28

Set 2017

Il nuovo regolamento europeo in materia di protezione dei dati personali (General Data Protection Regulation, GDPR) si propone di modificare in modo radicale l’approccio alla regolamentazione della privacy nei sistemi normativi europei, attraverso l’introduzione di alcuni principi cardine.

Cerchiamo di capire il significato di alcuni di essi.

L’art. 24 GDPR, innanzitutto, introduce in modo esplicito il principio di c.d. accountability, vale a dire di “responsabilizzazione” del titolare e del responsabile del trattamento [1].

L’art. 25 GDPR introduce invece i concetti di privacy by design e di privacy by default [2].

In buona sostanza, il legislatore europeo intende sostituire un approccio di tipo prescrittivo (unico per tutti, one size fits all) con un approccio basato sul rischio (risk based).

Basti pensare al nostro Codice Privacy (D.Lgs. 196/03), che prevedeva delle misure minime di sicurezza che ogni titolare doveva adottare.

L’esperienza degli ultimi decenni ha dimostrato che la mera conformità alla legge non sempre è sufficiente per garantire una tutela adeguata per tutti, tanto più di fronte alla continua evoluzione degli strumenti tecnici ed informatici con cui si opera il trattamento dei dati (pensiamo ai social network, agli algoritimi elaborati per l’analisi dei dati, al cloud computing, ecc.).

La previsione di specifiche misure di sicurezza, al contrario, aveva finito per deresponsabilizzare i titolari del trattamento, che non si curavano dell’eventuale inefficacia e/o insufficienza di quelle misure rispetto ai casi specifici (il titolare, essendosi conformato alla disposizione di legge, riteneva di essere per ciò stesso “in regola”).

Il GDPR chiede, oggi, un approccio più funzionale e proattivo che, se responsabilizza maggiormente il titolare del trattamento, ha anche il merito di alleggerire gli oneri burocratici a carico di alcuni soggetti (pensiamo a piccole aziende che non trattano dati sensibili e che sono esposte a rischi abbastanza limitati) e di consentire un adeguamento costante al velocissimo mutare della tecnologia.

Con il principio di accountability, appunto, il GDPR indica al titolare e al responsabile del trattamento lo scopo da raggiungere (la garanzia della tutela e protezione effettiva dei dati personali) ma rimette alla loro responsabilità individuale l’individuazione delle misure adeguate da adottare nell’ambito di un vero programma di protezione dei dati,

Sin dalla progettazione (by design) delle modalità di trattamento dei dati, il titolare ed il responsabile del trattamento dovranno valutare la natura delle attività di trattamento che pongono in essere ed i rischi che tali attività possono comportare, approntando, per impostazione predefinita (by default), tutte le misure necessarie a garantire un effettiva e adeguata protezione dei dati personali.

Un’analisi dei rischi consapevole e una attenta programmazione diventano, dunque, fondamentali.

Teniamo presente che il titolare o il responsabile del trattamento potrebbero essere chiamati a rispondere di comportamenti adottati (o non adottati) ancor prima che il trattamento specifico venga poi praticamente realizzato: le scelte operate al momento della “pianificazione” dei trattamenti potrebbero avere conseguenze giuridicamente rilevanti in sé e non solo al momento dell’effettivo svolgimento delle operazioni in cui il trattamento si sostanzierà.

Ricordiamo, infine, che –nonostante il nuovo regolamento europeo non preveda documenti specifici come il nostro vecchio DPS- tra gli obblighi sanciti dall’art. 24 GDPR, vi è anche quello di “essere in grado di dimostrare” (al Garante, ad eventuali organi ispettivi o giurisdizionali o agli stessi interessati al dato) che le misure adottate siano idonee a garantire il rispetto del regolamento: rimane, pertanto, di fatto, una sorta di obbligo di rendicontazione.

 

[1] art. 24 GDPR – Responsabilità del titolare del trattamento. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

[2] art. 25 GDPR – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona