Efficacia delle misure
Home » GDPR » Concetti principali » Protezione dei dati per progettazione e per impostazione predefinita » Analisi dell’articolo 25. Protezione dei dati per progettazione » Efficacia delle misure

Di seguito si analizza il requisito dell’art. 25(1) GDPR che le misure devono essere attuate “in modo efficace“. Lo fa nel contesto dell’altra formulazione dell’art. 25(1) GDPR.

A differenza dell’analisi precedente, la presente non sarà usata per identificare le aree per le quali si devono trovare misure. Piuttosto, sarà usata come un aspetto importante che deve essere considerato per ciascuna delle misure proposte.

L’art. 25(1) GDPR incarica i titolari del trattamento di attuare misure appropriate “che sono destinate ad attuare i principi di protezione dei dati” al fine di “integrare le garanzie necessarie nel trattamento“. In questo contesto, il requisito dell’efficacia esprime che non è un obiettivo in sé l’attuazione di misure. Piuttosto, le misure hanno valore solo in base alla loro efficacia per attuare i principi di protezione dei dati e per integrare le garanzie. Di conseguenza, implementare semplicemente le misure senza considerare la loro efficacia sarebbe un esercizio inutile.

I contesti relativi a cui l’efficacia deve essere analizzata sono forniti nell’Art. 25(1) GDPR sotto forma di aspetti che i titolari del trattamento devono prendere in considerazione. Vale a dire, questi aspetti sono i seguenti [elencati in un ordine diverso da quello utilizzato nel testo del GDPR]:

  • i rischi di diversa probabilità e gravità per i diritti e le libertà delle persone fisiche posti dal trattamento
  • il costo dell’implementazione
  • il livello di sviluppo
  • la natura, la portata, il contesto e le finalità del trattamento

Quando si considera l’efficacia nel contesto dei rischi per le persone fisiche colpite, è evidente che la misura deve essere efficace per mitigare i rischi. Implica anche una certa proporzionalità rispetto alla grandezza dei rischi. Quando si considera un insieme di misure attuate, la loro efficacia è sufficiente se è adatta a mitigare il rischio a un livello accettabile.

Quando si considera l’efficacia nel contesto dei costi, il GDPR sembra riconoscere che le risorse disponibili per attuare le misure sono limitate e dovrebbero essere utilizzate in modo efficace. Questo permette ai titolari del trattamento di usare misure meno costose ed efficaci in termini di costi al posto di quelle costose con un effetto simile. In altre parole, il criterio è l’efficacia, non l’accessibilità o il costo per i titolari del trattamento in quanto tali. Mentre la considerazione del costo lascia la possibilità che un costo possa essere considerato eccessivo, un costo elevato non può essere usato come giustificazione per trascurare l’efficacia richiesta in contesti diversi. Se i costi richiesti per assicurare un adeguato livello di garanzie sono troppo alti per un titolare del trattamento, quest’ultimo dovrebbe astenersi dalle attività di trattamento.

Quando si considera l’efficacia nel contesto del livello di sviluppo, le conseguenze sono duplici. Da un lato, impedisce ai titolari del trattamento di ignorare le nuove misure e di astenersi dall’aggiornare il livello di protezione a quello offerto del livello di sviluppo. D’altra parte, un titolare del trattamento non può essere obbligato a implementare misure che sono state delineate in qualche documento di ricerca senza essere state testate o rese utilizzabili in un ambiente operativo. In situazioni in cui i titolari del trattamento fanno affidamento sul mercato per fornire certi tipi di software, i titolari del trattamento possono essere giustificati a limitare le misure implementate a quelle effettivamente disponibili sul mercato, se queste sono sufficienti a fornire protezioni efficaci. Come nel contesto dei costi, questo non può tuttavia rinunciare ai requisiti di efficacia in altri contesti.

Nel contesto delle misure di sicurezza, il livello di sviluppo ha un significato particolare. La sicurezza informatica può essere vista come una corsa agli armamenti tra attaccanti e difensori. Nel panorama delle minacce in continua evoluzione, ogni volta che i difensori pensano a mezzi più efficaci per contrastare gli attacchi, gli attaccanti trovano mezzi di attacco più sofisticati. Questo rende evidente che il concetto di “difesa efficace” è in costante movimento. In questo contesto, le informazioni attuali sulle minacce e sulle difese disponibili sono importanti quando si valuta l’efficacia delle misure implementate. Inoltre, una mancata implementazione di nuove misure, per esempio sotto forma di aggiornamenti o patch critiche per la sicurezza, non può essere giustificata dai titolari del trattamento (tranne nel raro caso in cui le nuove misure siano irrilevanti per le attività di trattamento e i rischi correlati).

Si noti che l’EDPB sottolinea nelle sue Linee guida sul DPbDD che il livello di sviluppo non è definito solo da misure tecniche, ma include anche misure organizzative come quadri, standard, certificazione e codici di condotta[1].

Quando si considera l’efficacia relativa alla natura, all’ambito, al contesto e agli scopi dell’elaborazione, si riconosce che le misure devono essere abbinate all’elaborazione in questione. Una misura che è efficace per un sistema informativo tradizionale che supporta gli esseri umani che prendono decisioni può non essere efficace se applicata a un’applicazione di apprendimento automatico che prende decisioni automatiche; una misura che funziona bene per l’elaborazione a basso volume in un piccolo ambiente può non scalare fino all’elaborazione ad alto volume; e una misura che funziona efficacemente quando si utilizzano responsabili del trattamento affidabili (che sono essi stessi soggetti al GDPR) può non essere efficace e sufficiente quando si utilizzano responsabili del trattamento meno affidabili (come quelli situati in 3rd paesi e non vincolati dal GDPR).

L’art. 5(2) richiede che i titolari del trattamento siano in grado di dimostrare la conformità con il GDPR. Un aspetto importante di questo è quello di essere in grado di dimostrare che le misure attuate sono effettivamente efficaci. Dovrebbe essere parte integrante del processo di prendere decisioni su quali misure attuare. Le dimensioni dell’efficacia sono date nell’art. 25(1) e sono state discusse sopra.

 

 

  1. Vedi il paragrafo 22 delle Linee guida EDPB sul DPbDD.

 

Skip to content