Abbiamo ripetuto diverse volte che il GDPR costituisce una svolta di portata epocale nella tutela dei dati personali, in quanto non solo introduce una serie di novità normative (il DPO, la DPIA; il principio di data protection by design e by default); ma soprattutto perché getta le basi per un cambio radicale di mentalità. Come dice in prof. Franco Pizzetti, professore emerito di diritto costituzionale all’Università di Torino ed ex Garante della Privacy, il GDPR è prima di tutto una metodologia e l’errore più grande che si può fare è considerarlo una mera fonte di adempimenti burocratici.
Il concetto di accountability
In questa rubrica tentiamo di fornire un approccio pratico alle “cose da fare per essere in regola”, ma la tensione deve o dovrebbe essere sempre e solo una: l’ambizione, per l’Ente locale ad arrivare ad essere accountable. Come per la digitalizzazione della Pubblica Amministrazione, una chimera di cui si parla di continuo, così anche per la normativa sulla protezione dei dati è necessario operare su più livelli: formazione, educazione, adempimenti, mentalità, approccio, il tutto mirato al raggiungimento della “famigerata” accountability.
Di accountability abbiamo già lungamente disquisito: si tratta di un principio che rappresenta il passaggio dalla forma alla sostanza, da una visione formale di “applicazione di misure minime” (quale era quella che si fondava sul d.lgs. 196/2003) all’introduzione di un sistema basato sul rischio di misure adeguate, senza un elenco predefinito di adempimenti precisi (cosa che rende tutto più complesso e sfuggente), ma basato sull’analisi dell’organizzazione propria di ogni Ente e sulla successiva predisposizione di misure tecniche e organizzative “su misura”.
L’Ente non solo deve attuare misure tecniche ed organizzative, ma altresì deve essere in grado di dimostrare di averlo fatto: questa è l’essenza del principio di accountability, tradotto in italiano con responsabilizzazione, un termine non errato ma incompleto: responsabilizzazione e rendicontazione, forse, sarebbero maggiormente significativi del vero spirito del principio di accountability.
L’essenza del principio l’accountability è duplice:
- da una parte, c’è il rispetto sostanziale dei principi del GDPR: il titolare del trattamento deve adottare “misure adeguate ed efficaci” per garantire che il trattamento dei dati sia effettuato in modo conforme al Regolamento. La responsabilità del titolare non si limita al realizzare misure adeguate, ma si estende anche alla sistematica verifica della loro efficacia.
- dall’altra, egli deve essere in grado di dimostrare l’adeguatezza delle misure realizzate.
Allo stesso modo, duplice è il meccanismo che regola l’accountability:
- il primo livello è costituito dagli obblighi di base, vincolanti per tutti i titolari di trattamento; ai quali questi sono tenuti ad adeguarsi al fine di garantire il rispetto dei principi del Regolamento, anche per evitare l’irrogazione di sanzioni. Questi obblighi comprendono due elementi fondamentali: l‘attuazione di misure tecniche e organizzative e la documentazione di tale attuazione.
- Il secondo livello è invece composto da tutte quelle iniziative di natura volontaria, che il titolare può effettuare anche se non sono previste come cogenti dalla normativa, come espressione di un comportamento proattivo che fonda il principio in analisi.
Ma quali sono nella pratica le misure che l’Ente titolare deve attuare?
Purtroppo, non esiste un elenco preciso di tali misure: non dimentichiamo che stiamo parlando di una legge europea, di un Regolamento, che si applica in maniera identica a tutti gli Stati dell’Unione e che, pertanto, si limita a statuire principi, che in ogni singolo Paese saranno attuati in armonia con le leggi preesistenti e con il sistema giuridico e normativo già esistente.
La normativa in materia di protezione dei dati lascia che il titolare del trattamento sia libero di decidere
- quali siano le finalità del trattamento, i mezzi che ritiene opportuni per raggiungerle e le misure di sicurezza da impiegare;
- quali siano le “misure adeguate ed efficaci” da intraprendere per garantire che il trattamento dei dati sia effettuato in conformità al Regolamento, senza che debba più attuare obbligatoriamente specifiche misure tecniche ed organizzative imposte dal legislatore.
Da un lato, l’Ente titolare ha quindi il vantaggio di poter decidere in autonomia che cosa fare, fino ad arrivare al paradosso di decidere, più o meno consapevolmente, di non fare nulla; dall’altro, è evidente, il rischio di sanzioni aumenta, proprio in considerazione della “troppa libertà” lasciata ai singoli titolari.
Quindi, che cosa fare nella pratica?
Ecco una serie di punti pratici e concreti che ciascun Ente titolare di trattamento dovrebbe valutare di attuare per garantire che la tutela dei dati trattati sia in linea con il principio di accountability.
L’Ente titolare dovrebbe:
- mappare i trattamenti di dati che svolge e le categorie di dati personali che tratta all’interno dell’organizzazione, individuando quelli necessari rispetto alle finalità che persegue, tralasciando quelli superflui e, in conseguenza di questa mappatura, redigere e aggiornare il registro delle attività di trattamento;
- nominare il Data Protection Officer, un soggetto indipendente, dotato di una conoscenza specialistica in materia di protezione dei dati personali che potrà, così, fornire consulenza circa gli obblighi derivanti dalla normativa in materia di protezione dei dati, sorvegliare sull’osservanza al GDPR delle politiche del titolare del trattamento in materia di privacy, fornire un parere sulle valutazioni di impatto (dpia) e fungere da punto di contatto con il Garante Privacy. Il DPO dovrebbe essere adeguatamente supportato e retribuito;
- definire la data retention (cioè il principio di massima conservazione dei dati) per le singole categorie di dati oggetto di trattamento, conformemente al principio di limitazione della conservazione dei dati personali;
- effettuare l’analisi dei rischi;
- documentare tutte le misure tecniche ed organizzative di sicurezza che ha scelto di attuare;
- prevedere procedure in materia di protezione dei dati che coinvolgano tutti i soggetti che all’interno dell’organizzazione trattano dati, attribuendo ruoli, compiti e individuando le responsabilità (ad esempio la password policy, la procedura di inserimento di nuove risorse e di cessazione del personale ecc);
- prevedere attività di audit;
- formare il personale circa l’importanza della normativa in materia di protezione dei dati, stabilendo un capitolo di spesa specifico allo scopo;
- condurre una DPIA, quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate perché il titolare del trattamento non è tenuto solo a garantire l’osservanza delle disposizioni del GDPR ma anche a dimostrare come garantisce questa osservanza; alcuni trattamenti prevedono obbligatoriamente la DPIA, come il trattamento di video sorveglianza ad esempio
- vincolare eventuali terze parti ai quali verranno trasferiti i dati, a garantire un livello di tutela equivalente a quello assicurato;
- informare gli interessati del verificarsi di eventuali violazioni e le misure adottate per porvi rimedio;
- redigere e tenere aggiornato il registro delle violazioni, anche quando non sia necessario effettuare la notifica al Garante dell’accaduto;
- fornire informazioni chiare e trasparenti agli interessati, anche per quel che riguarda l’esercizio dei loro diritti, sulla base di una procedura.
Molti di questi passaggi sono stati analizzati negli articoli passati, altri li vedremo nel corso delle prossime settimane, con lo scopo di fornire agli Enti una consulenza pratica, concreta, utile da attuare subito al proprio interno per mettere in pratica nella maniera più semplice e razionale possibile l’importante principio di accountability su cui si fonda l’intera normativa in vigore sulla protezione dei dati.
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento