Mostrerai il dato solamente a coloro che ne hanno necessità
Questo è implicato nel primo comandamento (che in effetti come abbiamo già detto implica tutto), ed è anche assolutamente ragionevole. E purtroppo non è banale.
In sostanza le applicazioni e la sicurezza in generale dovrebbero essere disegnati in modo da non mostrare informazioni personali se non a chi ha realmente necessità di vedere e trattare quelle informazioni.
Di cosa parliamo?
Avere profili diversi per utenti diversi, dove ogni profilo limita la visibilità dei dati e le operazioni che si possono fare. Sia nelle cartelle condivise che nelle applicazioni, che in generale in tutti i processi dove si trattano dati personali.
Attenzione: questo ha perfettamente senso, senza bisogno che ce lo dica il GDPR. Relativamente alla sicurezza il GDPR chiede che si facciano cose che andrebbero comunque fatte. Semplicemente, poiché si tratta di dati personali di terzi, la legge ci impone di fare le cose bene, non è solo nel nostro interesse.
Darai all'interessato modo di vedere, correggere e, se consentito, cancellare i suoi dati
Questa è una questione di processi. Deve esserci modo per l'interessato di contattarci e chiedere che cosa abbiamo su di lui, di chiedere di dimenticarci di lui o di chiedere di cambiare qualche informazione.
Il GDPR non dice come, non dice che devo avere strumenti specifici, si limita a dire che deve esserci un modo. E, aggiungiamo noi, non deve essere troppo nascosto, inaccessibile, farraginoso, ecc.
Proteggerai il dato d'altri come se fosse il tuo
Questo ha due aspetti: da una parte dobbiamo proteggere il dato da accessi non autorizzati, e quindi avere misure di sicurezza adeguate e ragionevoli, anche tenendo conto dello stato dell'arte e della natura delle informazioni da proteggere. Il secondo aspetto è che devo anche proteggerli dalla distruzione. Questo chiaramente è rilevante se il dato in qualche modo l'ho creato io (la TAC di un paziente?) o se io ne possiedo l'unica copia. La questione viene meno nel momento in cui si trattasse di una informazione che l'interessato ha condiviso con noi ma della quale è il proprietario (ad esempio il suo numero di telefono personale).
Non condividerai/venderai/pubblicherai il dato d'altri
Qui siamo nel campo dell'ovvio e pure di quello che abbiamo già detto. Non posso vendere le informazioni personali, o raccontarle in giro. Posso fare delle statistiche eliminando l'associazione con la persona e vendere quelle? Apparentemente sì, ma devo comunque avere il consenso al trattamento.
Non memorizzerai o trasmetterai il dato in una forma facilmente leggibile
In generale i dati devono essere salvati su disco (o in generale nella memoria permanente) in una forma che non ne consenta la lettura da parte di chi non è autorizzato. Questo in particolare nel caso in cui l'intruso possa accedere fisicamente ai supporti (ad esempio i nastri del backup). Quindi devo criptare i dati, oppure salvarli in una forma tale da rendere impossibile risalire alla persona a cui i dati si riferiscono (la versione italiana del GDPR cita la pseudonimizzazione, parola che secondo la Treccani non esiste).
Inoltre devo proteggere i dati anche quando li trasmetto, in particolare su linee pubbliche o condivise. Quindi devo usare connessioni sicure in tutti i casi dove è prevista o possibile la trasmissione di dati personali. Un esempio: una pagina da cui un candidato trasmette il proprio cv deve essere protetta https.
Non nasconderai la perdita o il furto del dato
Questo è l'ultimo, ma non il meno importante. È successo più di una volta che in seguito al furto di sistemi o di apparati portatili, o in seguito ad accessi non autorizzati, importanti aziende che trattavano dati personali di terzi fossero responsabili della potenziale diffusione o dell'utilizzo fraudolento di quei dati. Un recente esempio è l’accesso non autorizzato da parte di ignoti ai dati di 50 milioni di utenti Facebook.
In molte precedenti occasioni la cosa e stata taciuta ed è diventata di dominio pubblico solo anni dopo. Un esempio è Yahoo, che è stata recentemente multata dal governo inglese per non aver detto subito che nel 2014 qualcuno aveva potuto accedere ai dati di mezzo milione di persone.
Il GDPR dice che se venissimo a conoscenza di una intrusione, dovremmo informare le autorità entro 72 ore. Nel caso in cui la natura dell’evento costituisca un rischio per i diritti e le libertà dell’interessato dovremo informare anche quest’ultimo.
Nota bene: il GDPR non dice che DEVO accorgermene. Dice che devo fare le cose bene, e quindi implica che in certi casi forse dovrei avere qualche strumento per accorgermi di accessi illeciti. Ma non impone soluzioni specifiche
E soprattutto non sono costretto a rilevare l’intrusione (e ci mancherebbe altro!). Quindi se l’intruso è bravo e non lascia tracce, e io ho protetto i dati con misure ragionevoli e commisurate alla natura del dato, allora non ho colpa. Tutto è regolato dal criterio di ragionevolezza.
Ma se e quando vengo a sapere dell’intrusione, devo denunciare il fatto!