La certificazione dei consensi online alla luce del GDPR

28 Marzo 2019

La procedura di identificazione, raccolta, acquisizione e conservazione dei dati informatici secondo lo standard ISO/IEC 27037:2012.

L’acquisizione di un dato informatico è una procedura tecnica dell’informatica forense che nasce per l’utilizzo in ambito penale e ha l’obiettivo di ottenere elementi digitali aventi valore di prova, al fine di poterli produrre in giudizio. Tale procedimento è normato da una famiglia di standard tecnici, il cui capostipite è lo standard ISO/IEC 27037:2012, che funge da compendio tecnico comune tra enti e organizzazioni per la gestione delle evidenze. 

Lo standard riconosce quattro procedure principali eseguite da professionisti forensi.

  • Identificazione: per individuare e documentare i dati di interesse.
  • Raccolta: per ottenere il dispositivo fisico contenente tali dati.
  • Acquisizione: nel caso la raccolta fosse impercorribile, per creare una copia esatta dei dati, chiamata anche potenziale prova digitale.
  • Conservazione: per dimostrare che la potenziale prova digitale è rimasta integra dalla creazione alla produzione in giudizio.

Identificazione e conservazione sono sempre imprescindibili mentre raccolta e acquisizione possono essere considerate come alternative o complementari tra loro, soprattutto nell’attuale scenario tecnologico dominato da una massiccia diffusione del cloud, della logica della distribuzione delle applicazioni, delle informazioni e soprattutto del sempre crescente utilizzo del web per acquisire dati e informazioni.

Lo standard non definisce minuziosamente i singoli procedimenti da adottare in relazione alle specifiche casistiche sulle quali ci si può imbattere. Definisce invece le caratteristiche desiderate dei processi e dei loro sottoprodotti, ovvero la giustificabilità, la sufficienza, la verificabilità, la ripetibilità e la riproducibilità.

Con particolare riferimento all’ambito web, il processo di acquisizione vero e proprio dell’informazione non è ripetibile o riproducibile ma è possibile documentare in maniera minuziosa tutte le precauzioni tecniche che sono state prese affinché i dati acquisiti non siano stati alterati durante il processo e siano stati conservati in maniera idonea.

È possibile inoltre prevedere l’acquisizione dell’intero traffico di rete e di ulteriore traffico generato appositamente per dimostrare che gli instradamenti e i meccanismi di risoluzione dei nomi non siano stati alterati, costruendo quindi una sorta di pacchetto dell’acquisizione che assume valore di potenziale prova digitale.

Per quanto concerne la verificabilità, idealmente la potenziale prova digitale dovrebbe includere una metodologia di verifica oggettiva che permetta di compararla con l’originale, come ad esempio un hash (impronta crittografica). Sempre a tale scopo, è opportuno che la metodologia adottata garantisca la ripetibilità o la riproducibilità. Questi termini, in apparenza simili, esprimono concetti leggermente distinti: il primo si riferisce alla possibilità di ripetere la procedura nelle medesime condizioni previste per l’acquisizione e ottenere gli stessi risultati, partendo dall’originale; il secondo, invece, si riferisce alla possibilità di operare in condizioni differenti, ad esempio utilizzando strumenti diversi.

 

Lo standard ISO/IEC 27037:2012 applicato alla raccolta dei consensi online

I vantaggi collegati alla certificazione dei consensi sono molteplici e non riguardano esclusivamente la riduzione del rischio sanzionatorio alla luce del GDPR o l’adozione di una soluzione tecnologica privacy by design. Sarà possibile dimostrare in giudizio i dati personali, i consensi e l’informativa sottoscritta dagli utenti, oppure i moduli di adesione a servizi che non prevedono la forma scritta. Grazie all’eventuale apposizione di una marca temporale, il momento in cui avverrà la sottoscrizione avrà data certa.

Osservando il tutto da un’altra prospettiva, certificare i consensi garantirà all’azienda un maggior potere negoziale nei confronti delle compagnie assicurative. Sarà possibile affiancare una polizza a copertura delle spese legali e dei rischi, a fronte di un premio notevolmente inferiore. Infine, uno degli aspetti di maggiore rilevanza riguarda l’aumento del valore dei dati personali e dei consensi gestiti. Quest’ultimo punto è riferito in particolare a tutte quelle aziende che fanno della lead generation il fulcro del loro business.

Certificare dati personali e relative finalità di trattamento porterà inevitabilmente a un aumento del valore dei dati stessi e ad una maggiore tutela per il responsabile del trattamento. La scelta tra acquisizione forense adottando lo standard ISO/IEC 27037:2012 o altra metodologia dovrà dipendere sempre da un bilanciamento tra il rischio di contenzioso insito nell’operazione da certificare, l’impatto della soluzione scelta in termini di esperienza utente, e quindi di migliore o peggiore tasso di conversione, e costo della soluzione stessa.

 

Il contenuto di questo articolo è stato sviluppato con il contributo di Kopjra Srl, startup innovativa specializzata nella protezione della proprietà intellettuale e della privacy su Internet. Una trattazione più approfondita dello standard ISO/IEC 27037:2012 è disponibile all’interno del capitolo "La certificazione dei consensi raccolti online" del volume "Il processo di adeguamento al GDPR", Giuffrè Francis Lefebvre, 2018.

Iscriviti alla newsletter

Per confermare l'iscrizione, controlla la tua email


*Campo Obbligatorio

Share This