di istruzioni determina anche quali risorse tecniche sono autorizzate a interagire con quali altre per quali scopi. Gli aspetti determinati da questo tipo di istruzioni sono spesso legati al concetto di architettura tecnica (componente).
- Le istruzioni su come le risorse tecniche interagiscono con gli interessati sono generalmente utilizzate per la configurazione da parte degli interessati (cfr. art. 25(2) GDPR e la sua discussione più avanti) e per il supporto automatizzato dei diritti degli interessati (cfr. capitolo 3 GDPR). Entrambi richiedono interfacce utente appropriate. Anche in questo caso, i diagrammi dei casi d’uso possono essere utilizzati per rappresentarli. Ancora una volta, l’autenticazione e il controllo dell’accesso sono necessari per la risorsa tecnica per determinare se l’utente è effettivamente l’interessato legittimo.
- Le istruzioni sul trasferimento automatico di dati a terzi destinatari determinano quali dati (personali) vengono divulgati, a quali condizioni e come. Questo generalmente richiede interfacce per esseri umani o macchine e canali di comunicazione appropriati. I dati possono essere spinti ai destinatari o rivelati su richiesta. L’autenticazione (di persone o macchine) e il controllo dell’accesso sono generalmente rilevanti anche qui.
Identificare le misure tecniche e organizzative appropriate: Come è stato discusso nella sezione 0 sopra, l’art. 25(1) obbliga i titolari del trattamento a mettere in atto misure tecniche e organizzative adeguate, volte ad attuare i principi di protezione dei dati anche al momento della determinazione dei mezzi. È stato argomentato sopra, che la determinazione dei mezzi consiste nel determinare le risorse e le istruzioni. Inoltre, insieme, risorse e istruzioni costituiscono un sistema di trattamento in grado di eseguire le istruzioni autorizzate sui dati personali reali.
È chiaro che le misure richieste devono essere integrate con questo sistema di trattamento. Vale a dire, devono essere integrate nelle sue istruzioni e applicate alle sue risorse. In altre parole, tali misure non possono essere determinate indipendentemente. Piuttosto, devono essere determinate insieme alla determinazione delle istruzioni e delle risorse. In ogni fase della determinazione di una parte o di un aspetto del sistema di trattamento, i principi della protezione dei dati devono essere presi in considerazione per identificare e integrare misure adeguate.
Per questo motivo, gli aspetti di un sistema di elaborazione che sono stati distinti nella discussione precedente identificano direttamente le aree in cui devono essere trovate e implementate misure appropriate. Questa sezione è quindi strumentale nel fornire una struttura per la discussione dettagliata delle misure nella sezione seguente2.3.3.1. Serve anche a raggiungere una certa completezza considerando sistematicamente tutti gli aspetti e ogni principio.
- Comitato europeo per la protezione dei dati, Linee guida 07/2020 sui concetti di titolare e responsabile del trattamento nel GDPR, versione 2.0, adottate il 07 luglio 2021, https://edpb.europa.eu/system/files/2021-07/eppb_guidelines_202007_controllerprocessor_final_en.pdf (ultima visita 2/12/2021). ↑
- Questi linguaggi formali includono per esempio l’XML Process Definition Language (XPDL) e il Business Process Execution Language (BPEL). ↑
- Queste visualizzazioni grafiche includono per esempio il Business Process Model and Notation (BPMN), Activity Diagrams, diagrammi di flusso e Petri Nets. ↑
- L’approvvigionamento è qui usato come un termine collettivo che comprende sia lo sviluppo personalizzato che l’acquisizione di software dal mercato. In entrambi i casi, i titolari sono responsabili di un’adeguata analisi dei requisiti e delle specifiche. ↑