Privacy Accountability e linee guida del Garante: tra responsabilizzazione e dimostrabilità ai sensi del nuovo regolamento generale sulla protezione dei dati

Il Regolamento Generale sulla Protezione dei dati introdotto con Regolamento CEE 679/2016 non è solo la tanto attesa risposta all’esigenza di predisporre una disciplina unitaria sul trattamento dei dati che si adegui al sempre più esteso processo di digitalizzazione globale – ruolo che l’ormai sorpassata direttiva 95/46/CE non era più in grado di garantire – ma è innanzitutto il mezzo con cui il legislatore Europeo, mutando completamente impostazione rispetto al passato, propone un articolato scenario normativo in materia di privacy prevalentemente incentrato sul processo di responsabilizzazione  – c.d. principio di “Accountability” sancito dall’art. 24 – dei soggetti titolari e responsabili del trattamento nella gestione dei dati.

Il testo del GDPR, ribadendo in prima battuta i principi generali in materia di raccolta, conservazione e trattamento dei dati (art. 5), pone infatti la sua maggiore attenzione sull’individuazione dei processi, attività, misure tecniche e organizzative, sanzioni e obblighi del titolare e responsabile del trattamento – accordandogli la facoltà di autodeterminarsi nella scelta – prevedendo che gli stessi “dovrebbero” tenere degli appositi e distinti registri, da mettere a disposizione dell’Autorità di controllo (cfr. considerando n.82), diretti a dimostrare, la conformità al regolamento delle attività di trattamento effettuate sotto la propria responsabilità.

Il registro delle attività di trattamento del titolare e del responsabile – che devono essere rispettivamente redatti, monitorati ed aggiornati secondo criteri unitari tali da garantirne la coerenza strutturale e funzionale, anche in ottica ispettiva – costituiscono quindi la misura organizzativa diretta a garantire un corretto ciclo di gestione degli adempimenti previsti, nonché lo strumento chiave su cui si fonda il principio di dimostrabilità imposto dal regolamento.

In particolare il titolare, rispetto al responsabile ed agli eventuali incaricati, dovrà farsi parte diligente nella gestione complessiva del trattamento, richiedendo al responsabile l’esibizione del proprio registro per verificare la compliance con il regolamento delle attività effettuate, come previsto dall’art. 28 comma 3 lett. h) – compito riservato al DPO ex art. 39 comma 1 lett. B) in caso di designazione obbligatoria – cfr. art. 37 comma 1) – ferma restando la responsabilità solidale tra titolare e responsabile nei confronti dell’interessato per eventuali danni causati nell’ambito dello stesso trattamento.

Si badi bene che l’obbligo normativo di tenuta dei registri, nonostante sia riservato solo a determinate realtà aziendali (art. 30 comma 5), in concreto si estende a tutti coloro che effettuano attività di trattamento, avendo il principio di dimostrabilità, su cui si fonda l’intera normativa, una portata ampia e generale.

La disciplina specifica dei registri delle attività di trattamento, la cui struttura e modalità di attuazione viene lasciata alla discrezionalità dei soggetti interessati – salvo l’onere di dimostrare l’iter logico che ha portato ad assumere una determinata impostazione e le ragioni per cui la stessa venga ritenuta idonea a soddisfare la normativa – è contenuta nell’art. 30 del GDPR, recante le prescrizioni applicative e l’elenco degli elementi tassativi e delle informazioni relative alle attività di trattamento.

Al fine di adempiere alle prescrizioni regolamentari, la documentazione attestante la compliance con la normativa europea dovrà essere estremamente intellegibile ed improntata su una roadmap strutturata mediante:

  • Un’analisi preliminare dell’organizzazione dell’attività, elencazione dei servizi esternalizzati, elenco soggetti terzi coinvolti nel trattamento, monitoraggio e gestione adempimenti per il trasferimento dei dati all’estero, mappatura dei processi, censimento dei trattamenti dei dati personali;
  • L’individuazione dei ruoli e delle responsabilità in capo ai soggetti coinvolti nel trattamento, informazioni sulla base giuridica del trattamento (seppur non obbligatoria, estremamente utile per predisporre una corretta documentazione informativa ex art. 13), le procedure per l’esercizio dei diritti dell’interessato;
  • La definizione delle politiche di sicurezza e della valutazione dei rischi per ogni servizio e applicativo – mediante indicazione degli strumenti tecnologici impiegati (strumenti MDM (Mobile Data Management), sistemi DLP (Data Loss Prevention), Content Filtering, sistemi di log retention), modalità e tempi di conservazione e cancellazione dei dati;
  • L’adozione di misure tecniche per garantire un livello di sicurezza adeguata al rischio ex art. 32.

Fatte queste premesse, per chi si chiede come regolarsi nella pratica, il Garante per la Privacy ha pubblicato una prima Guida all’applicazione del Regolamento UE 2016/679 che traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.

L’obiettivo della Guida è quello di offrire un primo supporto coloro che stanno affrontando il passaggio alla nuova Normativa Privacy e nel contempo far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida applicativa al nuovo GDPR è articolato in 6 sezioni tematiche:

  1. Fondamenti di liceità del trattamento;
  2. Informativa;
  3. Diritti degli interessati;
  4. Titolare, responsabile, incaricato del trattamento;
  5. Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
  6. Trasferimenti internazionali di dati.

La responsabilizzazione (“accountability”) è uno dei punti chiave del nuovo GDPR ed entra in gioco al punto 5, che precisa che è necessario che i titolari e i responsabili adottino di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Non vengono specificati i comportamenti, viene invece affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

In particolare, è necessario che il titolare implementi la protezione dei dati “by design”, cioè intrinsecamente in ogni fase della gestione, così da garantire che vengano soddisfatti i requisiti del regolamento e tutelare i diritti degli interessati.

Altro elemento chiave è la valutazione del rischio d’impatti negativi sulle libertà e i diritti degli interessati derivante dal trattamento informatico e tenuto conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

Si rileva quindi lo spostamento del controllo in un momento successivo, riducendo se non eliminando il potere “autorizzativo” del Garante che dovrà limitarsi a indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58 come ammonimento del titolare o limitazione/divieto a procedere per il trattamento.

Venendo a mancare il titolo di controllo preventivo o autorizzazione che diventa invece un intervento di verifica di quanto il titolare e il DPO hanno progettato e realizzato, vengono a mancare anche alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), che vengono sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia.

Per chi si chiede dove siano finite le “Misure Minime di Sicurezza” che per tanti informatici sono stati la base su cui costruire un sistema conforme, dopo il 25 maggio non vi saranno obblighi di adozione di misure “minime” di sicurezza, poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.

A cura di: Jacopo Giunta e Paolo Dal Checco

La fonte originale dell’articolo Privacy Accountability e linee guida del Garante: tra responsabilizzazione e dimostrabilità ai sensi del nuovo regolamento generale sulla protezione dei dati è ICT Security Magazine.