Privacy

I nuovi principi dal "Regolamento Privacy" Accountability - Privacy by design - Privacy by default

| 17/10/2017 10:32

Il "Nuovo Regolamento Europeo" n. 2016/679 in materia di protezione dei dati personali (di seguito breviter anche RGDP) sarà direttamente applicabile in tutti i Paesi UE dal 25 maggio 2018. Tutti gli Stati membri dovranno quindi adoperarsi quanto prima al fine di allineare la normativa nazionale in materia di protezione dati alle disposizioni e novità previste dal Regolamento.

L'RGDP è parte del c.d. "Pacchetto protezione dati" che, insieme alla Direttiva n. 2016/680 in materia di "Trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini", sono volti a definire il nuovo quadro comune, in materia di tutela dei dati personali per tutti gli Stati membri della UE.
Il testo normativo del Nuovo Regolamento coinvolge tutti gli operatori che direttamente ed indirettamente si occupano di trattamento dei dati personali.
In un'ottica di maggiore responsabilizzazione dei soggetti incaricati del trattamento dei dati personali, il Legislatore comunitario ha inteso introdurre nella normativa, definendoli, il principio di accountability nonchè il principio di privacy by design e privacy by default.

Principio di Accountability
Responsabilizzazione è la parola chiave in tema di privacy scandita e ripetuta dal Nuovo Regolamento Europeo n. 2016/679, a cui sono chiamati ad adeguarsi in prima linea sia aziende e Pubblica Amministrazione.
Il Nuovo Regolamento introduce quindi il principio di accountability (o responsabilizzazione), volto ad una effettiva garanzia dell'interessato in un'ottica di massima trasparenza.
Esso prevede che al titolare del trattamento è affidato l'incarico di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati; a sua volta, il titolare deve essere quindi in grado di dimostrare di avere adottato misure giuridiche adeguate ed efficaci, organizzative e tecniche, per la protezione dei dati personali, elaborando specifici modelli organizzativi.
Specificatamente il Legislatore, per misure adeguate, intende che le misure adottate dal titolare debbano tenere conto del contesto e delle specifiche circostanze in cui avviene il trattamento; altresì per misure efficaci, il Nuovo Regolamento ha imposto agli addetti di adottare ex ante misure appropriate rispetto al trattamento effettuato ed una verifica ex post dell'efficacia delle misure stesse.
Il titolare del trattamento, deve altresì tenere un comportamento positivo e proattivo nell'effettuare un trattamento adeguato e conforme al Nuovo Regolamento europeo in materia di privacy.

ACCOUNTABILITY
(PRINCIPIO DI RESPONSABILIZZAZIONE)

L'accountability si compone prevalentemente di tre elementi.

Il primo è indubbiamente ricollegabile al principio di "trasparenza" inteso come garanzia della completa accessibilità alle informazioni, dei cittadini in quanto utenti del servizio.
Il secondo elemento è la "responsività" intesa come la capacità del titolare di rendere conto di scelte, comportamenti e azioni e di rispondere alle questioni poste dagli stakeholder.

Infine, il terzo elemento è riconducibile alla compliance, intesa come capacità di far rispettare le norme, sia nel senso di finalizzare l'azione pubblica all'obiettivo stabilito nelle leggi, che nel senso di fare osservare le regole di comportamento degli operatori.
Il fatto che il principio di responsabilizzazione sia stato introdotto esplicitamente all'interno del sistema giuridico europeo in materia di protezione di dati personali porta con sé due conseguenze importanti.

In primo luogo si assiste alla necessità per il titolare di attuare misure e procedure interne la cui finalità è quella di rendere effettivi i principi di protezione dei dati, assicurandone l'efficacia. Si può affermare a tal riguardo che l'accountability costituisce il "principio dei principi", come dimostra l'art. 30 del Regolamento che attribuisce al titolare (e al suo eventuale rappresentante) o al responsabile, l'obbligo di tenere un registro delle attività di trattamento svolte sotto la propria responsabilità, finalizzato a dimostrare la conformità di tutti i trattamenti ai principi enunciati nel RGDP.

In secondo luogo si osserva che l'introduzione dell'obbligo di dimostrare il rispetto dei predetti principi, qualora le autorità di protezione dei dati ne facciano richiesta, costituisce una ulteriore misura a garanzia del rispetto non solo dei principi cristallizzati all'art. 5 del Nuovo Regolamento (si pensi alla liceità, correttezza e trasparenza), ma anche del principio di responsabilizzazione stesso.

Alla luce di ciò, appare evidente che il Legislatore comunitario voglia imporre agli addetti al trattamento dei dati, di atteggiarsi nei confronti degli adempimenti privacy non più in termini meramente formali, ma con un approccio sostanziale, volto quindi a porre in essere reali e concrete misure di sicurezza, nonchè ad analizzare specificatamente i rischi a fronte delle progettazioni di servizi e programmi privacy.
Quindi, quello che l'RGDP prescrive, oltre che un assetto normativo, è anche (e soprattutto!) un nuovo approccio, un cambio culturale relativo al nucleo degli adempimenti previsti in ambito privacy.

A conferma di ciò, basti pensare, anche a quanto previsto dall'art. 37 del Nuovo Regolamento il quale dispone che debba essere nominato un responsabile di protezione dei dati (c.d. DPO "Data Protection Officer"). Tale previsione altro non è che una misura stessa di attuazione dell'accountability.

Infatti, il predetto articolo dispone che, per taluni tipi di trattamenti effettuati su larga scala o nel caso di soggetti pubblici, debba esserci un DPO che sorvegli l'osservanza degli obblighi derivanti dal RGDP in particolare con riferimento all'attribuzione delle responsabilità di cui all'art. 39 del Regolamento. Tale previsione sembra quindi voler dare piena attuazione alla necessità di combinare l'adozione di misure adeguate con la sorveglianza sulla loro efficacia, in modo da poter eventualmente comprovarla di fronte all'autorità di controllo, ma anche altresì, al fine ultimo di garantire che i trattamenti avvengano nel rispetto delle norme e dei principi stabiliti nel RGDP.

Pertanto, occorre quindi che tutti i soggetti individuati per il trattamento dei dati, tra i quali anche il DPO, alla luce del Nuovo Regolamento, ripensino attivamente alle modalità di gestione e di utilizzo dei dati e adattandosi pertanto ai nuovi istituti previsti con maggiore responsabilità.

Privacy by designe e privacy by default

Per definizione, il principio di privacy by design è volto a tutelare il dato protetto "sin dal momento della progettazione"; mentre il principio di privacy by default è volto a tutelare la vita privata per "impostazione predefinita".

Per garantire il rispetto dei suddetti principi, il titolare del trattamento è tenuto quindi ad adottare politiche interne, nonchè attuare misure tecniche e organizzative adeguate.
Entrambi i principi intendono impartire agli addetti al trattamento dati un'idea di privacy c.d. "tecnologica"; pertanto il Legislatore comunitario vuole sensibilizzare gli Stati ad adottare strumenti volti a progettare sistemi di raccolta dati e software per garantire più semplicemente, grazie all'utilizzo della tecnologia, il pieno rispetto dei principi sanciti nel Regolamento.

In particolare, individuando il principio di privacy by design, la normativa comunitaria indica agli addetti al trattamento che è necessario tutelare i dati sin dalla fase di sviluppo, progettazione, selezione nonchè utilizzo di applicazioni, servizi e prodotti per il trattamento di dati personali.
In altre parole, ove il titolare intenda trattare dati altrui, deve già aver previsto un sistema che sin dall'inizio dell'attività, limiti possibili violazioni dei dati raccolti.

Invero, l'istituto introdotto dal Regolamento di privacy by design ruota intorno al principio secondo cui l'attività privacy non va interpretata come un onere per l'attività imprenditoriale ma, al contrario, come un vantaggio per migliorare la competitività; per tali ragioni, un responsabile utilizzo della tecnologia, non può che essere un valido supporto per la riduzione dei rischi di eventuali evasione dei dati raccolti.

Il principio di privacy by design va definito quindi come una ulteriore modalità di riduzione del trattamento ex ante, costituito dalla creazione di prodotti e servizi che tengano conto, sin dalla loro progettazione, delle regole e dei principi della protezione dei dati, in modo da minimizzare a priori non solo la raccolta dei dati ma anche i trattamenti successivamente effettuati.
Invece, il principio di privacy by default statuisce che il titolare debba attuare specifiche misure che garantiscano un idoneo trattamento dei dati, che deve esser personalizzato, a seconda delle finalità e del tipo di operazioni da porre in essere. Tale obbligo varia a seconda della quantità dei dati personali raccolti, della portata del trattamento nonchè del periodo di conservazione e dell'accessibilità.

Il responsabile del trattamento deve garantire che siano trattati di default solo i dati personali necessari per ciascuna finalità specifica del trattamento; e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non devono andare oltre il minimo necessario per le finalità perseguite. Dunque, la minimizzazione costituisce una misura di riduzione del trattamento by default finalizzata a impostare a priori la massima protezione dei dati attraverso il loro minimo trattamento, sia in fase di raccolta sia in fase di trattamento successivo all'acquisizione dei dati personali, secondo i principi di necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità.

Detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali a un numero indefinito di persone e che gli interessati siano in grado di controllare la distribuzione dei propri dati personali.

Anche in relazione a tale principio quindi, come per quanto previsto per la privacy by design, chiara è l'attenzione rivolta dal Legislatore a sensibilizzare gli addetti privacy ad un equilibrato ma necessario utilizzo della tecnologia, calibrato ovviamente dall'intervento personale degli addetti al fine di evitare qualsiasi stortura del trattamento.

In conclusione, il Regolamento promuove un'idea di privacy nuova e più tecnologica, incentrata sulla responsabilizzazione degli addetti al trattamento con riguardo agli adempimenti previsti.
Una privacy tecnologica così come tratteggiata dal Legislatore comunitario è volta quindi da un lato a semplificare gli adempimenti sul trattamento dei dati, da altro lato, è indirizzata ad evitare eventuali dispersioni ed illecite esposizioni dei dati personali altrui, al fine di garantire il completo rispetto dei principi cristallizzati nel Regolamento.