È prassi ormai comune utilizzare le Application Programming Interface (API) per consentire l’integrazione di diversi software e permettere la condivisione di dati tra diverse organizzazioni. Le API hanno il vantaggio di consentire a prodotti e servizi informatici diversi di comunicare tra loro anche se hanno avuto iter di sviluppo diversi, o se portati avanti da team o organizzazioni indipendenti. La progettazione e l’attività dei team di sviluppo ne guadagnano senza dubbio in flessibilità ed efficienza. Ma qual è l’impatto di questa soluzione per la compliance dell’organizzazione al GDPR? Qual è l’effetto, in termini di sicurezza dei trattamenti di dati personali? Le linee guida della CNIL prendono in esame l’argomento.
Indice
Il rapporto tra API e GDPR
Tentando di evitare tecnicismi, possiamo considerare le API – almeno in alcune circostanze – come una sorta di accordo tra due soggetti, tradotto in un linguaggio digitale, che consente a una parte di inviare una richiesta, a cui l’altra parte risponderà in un certo modo prestabilito.
A seconda del contesto di utilizzo, l’oggetto di questo accordo può essere lo scambio di dati personali. Se si partecipa a uno scambio di questo tipo con un’altra società, ovviamente, la normativa privacy imporrà una certa attenzione al fine di evitare di esporre a rischi le persone cui fanno riferimento quei dati. D’altra parte, una corretta configurazione delle API può rappresentare una forma di adeguata ed elevata protezione per la privacy degli interessati. Un discorso analogo può essere fatto per la trasmissione di dati interna alla stessa organizzazione, tra diversi reparti. Le API possono rappresentare una buona soluzione per allontanarsi dalla vecchia e rischiosissima prassi del “tutti vedono tutto e possono fare tutto”.
Insomma, la tecnica delle API può presentare diversi vantaggi sotto il profilo della sicurezza delle informazioni, della minimizzazione dei dati, della gestione delle autorizzazioni, della tutela di informazioni riservate. Sono pertanto una soluzione ben gradita dalle autorità per la protezione dei dati personali. Tuttavia, occorre essere consapevoli delle proprie responsabilità, mantenere alcune necessarie attenzioni e adottare le eventuali misure di cautela.
I soggetti che scambiano dati tramite API
Le API si presentano in varie forme. Possono essere uno strumento per concedere, in misura solo limitata, l’accesso a determinati dati. Viceversa, possono consentire di renderli pubblicamente accessibili. Possono gestire delle “richieste di accesso” a un database. Oppure essere usate per inviare “richieste di scrittura” all’interno di un database. Si presentano in varie forme, ma in ogni caso mettono in relazione diversi soggetti, per consentire un certo tipo di comunicazione.
Questo tipo di varietà può generare una certa confusione sulle conseguenze giuridiche, soprattutto in considerazione delle difficoltà nel definire i ruoli e le responsabilità nel trattamento di dati (es. titolare del trattamento, responsabile esterno) di ciascun soggetto che partecipa al servizio (cliente, fornitore, consumatore).
La prima raccomandazione della CNIL sulla condivisione di dati tramite API introduce, non a caso, tre ruoli tecnici per ovviare a questo problema.
- TITOLARE DEI DATI: il soggetto che ha il controllo tecnico o organizzativo sui dati. Nel caso più comune, è anche il gestore delle API. Ma in altre circostanze può trasmettere i dati o eseguire altre operazioni ricorrendo alle soluzioni tecniche di un separato fornitore di API.
- GESTORE DELLE API: è l’organizzazione responsabile dei componenti tecnici su cui si basa la condivisione dei dati. Nella maggior parte dei casi, è anche un fornitore di API. Ma può anche limitarsi a rivestire un ruolo tecnico volto a garantire il corretto funzionamento delle API fornite da un altro soggetto.
- RIUTILIZZATORE DEI DATI: è l’organizzazione che intende accedere o ricevere dati tramite API al fine di utilizzarli per i propri scopi. Tipicamente, utilizza API di un altro fornitore. Ma può anche essere un fornitore di API, quando utilizzate per ricevere dati da titolari diversi.
L’attribuzione dei ruoli GDPR nell’utilizzo di API
Tentiamo di riesaminare i ruoli con la lente del GDPR:
- TITOLARE DEI DATI. Corrisponderà tipicamente al Titolare del trattamento, ma, al di là dell’assonanza dei termini, non bisogna escludere a priori un rapporto di contitolarità con il riutilizzatore dei dati. Quest’ultimo, infatti, potrebbe avere un’influenza decisiva sulle finalità e le caratteristiche del trattamento di dati in questione.
- RIUTILIZZATORE DEI DATI. Sarà più frequentemente da considerare un “destinatario” di dati, nonché un autonomo titolare del trattamento, per le operazioni che svolgerà riutilizzando i dati.
- GESTORE DI API. Agirà tipicamente in qualità di Responsabile del trattamento, in nome e per conto di uno degli altri due soggetti. Anche in questo caso, tuttavia, potranno sussistere dei profili di titolarità autonoma, ad esempio quando costituisca in maniera indipendente un servizio di intermediazione.
La conseguenza diretta di questo esame è che per definire nel dettaglio lo status e le responsabilità giuridiche dei soggetti che condividono dati tramite API, è essenziale analizzare caso per caso.
Non si può negare, invece, che un attento esame delle caratteristiche di cybersecurity potrà giovare a ciascuna parti coinvolte.
Analizzare i rischi nell’utilizzo di API
La condivisione sicura di dati personali tramite API va a braccetto con l’adozione del caro e onnipresente approccio basato sul rischio. Il titolare dei dati, in primis, dovrà tenere in considerazione diversi fattori che impattano sulla sicurezza del processo di condivisione, e in molte circostanze potrà individuare le caratteristiche per l’obbligatorietà (o se non altro l’opportunità) di svolgere una DPIA. Ovviamente, la sensibilità e la delicatezza dei dati trattati saranno tra gli aspetti più rilevanti per contestualizzare l’eventuale obbligo.
Ma in tutti i casi, sarà opportuno considerare i possibili rischi strettamente connessi alla tecnologia in oggetto.
Per chi si voglia addentrare negli aspetti più tecnici, l’iniziativa Top Ten API Security Risks del progetto OWASP fornisce sicuramente alcuni ottimi spunti.