Principi Fondamentali del RGPD

Liceità, correttezza e trasparenza

La liceità, la correttezza e la trasparenza formano insieme il primo e più fondamentale quadro di valutazione del trattamento dei dati personali. La liceità richiede che ogni operazione di trattamento poggi su una base giuridica valida, quale il consenso, l’esecuzione di un contratto, l’adempimento di un obbligo legale, la salvaguardia di interessi vitali, l’esecuzione di un compito di interesse pubblico oppure un legittimo interesse oggetto di un accurato bilanciamento. Tale base giuridica non può essere costruita a posteriori per giustificare una prassi già esistente, ma deve essere determinata preventivamente, documentata e collegata a una finalità concreta. In un contesto digitale in cui le organizzazioni utilizzano spesso molteplici fonti di dati, piattaforme, applicazioni, fornitori e strumenti di analisi, non è sufficiente richiamarsi in termini generali all’interesse commerciale, all’efficienza o alla relazione con il cliente. La domanda deve sempre riguardare quali dati siano trattati, per quale finalità, su quale base giuridica, entro quali limiti e con quali conseguenze per l’interessato.

La correttezza aggiunge alla liceità una dimensione normativa autonoma. Un trattamento può poggiare formalmente su una base giuridica e tuttavia restare problematico quando le modalità del trattamento risultano fuorvianti, squilibrate, inattese, sproporzionate o insufficientemente diligenti. La correttezza richiede pertanto attenzione al contesto, al rapporto di forza, alle ragionevoli aspettative, alla posizione informativa dell’interessato e ai possibili effetti pregiudizievoli. Questa esigenza assume particolare rilievo quando i dati personali sono utilizzati per la profilazione, la selezione del rischio, la rilevazione delle frodi, la segmentazione di marketing, la gestione degli accessi o il processo decisionale automatizzato. In tali situazioni, un trattamento apparentemente neutro può condurre all’esclusione, a una valutazione erronea del rischio, a un danno reputazionale o alla perdita di controllo sulle informazioni personali. Nel quadro della Gestione integrata dei rischi di criminalità digitale, la correttezza è quindi strettamente connessa alla vigilanza sull’integrità: non si tratta soltanto di stabilire se un trattamento possa avere luogo, ma anche di verificare se tale trattamento si inserisca in una strategia di rischio digitale diligente, proporzionata e spiegabile.

La trasparenza rende verificabile questa valutazione normativa. Gli interessati devono poter comprendere quali dati personali siano trattati, perché il trattamento abbia luogo, per quanto tempo i dati siano conservati, con chi siano condivisi, quali diritti esistano e come tali diritti possano essere esercitati. La trasparenza richiede informazioni chiare, accessibili e fattualmente esatte, non semplici formule giuridiche standardizzate che occultano la realtà del trattamento. Informative privacy, comunicazioni interne, informazioni sui cookie, clausole contrattuali e documentazione di processo devono corrispondere ai flussi di dati effettivi all’interno dell’organizzazione. Quando un’organizzazione promette all’esterno semplicità e controllo, ma opera internamente con banche dati frammentate, catene di fornitori opache o strumenti di analisi difficili da ricostruire, emerge un serio rischio di governance. La trasparenza non è quindi una formalità comunicativa, ma una prova di controllo: dimostra se l’organizzazione conosce realmente i propri trattamenti di dati personali, è in grado di spiegarli e può renderne conto.

Limitazione delle finalità

La limitazione delle finalità richiede che i dati personali siano raccolti per finalità determinate, esplicite e legittime. Questo principio impone all’organizzazione di stabilire in anticipo perché i dati siano necessari e quali operazioni di trattamento rientrino in tale finalità. Un riferimento generico alla gestione aziendale, alla relazione con il cliente, alla sicurezza, all’innovazione o al controllo dei rischi è insufficiente. La finalità deve essere sufficientemente concreta da consentire una valutazione su quali dati siano necessari, quale periodo di conservazione sia appropriato, quale accesso sia giustificato, quali misure di sicurezza siano richieste e se un successivo riutilizzo sia compatibile con la finalità iniziale. In assenza di una chiara delimitazione delle finalità, il trattamento dei dati diventa privo di direzione amministrativa. I dati possono allora scivolare facilmente dalla prestazione di servizi all’analisi, dall’analisi allo sfruttamento commerciale, dallo sfruttamento commerciale alla selezione del rischio e dalla selezione del rischio al processo decisionale, senza che il fondamento normativo venga riesaminato.

Nelle organizzazioni digitali, la limitazione delle finalità è spesso vulnerabile perché i dati vengono utilizzati simultaneamente in più luoghi. Un insieme di dati originariamente raccolto per l’amministrazione dei clienti può successivamente apparire interessante per il marketing, la valutazione del credito, il monitoraggio delle frodi, lo sviluppo di prodotti o l’addestramento di sistemi algoritmici. Una simile evoluzione non è vietata in linea di principio, ma richiede una valutazione rigorosa della compatibilità, della proporzionalità, delle ragionevoli aspettative degli interessati, della natura dei dati, delle possibili conseguenze e delle garanzie disponibili. Il rischio risiede soprattutto nello slittamento progressivo della finalità: l’ampliamento graduale degli scopi del trattamento senza un esplicito riesame della base giuridica ed etica. La limitazione delle finalità funziona quindi come freno alla facilità amministrativa e all’opportunismo tecnico. Essa richiede che il riutilizzo non sia legittimato dalla mera disponibilità dei dati, ma da una necessità dimostrabile, da una compatibilità effettiva e da una decisione responsabile.

Nel quadro della Gestione integrata dei rischi di criminalità digitale, la limitazione delle finalità assume un rilievo diretto per il governo della criminalità digitale. La prevenzione delle frodi, la cibersicurezza, il monitoraggio, l’indagine sugli incidenti e il controllo degli accessi possono costituire finalità legittime, ma non devono condurre a una sorveglianza illimitata, a una profilazione permanente o a raccolte di dati insufficientemente definite. Un’organizzazione deve poter distinguere i dati necessari alla sicurezza, quelli necessari alla conformità, quelli necessari a un’indagine forense e quelli che si collocano al di fuori del quadro consentito. Questa distinzione è essenziale in materia di registrazione dei log, intelligence sulle minacce, monitoraggio delle e-mail, analisi degli utenti, rilevazione di transazioni sospette e indagini sulle violazioni dei dati. La limitazione delle finalità impedisce che argomenti di sicurezza siano utilizzati come autorizzazione generale a trattamenti estesi di dati personali. La forza del principio risiede nell’obbligo di combinare resilienza digitale, limiti giuridici, precisione amministrativa e proporzionalità dimostrabile.

Minimizzazione dei dati

La minimizzazione dei dati prevede che possano essere trattati soltanto i dati personali adeguati, pertinenti e limitati a quanto necessario rispetto alla specifica finalità del trattamento. Questo principio si oppone direttamente alla tendenza di molti sistemi digitali a registrare quanti più dati possibile, poiché l’archiviazione sembra poco costosa, l’analisi potrebbe rivelarsi utile in futuro e le applicazioni commerciali o operative future potrebbero non essere ancora note. Il Regolamento generale sulla protezione dei dati impone un approccio diverso. Non è il valore futuro potenziale dei dati a essere decisivo, ma la loro necessità rispetto alla finalità definita. La minimizzazione dei dati richiede quindi un esame critico fin dall’origine: quali dati siano realmente necessari, quali siano soltanto comodi, quali aumentino principalmente il rischio e quali possano essere omessi, aggregati, pseudonimizzati o cancellati prima.

La portata della minimizzazione dei dati aumenta man mano che i dati diventano più sensibili, più voluminosi o più facilmente combinabili. Dati isolati possono, quando combinati con altri insiemi di dati, produrre un profilo intrusivo relativo a comportamento, preferenze, localizzazione, situazione finanziaria, salute, vulnerabilità o relazioni sociali. Un’organizzazione può così conoscere più di quanto sia necessario per fornire il proprio servizio o controllare i propri rischi. Ciò aumenta non solo i rischi per la vita privata, ma anche i rischi di responsabilità, gli oneri di sicurezza e l’entità del pregiudizio in caso di incidente. Una violazione dei dati riguardante informazioni limitate e accuratamente selezionate presenta un profilo di rischio diverso rispetto a una violazione nella quale siano rimasti disponibili dati storici superflui, documenti d’identità, file di comunicazione o dati comportamentali. La minimizzazione dei dati è quindi anche una misura di sicurezza: ciò che non viene raccolto o non viene più conservato può essere più difficilmente abusato, divulgato, copiato o richiesto.

Nel quadro della Gestione integrata dei rischi di criminalità digitale, la minimizzazione dei dati costituisce uno strumento importante contro l’esposizione inutile ai rischi di criminalità digitale. Una raccolta eccessiva di dati aumenta l’attrattività dell’organizzazione per i criminali informatici, accresce l’impatto dei ransomware e delle violazioni dei dati e rafforza il rischio che dati rubati vengano utilizzati per phishing, frode d’identità, ingegneria sociale o presa di controllo degli account. Allo stesso tempo, la minimizzazione dei dati deve essere applicata con discernimento, poiché alcuni processi di sicurezza e di indagine richiedono log, dati di rilevazione e piste di audit. Il punto centrale non risiede quindi in un’informazione minima a ogni costo, ma in un’informazione necessaria all’interno di una finalità chiara, accompagnata da periodi di conservazione appropriati, restrizioni di accesso e misure di sicurezza adeguate. La minimizzazione dei dati richiede disciplina nella configurazione dei sistemi, nella progettazione dei moduli, nei processi di instaurazione del rapporto, nell’accettazione dei clienti, nel monitoraggio, nella reportistica e nella risposta agli incidenti. Essa mostra che un governo efficace della criminalità digitale non deriva da una raccolta illimitata, ma da una posizione informativa mirata, proporzionata e governabile.

Esattezza dei dati

Il principio di esattezza dei dati richiede che i dati personali siano fattualmente affidabili, aggiornati e utilizzabili per la finalità per la quale vengono trattati. Dati inesatti, obsoleti, incompleti o male interpretati possono avere conseguenze rilevanti per gli interessati, soprattutto quando sono utilizzati per il processo decisionale, la valutazione dei rischi, la gestione degli accessi, la valutazione finanziaria, l’esecuzione di misure, lo screening o la rilevazione delle frodi. Un indirizzo errato, una registrazione inesatta, uno status non aggiornato, un fascicolo collegato in modo scorretto o un contesto incompleto possono condurre a un rifiuto, a un blocco, a un’indagine, a un’escalation o a un danno reputazionale. Il Regolamento generale sulla protezione dei dati richiede pertanto che le organizzazioni adottino misure ragionevoli per mantenere i dati aggiornati e per correggere o cancellare gli errori quando necessario. L’esattezza non è quindi un dettaglio amministrativo, ma una condizione preliminare per un processo decisionale affidabile.

Negli ambienti digitali complessi, l’esattezza è più difficile da garantire rispetto ai registri semplici. I dati sono spesso inseriti da più reparti, acquisiti da fonti esterne, arricchiti da sistemi, condivisi con fornitori e utilizzati in flussi automatizzati. Gli errori possono così diffondersi rapidamente e persistere in più sistemi. Una correzione effettuata in un sistema sorgente non significa automaticamente che siano stati modificati anche gli insiemi di dati derivati, i rapporti, le esportazioni, i backup, i modelli di rischio o i profili dei clienti. Ciò richiede una responsabilità chiara in materia di dati, la tracciabilità delle fonti, procedure di rettifica, controlli di qualità e meccanismi tecnici che consentano alle correzioni di produrre effettivamente i loro effetti. In assenza di tale controllo, può crearsi una situazione nella quale le richieste di rettifica vengono formalmente trattate, mentre l’errore continua a circolare nell’ambiente digitale dell’organizzazione.

Nel quadro della Gestione integrata dei rischi di criminalità digitale, l’esattezza dei dati è importante anche per la qualità della rilevazione dei rischi e delle indagini sugli incidenti. Dati non affidabili conducono ad avvisi errati, false sospettosità, incidenti non rilevati o misure sproporzionate. In materia di rischi di criminalità digitale, ciò può risultare particolarmente dannoso. Un indirizzo IP collegato in modo scorretto, un’identità utente errata, un ruolo di autorizzazione obsoleto o una voce di log incompleta possono falsare gravemente un’indagine riguardante phishing, presa di controllo degli account, violazioni dei dati o frode interna. L’esattezza richiede quindi non soltanto una riparazione nei confronti degli interessati, ma anche affidabilità forense: i dati devono essere gestiti in modo tale che conclusioni, avvisi, escalation e rapporti restino verificabili. L’organizzazione deve poter spiegare da dove provengano le informazioni, come siano state trattate, quali incertezze esistano e quali misure siano state adottate per prevenire o correggere gli errori.

Limitazione della conservazione

La limitazione della conservazione richiede che i dati personali non siano conservati più a lungo di quanto necessario rispetto alla finalità per la quale sono stati raccolti o sono oggetto di ulteriore trattamento lecito. Questo principio obbliga le organizzazioni a non trattare i periodi di conservazione come semplici impostazioni tecniche predefinite o come ampi margini di sicurezza, ma come scelte motivate sul piano giuridico e amministrativo. Ogni categoria di dati deve essere collegata a una finalità concreta, a un periodo di conservazione appropriato, a un momento di cancellazione e a una configurazione procedurale responsabile. Occorre distinguere tra dati operativi, dati contrattuali, obblighi legali di conservazione, informazioni di audit, log di sicurezza, documentazione degli incidenti e dati che possono essere necessari per l’esercizio o la difesa di diritti in sede giudiziaria. Una prassi generale consistente nel lasciare i dati disponibili a tempo indeterminato perché la loro cancellazione è organizzativamente complessa non soddisfa le esigenze di una protezione rigorosa dei dati.

La limitazione della conservazione intrattiene un rapporto diretto con il rischio, la proporzionalità e la governabilità digitale. Quanto più a lungo i dati vengono conservati, tanto maggiore è la probabilità che diventino obsoleti, vengano utilizzati fuori contesto, restino accessibili a gruppi troppo ampi o siano colpiti da incidenti. Vecchi dati dei clienti, fascicoli di candidatura, copie di documenti d’identità, archivi di e-mail, file di log e fascicoli di indagine possono perdere nel tempo la loro utilità originaria, mentre il rischio di abuso rimane o aumenta. Un’organizzazione priva di un ciclo effettivo di politica di conservazione crea un’eredità digitale crescente nella quale i dati storici diventano fonte di incertezza giuridica, rischio di sicurezza e danno reputazionale. La limitazione della conservazione richiede pertanto non solo una politica scritta, ma anche un’esecuzione tecnica: cancellazione automatica ove possibile, riesame periodico ove necessario, gestione delle eccezioni, registrazione dei periodi di conservazione e distruzione o anonimizzazione dimostrabile.

Nel quadro della Gestione integrata dei rischi di criminalità digitale, la limitazione della conservazione costituisce un elemento essenziale del governo della criminalità digitale. I dati conservati inutilmente accrescono i danni causati da ransomware, violazioni dei dati, minacce interne, esportazioni non autorizzate e compromissione delle credenziali. Allo stesso tempo, alcuni dati possono essere temporaneamente necessari per la sicurezza, la registrazione dei log, le indagini e la posizione probatoria. La sfida consiste nel trovare un equilibrio difendibile: conservare dati sufficienti per rilevare, esaminare e ricostruire gli incidenti, senza spingersi fino al punto di creare un rischio informativo inutilmente esteso. Ciò richiede periodi di conservazione previamente definiti per log di sicurezza, fascicoli di incidente, registri di accesso, segnalazioni, copie forensi e comunicazioni con le autorità di controllo. La limitazione della conservazione rivela così se l’organizzazione governa la propria posizione informativa digitale o si limita a lasciarla crescere. Un quadro rigoroso di conservazione protegge gli interessati, limita l’impatto degli incidenti e rafforza la difendibilità delle decisioni in contesti di vigilanza, controversia e crisi.

Integrità e riservatezza

L’integrità e la riservatezza richiedono che i dati personali siano protetti contro trattamenti non autorizzati o illeciti, perdita, distruzione, danneggiamento, alterazione, divulgazione e accesso non autorizzato. Questo principio costituisce il nucleo di sicurezza del Regolamento generale sulla protezione dei dati, ma non deve essere ridotto alla sola sicurezza tecnica dell’informazione. Si tratta di un obbligo integrato nel quale convergono responsabilità giuridica, direzione amministrativa, sicurezza tecnica, misure organizzative, garanzie contrattuali e disciplina operativa. Una sicurezza adeguata richiede pertanto una valutazione basata sul rischio, che tenga conto della natura dei dati, del contesto del trattamento, delle minacce, delle possibili conseguenze per gli interessati e delle vulnerabilità effettive presenti nei sistemi, nei processi e nelle catene operative. Cifratura, gestione degli accessi, registrazione dei log, segmentazione, politiche di backup, gestione delle patch, monitoraggio, controllo dei fornitori, procedure di gestione degli incidenti e modelli di autorizzazione non sono strumenti di sicurezza isolati, ma componenti di un unico livello coerente di protezione.

La riservatezza presuppone che soltanto persone, sistemi e soggetti terzi abbiano accesso ai dati personali nella misura necessaria allo svolgimento di un compito o al perseguimento di una finalità chiaramente definita. In molte organizzazioni i rischi sorgono perché i diritti di accesso si estendono progressivamente, le autorizzazioni temporanee restano attive, i ruoli precedenti non vengono revocati tempestivamente, le caselle di posta condivise non sono sufficientemente controllate oppure i fornitori esterni ottengono un accesso più ampio di quanto sia funzionalmente necessario. Tali vulnerabilità non sono meramente tecniche, ma incidono direttamente sulla governance e sulla responsabilizzazione dimostrabile. Un’organizzazione che non è in grado di spiegare con precisione chi abbia accesso a quali dati personali, perché tale accesso esista, per quanto tempo duri e in che modo gli abusi vengano rilevati, non esercita un controllo sufficiente sulla riservatezza. L’integrità richiede inoltre che i dati non possano essere modificati, manipolati o corrotti senza possibilità di rilevazione. Ciò è di particolare importanza per i fascicoli dei clienti, i dati finanziari, i dati medici o socio-assistenziali, gli indicatori di rischio, gli archivi di conformità, le registrazioni di log e gli elementi probatori nelle indagini sugli incidenti.

Nel quadro della Gestione integrata dei rischi di criminalità digitale, l’integrità e la riservatezza costituiscono un pilastro centrale del governo della criminalità digitale. Molti rischi di criminalità digitale sorgono quando soggetti criminali ottengono accesso a dati personali, credenziali di accesso, schemi di comunicazione o informazioni sui processi interni e utilizzano poi tali informazioni per phishing, spear phishing, compromissione della posta elettronica aziendale, frode d’identità, presa di controllo degli account, ransomware o ingegneria sociale. La protezione dei dati personali non è quindi soltanto un obbligo in materia di protezione dei dati, ma anche una linea di difesa diretta contro la criminalità digitale. Un’organizzazione che segmenta accuratamente i dati personali, limita gli accessi, rileva comportamenti anomali, indaga tempestivamente sugli incidenti e mantiene controllabili i flussi di dati riduce non solo il rischio di violazioni del Regolamento generale sulla protezione dei dati, ma anche il rischio che informazioni personali vengano trasformate in vantaggio criminale. Integrità e riservatezza mostrano così che protezione dei dati e governo della criminalità digitale si rafforzano reciprocamente: proteggere i dati significa proteggere persone, processi, reputazione e fiducia istituzionale.

Responsabilizzazione

La responsabilizzazione richiede che il titolare del trattamento non solo rispetti i principi fondamentali del Regolamento generale sulla protezione dei dati, ma sia anche in grado di dimostrare che tale rispetto esiste effettivamente. Questo principio trasforma il Regolamento generale sulla protezione dei dati da un quadro meramente normativo in un modello di governance dimostrabile. Buone intenzioni, dichiarazioni generali di policy o documenti di conformità isolati sono insufficienti quando non è possibile dimostrare come siano state prese le decisioni, quali rischi siano stati valutati, quali misure siano state adottate, chi sia responsabile, quali controlli siano eseguiti e come le deviazioni siano corrette. La responsabilizzazione richiede che il trattamento dei dati sia tracciabile, spiegabile e verificabile. Ciò significa, tra l’altro, che i registri delle attività di trattamento devono essere aggiornati, le basi giuridiche devono essere documentate, le valutazioni degli interessi legittimi devono essere registrate, i rapporti con i responsabili del trattamento devono essere controllati, le misure di sicurezza devono essere motivate e le richieste degli interessati devono poter essere ricostruite con rigore.

Il significato pratico della responsabilizzazione diventa particolarmente evidente in caso di reclami, violazioni dei dati, indagini delle autorità di controllo, audit, controversie e risposta agli incidenti. In tali circostanze, la questione non è soltanto se un’organizzazione affermi di aver agito con diligenza, ma se il fascicolo supporti tale affermazione. Un’autorità di controllo, un giudice, una controparte contrattuale o un interessato vorrà poter verificare quali considerazioni siano state prese in esame, quali alternative siano state valutate, perché determinati dati fossero necessari, perché un periodo di conservazione sia stato ritenuto appropriato, perché un livello di sicurezza sia stato considerato sufficiente e come l’organizzazione abbia reagito ai segnali di rischio. La responsabilizzazione richiede quindi una disciplina amministrativa nella quale la documentazione non viene predisposta a posteriori per difendere una prassi esistente, ma viene utilizzata prima e durante il processo come strumento decisionale. Ne deriva un’organizzazione che non dipende da spiegazioni orali, ricordi individuali o competenze isolate, ma dispone di una linea di responsabilità dimostrabile.

Nel quadro della Gestione integrata dei rischi di criminalità digitale, la responsabilizzazione assume un rilievo particolare, poiché i rischi di criminalità digitale si manifestano spesso in situazioni nelle quali rapidità, incertezza e posizione probatoria sono sottoposte a pressione. In caso di violazione dei dati, attacco ransomware, campagna di phishing o sospetto accesso non autorizzato, deve essere possibile stabilire quali dati siano stati coinvolti, quali sistemi siano interessati, quali misure di sicurezza fossero attive, quali obblighi di notifica si applichino, quali interessati debbano essere informati e quali misure correttive siano necessarie. Senza responsabilizzazione manca il fondamento per una risposta credibile all’incidente. L’organizzazione non può allora dimostrare in modo convincente che i rischi siano stati valutati in anticipo, che le misure fossero appropriate, che i segnali siano stati presi sul serio e che l’escalation sia avvenuta in modo ordinato. La responsabilizzazione non è quindi un onere amministrativo, ma una posizione strategica di difesa. Essa consente di agire sotto pressione in modo coerente, verificabile e giuridicamente sostenibile.

Protezione dei dati fin dalla progettazione e per impostazione predefinita

La protezione dei dati fin dalla progettazione richiede che la protezione dei dati sia integrata sin dalla fase iniziale di ideazione di processi, sistemi, servizi, prodotti e modelli di cooperazione. La protezione dei dati non deve essere aggiunta come misura correttiva dopo che le scelte commerciali, la configurazione tecnica e i flussi operativi sono già stati definiti. Il principio richiede che, per ogni nuova applicazione digitale, venga valutato in anticipo quali dati personali siano necessari, quale base giuridica si applichi, quali rischi sorgano, quali diritti degli interessati possano essere coinvolti, quale livello di sicurezza sia richiesto e come i flussi di dati possano essere limitati. Ciò richiede un coordinamento stretto tra analisi giuridica, sviluppo del prodotto, sicurezza dell’informazione, governance dei dati, approvvigionamento, conformità e decisione amministrativa. Quando la protezione dei dati viene coinvolta solo in una fase tardiva del processo, i sistemi sono spesso già configurati per un’ampia raccolta di dati, accessi estesi, lunghi periodi di conservazione o collegamenti poco chiari con terzi. La correzione diventa allora costosa, lenta e spesso incompleta.

La protezione dei dati per impostazione predefinita completa tale principio richiedendo che le impostazioni standard siano protettive della riservatezza. L’interessato non deve dipendere da scelte complesse, impostazioni nascoste o opt-out attivi per ottenere protezione. Per impostazione predefinita, possono essere trattati solo i dati personali necessari alla specifica finalità. Ciò vale per moduli online, portali clienti, applicazioni, cookie, preferenze di marketing, profili utente, dati di localizzazione, impostazioni di comunicazione, autorizzazioni e flussi di lavoro interni. Il principio impedisce alle organizzazioni di offrire formalmente protezione, scoraggiandola però nella pratica attraverso complessità, linguaggio poco chiaro o scelte di interfaccia orientate. La protezione dei dati per impostazione predefinita costituisce quindi anche una norma comportamentale per l’interazione digitale: l’utente non deve essere costretto a guadagnarsi la protezione attraverso attenzione, competenza tecnica o conoscenza giuridica, ma può attendersi che una protezione di base sia presente di default.

Nel quadro della Gestione integrata dei rischi di criminalità digitale, la protezione dei dati fin dalla progettazione e per impostazione predefinita è indispensabile per un governo sostenibile della criminalità digitale. I sistemi che, sin dalla progettazione, operano con raccolta limitata di dati, ruoli chiari, autenticazione forte, ambienti separati, registrazione dei log, classificazione dei dati, impostazioni standard sicure e flussi di dati controllabili sono più resistenti agli abusi. Al contrario, i sistemi nei quali accesso ampio, condivisione predefinita, conservazione permanente e segmentazione insufficiente sono incorporati sin dall’inizio aumentano l’impatto della compromissione delle credenziali, delle minacce interne, delle violazioni dei dati e del ransomware. La protezione dei dati fin dalla progettazione e per impostazione predefinita avvicina quindi, sul piano pratico, protezione dei dati e sicurezza fin dalla progettazione. Essa assicura che l’innovazione digitale non sia costruita sulla massima disponibilità dei dati, ma su necessità, proporzionalità, controllabilità e possibilità di protezione. Il trattamento dei dati diventa così non solo più resistente al controllo ai sensi del Regolamento generale sulla protezione dei dati, ma anche più resiliente rispetto alla criminalità digitale.

I diritti degli interessati come applicazione pratica dei principi

I diritti degli interessati costituiscono la concreta traduzione operativa dei principi fondamentali del Regolamento generale sulla protezione dei dati. I diritti di accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati, opposizione e protezione contro decisioni basate esclusivamente su trattamenti automatizzati offrono agli interessati strumenti per far valere controllo, correzione e delimitazione. Tali diritti non possono essere separati dai principi. La trasparenza acquisisce significato perché l’interessato può chiedere accesso. L’esattezza acquisisce significato perché può essere richiesta la rettifica. La limitazione della conservazione acquisisce significato perché, in determinate circostanze, può essere imposta la cancellazione. La limitazione delle finalità e la minimizzazione dei dati acquisiscono significato perché può essere proposta opposizione contro determinate forme di trattamento. La responsabilizzazione acquisisce significato perché l’organizzazione deve poter spiegare come una richiesta sia stata valutata, quali dati siano stati individuati, quali eccezioni si applichino e perché determinate informazioni vengano o non vengano fornite.

Nella pratica, i diritti degli interessati rivelano spesso se un’organizzazione controlli realmente il proprio ambiente dei dati. Una richiesta di accesso può sembrare semplice, ma richiede chiarezza su dove si trovino i dati personali, quali sistemi siano rilevanti, quali terzi trattino i dati, quali eccezioni possano applicarsi, quali informazioni relative ad altri soggetti debbano essere protette e come il risultato possa essere presentato in modo comprensibile. Una richiesta di cancellazione richiede la conoscenza degli obblighi di conservazione esistenti, dei dati che rimangono necessari, dei dati detenuti dai responsabili del trattamento e delle modalità con cui la cancellazione viene effettivamente eseguita. Una richiesta di limitazione o opposizione richiede che i sistemi siano in grado di sospendere o isolare il trattamento senza che i dati continuino a fluire in modo incontrollato attraverso processi automatizzati. I diritti degli interessati funzionano quindi come una prova di resistenza operativa per la governance dei dati, la configurazione dei processi, la gestione dei fornitori, la documentazione e la responsabilità interna.

Nel quadro della Gestione integrata dei rischi di criminalità digitale, tali diritti sono rilevanti anche per la fiducia e per il governo della criminalità digitale. Le persone che ricevono informazioni insufficienti sul trattamento, sulla correzione o sulla cancellazione perdono più facilmente fiducia nei servizi digitali e diventano più vulnerabili all’incertezza dopo un incidente. In caso di violazione dei dati, frode d’identità, presa di controllo dell’account o divulgazione illecita, l’esercizio effettivo dei diritti può contribuire alla riduzione del danno, al ripristino e alla chiarezza. Al tempo stesso, le organizzazioni devono bilanciare tali diritti con interessi di sicurezza, prevenzione delle frodi, indagini in corso, obblighi di legge e diritti di terzi. Ciò richiede procedure al contempo accessibili e giuridicamente precise. Un’organizzazione deve non solo rispondere tempestivamente, ma anche spiegare nel merito, effettuare ricerche mirate, motivare le eccezioni e verificare l’esecuzione. I diritti degli interessati non sono quindi un obbligo amministrativo ai margini del programma di protezione dei dati, ma una misura diretta dell’affidabilità dei processi digitali.

I principi fondamentali del Regolamento generale sulla protezione dei dati come fondamento del governo strategico dell’integrità digitale

Considerati nel loro insieme, i principi fondamentali del Regolamento generale sulla protezione dei dati costituiscono il fondamento del governo strategico dell’integrità digitale. Essi creano coerenza tra liceità, proporzionalità, trasparenza, qualità dei dati, sicurezza, politica di conservazione, responsabilizzazione e tutela dei diritti. Ne deriva un quadro attraverso il quale le organizzazioni possono valutare i processi digitali non solo sul piano tecnico o commerciale, ma anche sul piano normativo, giuridico e amministrativo. In un ambiente guidato dai dati, esiste una pressione costante a raccogliere più dati, conservarli più a lungo, analizzarli in modo più ampio e collegarli più rapidamente. I principi del Regolamento generale sulla protezione dei dati oppongono a tale pressione un diverso presupposto: il trattamento dei dati deve essere necessario, determinato dalla finalità, spiegabile, sicuro, limitato e dimostrabilmente controllato. Questo presupposto è essenziale per qualsiasi organizzazione che intenda collegare innovazione digitale, fiducia, legittimità e affidabilità amministrativa.

Il governo strategico dell’integrità digitale richiede che i principi del Regolamento generale sulla protezione dei dati non vengano applicati isolatamente. La liceità senza trasparenza rimane vulnerabile. La limitazione delle finalità senza minimizzazione dei dati perde precisione. La sicurezza senza limitazione della conservazione lascia sussistere rischi inutili. La responsabilizzazione senza controllo effettivo dei processi diventa una difesa meramente documentale. I diritti degli interessati senza un inventario affidabile dei dati rimangono formali, ma praticamente insufficienti. La forza dei principi risiede quindi nel loro effetto reciproco. Essi impongono di considerare il trattamento dei dati come un insieme amministrativo nel quale base giuridica, esecuzione operativa, configurazione tecnica, catena dei fornitori, valutazione dei rischi e capacità di resistere al controllo convergono. La protezione dei dati si sposta così da una funzione separata di conformità a una componente centrale della decisione digitale.

Nel quadro della Gestione integrata dei rischi di criminalità digitale, questo fondamento possiede un valore particolare, poiché i rischi di criminalità digitale e i rischi relativi alla protezione dei dati incidono sempre più spesso sulle stesse vulnerabilità. Una raccolta illimitata di dati aumenta il danno provocato dalle violazioni dei dati. Finalità poco chiare rendono il monitoraggio e le indagini difficilmente difendibili. Un controllo debole degli accessi aumenta il rischio di presa di controllo degli account e di abuso interno. Una trasparenza insufficiente compromette la fiducia dopo gli incidenti. L’assenza di responsabilizzazione indebolisce la posizione nei confronti delle autorità di controllo, dei clienti, delle controparti contrattuali e degli interessati. I principi fondamentali del Regolamento generale sulla protezione dei dati offrono quindi non solo regole per la protezione dei dati, ma anche un quadro strategico per il governo della criminalità digitale. Essi aiutano a determinare quali informazioni siano necessarie, come tali informazioni debbano essere protette, quando l’utilizzo debba essere limitato, come la responsabilità diventi dimostrabile e come i sistemi digitali restino allineati a una traiettoria giuridicamente, eticamente e amministrativamente difendibile.