Regolamento privacy UE: la sicurezza del trattamento

di Avv. Marco Soffientini, Docente Università degli Studi di Roma UnitelmaSapienza; esperto di Privacy e Diritto delle Nuove Tecnologie; Privacy Officer certified in accordo a ISO/IEC 17024:2003; Coordinatore Nazionale Comitato Scientifico Federprivacy; membro dell’Istituto Italiano per la Privacy; membro Comitato di Delibera TUV Italia per lo schema CDP e docente Ethos Academy www.academy.ethosmedia.it

Come evidenziato dalla nostra Autorità Garante per la protezione dei dati personali, il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili, ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del nuovo Regolamento UE 2016/679, entrato in vigore a maggio 2016, ma che troverà piena applicazione a partire dal 25 maggio 2018. Si tratta di una grande novità per la protezione dei dati, in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici, indicati nel regolamento.

Il primo, fra tali criteri, è sintetizzato dall’espressione inglese “data protection by default and by design” (si veda art. 25) e consiste nella necessità di configurare il trattamento prevedendo, fin dall’inizio, le garanzie indispensabili a tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca.

PRIMA...

Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso”), secondo quanto afferma l’art. 25 del regolamento e richiede, pertanto, ai titolari, un’analisi preventiva e un impegno applicativo, che devono sostanziarsi in una serie di attività specifiche e dimostrabili. Fra tali attività, sono fondamentali proprio quelle connesse al secondo criterio individuato nel regolamento, ossia quelle inerenti il rischio del trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati. Si pensi, ad esempio, ad un trattamento di dati personali costituito dalle immagini di un impianto di videosorveglianza in ambito lavorativo. Questi impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36), tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare i rischi. Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1).

E DOPO

Una volta che il titolare del trattamento ha condotto un adeguato risk assessment, potrà optare per:

• mitigare il rischio, introducendo azioni correttive o miglioramenti nei vari trattamenti;

• trasferire il rischio condividendolo con outsourcer scelti secondo parametri di serietà e professionalità;

• accettare il rischio tenendolo sotto controllo con periodici audit.

In questo quadro - come ha evidenziato l’Autorità Garante nelle recenti linee guida interpretative del nuovo regolamento UE 2016/679 - l’intervento delle autorità di controllo sarà principalmente “ex post”, ossia si collocherà successivamente alle determinazioni assunte autonomamente dal titolare; ciò spiega l’abolizione a partire dal 25 maggio 2018 di alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia.