Siamo al settimo appuntamento con la rubrica di approfondimento riguardante il nuovo Regolamento europeo in materia di protezione dei dati personali e alle Linee Guida del Garante della Privacy, volta a fornire agli operatori del settore alcuni chiarimenti in merito alle principali novità del Regolamento.
Quest’occasione costituirà un interessante spunto per approfondire l’approccio basato sul rischio del GDPR e le “applicazioni” del principio di responsabilizzazione di titolari e responsabili del trattamento (cd. principio di accountability). Saranno pertanto analizzati, con una visione d’insieme, alcuni importanti adempimenti e misure. Questi sono rilevanti non solo in quanto costituiscono una novità nel “mondo della privacy” ma anche perché, per il loro rispetto, servirà talvolta mutare l’organizzazione interna delle aziende che trattano dati personali.
Misure di sicurezza
Il Regolamento (articolo 24) stabilisce che il titolare del trattamento debba prevedere misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR e, in particolare, ai principi dallo stesso stabiliti (tra gli altri, principio di liceità, correttezza e trasparenza).
Nella scelta delle misure, il titolare deve tenere conto di alcuni fattori, quali la natura e le finalità del trattamento, e i rischi per i diritti e le libertà delle persone fisiche. Differentemente dal Codice della privacy, nel GDPR non esiste una lista di “misure minime” obbligatorie da adottare: la scelta delle misure tecniche e organizzative, al fine di garantire un livello di sicurezza adeguato al rischio, è lasciata interamente al titolare del trattamento.
Il GDPR, tuttavia, contiene un’elencazione, aperta e non esaustiva, di misure: i) la pseudonimizzazione e cifratura dei dati personali; ii) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; iii) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; iv) il ricorso ad una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Data protection by design e by default: articolo 25
Per garantire (e poter dimostrare) il rispetto delle prescrizioni del GDPR, il titolare “dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default” (Considerando 78).
Per protezione dei dati sin dalla progettazione (privacy by design) s’intende l’implementazione, da parte del titolare, della disciplina concernente la protezione dei dati personali, fin dalla fase di progettazione (ad es. del futuro software), con lo scopo di ridurre il trattamento in via preventiva, tenendo conto non solo dello stato dell’arte e dei costi di attuazione, ma anche della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche. Lo scopo è la creazione di prodotti, applicazioni e servizi che tengano conto delle regole e dei principi di protezione dei dati, al fine di minimizzare a priori il trattamento.
La protezione per impostazione predefinita (privacy by default), invece, consiste nell’attuazione di misure tecniche e organizzative per garantire che, fin dalla raccolta, vengano trattati solamente i dati personali necessari per ogni specifica finalità perseguita. Il fornitore del servizio deve offrire all’interessato un prodotto le cui impostazioni di default garantiscano il massimo livello possibile di tutela della privacy. Le misure tecniche e organizzative (come la pseudonimizzazione o la minimizzazione) devono garantire che, per impostazione predefinita, “non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.
Valutazione d’impatto sulla protezione dei dati
Un’altra importante novità del GDPR è la valutazione, effettuata dal titolare del trattamento (in seguito ad una consultazione con il Data Protection Officer, se nominato), dell’impatto dei trattamenti previsti sulla protezione dei dati personali nel caso in cui una tipologia di trattamento (quando preveda in particolare l’uso di nuove tecnologie) considerando “la natura, l’oggetto, il contesto e le finalità del trattamento” possa “presentare un rischio elevato per i diritti e le libertà delle persone fisiche”. Anche l’esecuzione della valutazione d’impatto sulla protezione dei dati, da effettuare prima di procedere al trattamento al fine di valutare probabilità e gravità dei suoi rischi per le persone, costituisce una misura di attuazione del principio di accountability. La valutazione ha lo scopo di identificare e gestire i rischi connessi ad uno specifico trattamento che si vuole affrontare, in modo da poter individuare preventivamente delle misure adeguate per affrontarli.
La valutazione deve contenere almeno: i) la descrizione sistematica dei trattamenti e delle finalità; ii) la valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; iii) la valutazione dei rischi per i diritti e le libertà degli interessati; iv) le misure previste per affrontare i rischi, le garanzie, le misure di sicurezza e i meccanismi necessari per garantire la protezione dei dati personali e dimostrare la conformità al GDPR del trattamento che si vuole porre in essere.
La valutazione d’impatto è obbligatoria in caso in cui il titolare ponga in essere: i) una valutazione sistematica e globale di aspetti personali, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono significativamente sulle persone; ii) un trattamento, su larga scala, di dati sensibili o di dati relativi a condanne penali e a reati; iii) una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Il Garante sarà incaricato di individuare una serie di specifici trattamenti che saranno soggetti all’obbligo di valutazione d’impatto.
Registro delle attività di trattamento
Ai sensi dell’articolo 30 del GDPR, ogni titolare del trattamento deve tenere un registro delle attività di trattamento svolte sotto la propria responsabilità.
Il registro deve contenere: i) il nome e i dati di contatto del titolare del trattamento (e, se applicabile, del contitolare del trattamento, del rappresentante del titolare e del DPO); ii) le finalità del trattamento; iii) una descrizione delle categorie di interessati e delle categorie di dati personali; iv) le categorie di destinatari a cui i dati personali sono stati (o saranno) comunicati; v) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale; vi) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; vii) ove possibile, una descrizione delle misure di sicurezza tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Anche i responsabili dei trattamenti sono obbligati a tenere un registro dei trattamenti, contenente perlopiù le suddette informazioni (si veda, l’articolo 30, comma 2), per tutti i trattamenti che essi effettuano per conto del titolare.
Tali registri – da tenere in forma scritta, anche in formato elettronico – dovranno essere messi a disposizione del Garante, per permettergli di monitorare i trattamenti, e servono al titolare del trattamento per dimostrare la conformità dei trattamenti effettuati al GDPR, nonché l’avvenuta adozione di misure di sicurezza adeguate ed efficaci. Saranno inoltre utili ai titolari (o responsabili) stessi, in quanto potranno offrire loro una panoramica completa di tutte le attività di trattamento poste in essere. Non sono obbligati a tenere il registro dei trattamenti le imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento: i) possa presentare un rischio per i diritti e le libertà dell’interessato; ii) non sia occasionale o iii) includa il trattamento di categorie particolari di dati (ossia i cd. “dati sensibili”) o di dati personali relativi a condanne penali e a reati.
Notifica delle violazioni di dati personali
Il GDPR impone a tutti i titolari la notificazione all’autorità di controllo delle violazioni di dati personali – e, cioè, le violazioni di sicurezza che comportano distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali – senza ingiustificato ritardo e, se possibile, entro 72 ore dal momento in cui il titolare ne ha avuto conoscenza. La notificazione non deve essere effettuata se è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche: anche in tali casi, tuttavia, la violazione deve essere documentata (insieme alle circostanze e conseguenze della stessa e i provvedimenti adottati).
L’obbligo di notifica è in capo a tutti i titolari: è questa una delle novità rispetto al Codice della privacy che, attualmente, la impone ai soli fornitori di servizi di comunicazione elettronica accessibili al pubblico. La notifica deve almeno: descrivere la natura della violazione, comunicare i dati di contatto del DPO, descrivere le probabili conseguenze della violazione e le misure adottate (o delle quali si propone l’adozione) per porvi rimedio.
In taluni casi – quando la violazione può presentare un rischio elevato per i diritti e le libertà delle persone fisiche – deve essere effettuata, senza ingiustificato ritardo, anche la comunicazione agli interessati. Essa non è dovuta se: i) il titolare ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione (ad es. la cifratura); ii) il titolare ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati; iii) la comunicazione richiederebbe sforzi sproporzionati (in tal caso, si procede ad una comunicazione pubblica).
Conclusioni
Quanto sopra elencato può essere tutto ricondotto al nuovo principio di accountability, che permea il GDPR ed è il risultato, per certi versi, anche in una semplificazione dell’approccio al trattamento dei dati personali: non più “calato dall’alto” secondo una logica di rispetto di misure “minime” e obblighi di notifica al Garante, ma inserito in un’ottica di responsabilizzazione di tutti coloro che vengono coinvolti nel trattamento dei dati personali.
Dipartimento ICT&IP – Studio Legale DGRS
——————————————————————————————————————————————-
Di seguito alcuni link utili per approfondire l’argomento:
Linee guida del Garante della Privacy Italiano
Guida sintetica del Garante della Privacy al GDPR
Sintesi del Regolamento GDPR sul sito EUR-Lex (Banca dati ufficiale della normativa europea)
