APPROCCIO BASATO SUL RISCHIO E
MISURE DI ACCOUNTABILITY (RESPONSABILIZZAZIONE) DI TITOLARI E RESPONSABILI
COSA
CAMBIA?
Il
regolamento pone con forza l’accento sulla
“responsabilizzazione” (accountability nell’accezione inglese) di
titolari e responsabili – ossia, sull’adozione di
comportamenti proattivi e tali da dimostrare la concreta adozione di misure
finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del
regolamento). Si tratta di una grande novità per la protezione dei
dati in quanto viene affidato ai titolari il compito di decidere autonomamente
le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto
delle disposizioni normative e alla luce di alcuni criteri specifici indicati
nel regolamento.
Il
primo fra tali criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (si veda art. 25), ossia dalla necessità di
configurare il trattamento prevedendo fin dall’inizio le garanzie
indispensabili “al fine di soddisfare i requisiti” del regolamento e
tutelare i diritti degli interessati – tenendo conto del contesto complessivo
ove il trattamento si colloca e dei rischi per
i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte,
prima di procedere al trattamento dei dati vero e proprio (“sia al momento
di determinare i mezzi del trattamento sia all’atto del trattamento
stesso”, secondo quanto afferma l’art. 25(1) del regolamento) e richiede,
pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari
che devono sostanziarsi in una serie di attività specifiche e
dimostrabili.
Fondamentali
fra tali attività sono quelle connesse al secondo criterio individuato nel
regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente
al trattamento. Quest’ultimo è da intendersi come rischio di
impatti negativi sulle libertà e i diritti degli interessati (si vedano considerando 75-77); tali impatti dovranno
essere analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36) tenendo conto dei rischi noti
o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza)
che il titolare ritiene di dover adottare per mitigare tali rischi (si
segnalano, al riguardo, le linee-guida in materia di valutazione di impatto
sulla protezione dei dati adottate dal Gruppo “Articolo 29”, qui
disponibili: www.garanteprivacy.it/regolamentoue/DPIA).
All’esito di questa valutazione di impatto il titolare potrà decidere in
autonomia se iniziare il trattamento (avendo adottato le misure idonee a
mitigare sufficientemente il rischio)
ovvero consultare l’autorità di controllo competente per ottenere indicazioni
su come gestire il rischio residuale;
l’autorità non avrà il compito di “autorizzare” il trattamento, bensì
di indicare le misure ulteriori eventualmente da implementare a cura del
titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi
dell’art. 58: dall’ammonimento del titolare fino alla limitazione o al divieto
di procedere al trattamento.
Dunque, l’intervento delle autorità di controllo
sarà principalmente “ex post”, ossia si collocherà successivamente
alle determinazioni assunte autonomamente dal titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti
previsti dalla direttiva del 1995 e dal Codice italiano, come
la notifica preventiva dei trattamenti all’autorità
di controllo e il cosiddetto prior
checking (o verifica preliminare: si veda art. 17
Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da
parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di
impatto in piena autonomia, con eventuale successiva consultazione
dell’Autorità, tranne alcune specifiche situazioni di trattamento (vedi art.
36, paragrafo 5 del regolamento). Peraltro, alle autorità di controllo, e in
particolare al “Comitato europeo della protezione dei dati” (l’erede
dell’attuale Gruppo “Articolo 29”) spetterà un ruolo fondamentale al
fine di garantire uniformità di approccio e fornire ausili interpretativi e
analitici: il Comitato è chiamato, infatti, a produrre linee-guida e altri
documenti di indirizzo su queste e altre tematiche connesse, anche per
garantire quegli adattamenti che si renderanno necessari alla luce dello
sviluppo delle tecnologie e dei sistemi di trattamento dati.
Nei paragrafi seguenti si richiamano alcune delle principali novità in termini di
adempimenti da parte di titolari e responsabili del trattamento.
Registro
dei trattamenti
Tutti i titolari e i responsabili di trattamento, eccettuati gli organismi con
meno di 250 dipendenti ma solo se non effettuano trattamenti a rischio (si veda art. 30, paragrafo 5), devono tenere un
registro delle operazioni di trattamento i cui contenuti sono indicati all’art.
30. Si tratta di uno strumento
fondamentale non soltanto ai fini dell’eventuale supervisione
da parte del Garante, ma anche allo scopo di disporre di un quadro aggiornato
dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico – indispensabile per ogni valutazione e
analisi del rischio. Il registro deve avere forma scritta,
anche elettronica, e deve essere esibito su richiesta al Garante.
RACCOMANDAZIONI
La tenuta del registro dei
trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati
personali. Per tale motivo, si invitano tutti i titolari di
trattamento e i responsabili, a prescindere dalle dimensioni
dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro
e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e
delle rispettive caratteristiche – ove già non condotta. I contenuti del
registro sono fissati, come detto, nell’art. 30; tuttavia, niente vieta a un
titolare o responsabile di inserire ulteriori informazioni se lo si riterrà
opportuno proprio nell’ottica della complessiva valutazione di impatto dei
trattamenti svolti.
Misure
di sicurezza
Le misure di sicurezza devono “garantire un livello di sicurezza adeguato
al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e
non esaustiva (“tra le altre, se del caso”). Per
lo stesso motivo, non potranno
sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure
“minime” di sicurezza (ex art. 33
Codice) poiché tale valutazione sarà rimessa, caso per caso,
al titolare e al responsabile in rapporto ai rischi specificamente individuati
come da art. 32 del regolamento. Si richiama l’attenzione anche sulla
possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi
di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate.
Tuttavia, l’Autorità potrà valutare la definizione
di linee-guida o buone prassi sulla base dei risultati positivi conseguiti in
questi anni; inoltre, per alcune tipologie di trattamenti (quelli di cui
all’art. 6, paragrafo 1), lettere c) ed e) del regolamento) potranno restare in
vigore (in base all’art. 6, paragrafo 2, del regolamento) le misure di
sicurezza attualmente previste attraverso le disposizioni di legge volta per
volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili
svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel
rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove
questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.
Notifica
delle violazioni di dati personali
A partire dal 25 maggio 2018, tutti i titolari – e non soltanto i fornitori
di servizi di comunicazione elettronica accessibili al pubblico, come avviene
oggi – dovranno notificare all’autorità di controllo le violazioni di dati
personali di cui vengano a conoscenza, entro 72 ore e comunque “senza
ingiustificato ritardo”, ma soltanto se
ritengono probabile che da tale violazione derivino rischi per
i diritti e le libertà degli interessati (si veda considerando 85). Pertanto, la notifica
all’autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla
valutazione del rischio per
gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di
tale rischio è
elevata, si dovrà informare delle violazione anche gli interessati, sempre
“senza ingiustificato ritardo”; fanno eccezione le circostanze
indicate al paragrafo 3 dell’art. 34, che coincidono solo in parte con
quelle attualmente menzionate nell’art. 32-bis del Codice. I contenuti della notifica all’autorità e
della comunicazione agli interessati sono indicati, in via non esclusiva, agli artt. 33 e 34 del regolamento.
Si segnalano, al riguardo, le linee-guida in materia di notifica delle
violazioni di dati personali del Gruppo “Articolo 29”, qui
disponibili www.garanteprivacy.it/regolamentoue/databreach.
RACCOMANDAZIONI