Privacy

Il Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ) n. 679/2016, ha esplicitamente introdotto il principio anglosassone della “accountability”.

Per comprendere, però, cosa voglia dire, al di là della semplice letterale traduzione in responsabilità rafforzata, dobbiamo leggere il documento “Opinion 3/2010 on the principle of accountability” redatto al gruppo di lavoro articolo 29 il 13 luglio 2010 [1].

I due principi della responsabilità del titolare del trattamento dei dati

Qui, viene esplicitato come la accountability « si concentrerebbe su due elementi principali :

• la necessità per un responsabile del trattamento di adottare misure appropriate ed efficaci per attuare i principi di protezione dei dati;
• la necessità di dimostrare su richiesta [ delle Autorità di Controllo ] che sono state adottate misure appropriate ed efficaci sono state adottate ».

In buona sostanza, per il titolare del trattamento è necessario « definire e attuare le misure necessarie per garantire il rispetto dei principi e degli obblighi della Direttiva 679/2016 e di verificare periodicamente la loro efficacia ».

La “cassetta degli attrezzi” del titolare del trattamento dei dati

Per realizzare tali risultati è sicuramente necessario « assegnare risorse sufficienti per la gestione della privacy » e quindi costruire una « cassetta degli attrezzi ».

Questa potrebbe essere composta da una serie di elementi, quali:

• « la designazione di persone responsabili dell’organizzazione della protezione dei dati »;

nonché la creazione di :

• « procedure per assicurare l’identificazione di tutti i trattamenti di dati »;
• « procedure per gestire le richieste di accesso, correzione e cancellazione »;
• « un meccanismo interno di gestione dei reclami »;
• « procedure interne per la gestione efficace e la segnalazione di violazioni della sicurezza »;
• « procedure di verifica per garantire che tutte misure non esistano solo sulla carta, ma che siano attuate e funzionino in pratica (audit interni o esterni, ecc.) ».

L’accountability salvaguarda il titolare del trattamento dalle sanzioni

Si tratta di misure idonee a poter dimostrare l’adeguatezza dei propri processi di conformità; sarà il primo parametro di misura delle nuove temibili sanzioni.

Occorre qui ricordare gli articoli 77 e 82 del GDPR.

La prima norma statuisce che « l’interessato che ritenga che il trattamento che lo riguarda violi il Regolamento ha il diritto di proporre reclamo a un’Autorità di controllo ».

La seconda, invece, ricorda come « chiunque subisca un danno materiale o immateriale causato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno ».

In particolare, « ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato ».

L’articolo 83 del GDPR spiega che, quando si tratta di « decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa », la predisposizione e il rispetto di norme di protezione dei dati e delle procedure previste dal GDPR hanno un impatto positivo per l’Autorità di controllo.

Si terrà conto, infatti:

• « delle misure tecniche e organizzative da essi messe in atto »;
• nonché « se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione »; ovvero se l’Autorità di Controllo è venuta a conoscenza della violazione da parte del titolare del trattamento ovvero da parte dell’interessato.

In definitiva, questa valuterà « il carattere doloso o colposo della violazione ».

Al giorno d’oggi, stiamo assistendo al cosiddetto effetto diluvio di dati, dove la quantità di dati personali che esistono, sono trattati e vengono ulteriormente trasferiti continua a crescere. La quantità sempre crescente di informazioni personali è accompagnata da un aumento del suo valore in termini sociali, politici ed economici. In alcuni settori, in particolare nell’ambiente online, i dati personali sono diventati di fatto la moneta di scambio per i contenuti online.

Queste considerazioni dovrebbero imporre a chiunque gestisca dati personali a riflettere sulla completa e corretta implementazione del GDPR nella propria azienda [2].

Purtroppo, a riguardo, le aziende italiane sono in grave ritardo [3]. Sembrerebbe che nel nostro paese solo il 21% d’esse sarebbe conforme al GDPR.

–

Fonti e Note:

[1] WP173, 13 luglio 2010, Opinion 3/2010 on the principle of accountability [PDF, EN]

[2] Il Regolamento Europeo 679/2016 non incide sulla già esistente direttiva 2002/58/CE relativa al “trattamento dei dati personali dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche” cui, pure, occorrerà dare seguito.

[3] Privacy.it, 30 settembre 2019, “GDPR, aziende italiane in grave ritardo: in regola solo 1 su 5”.

>>> Link d’approfondimento: Garante della Privacy ed European Data Protection Board.

Secondo l’articolo 15 del GDPR, ovvero del Regolamento Generale sulla Protezione dei Dati Personali n. 679/2016, tra i diritti dell’interessato c’è quello « di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali ».

In tale eventualità, « il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento », previa, in caso di dubbi, identificazione dell’interessato.

La risposta alla richiesta di accesso ai dati dell’interessato

Tuttavia, è possibile opporsi alla richiesta e rifiutarsi di fornire copia dei dati in due occasioni, quando:

• « la richiesta lede i diritti e le libertà altrui »;
• la richiesta è « manifestamente infondata o eccessiva ».

Naturalmente, « incombe sul titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta ».

In entrambe le circostanze, il titolare del trattamento, di norma « entro un mese dal ricevimento della richiesta stessa », fornisce i dati personali richiesti ovvero informa « dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’Autorità di controllo e di proporre ricorso giurisdizionale ».

E’ importante precisare che le informazioni e comunicazioni fornite « sono gratuite », o, al più, si potrà « addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti ».

Gli altri diritti dell’interessato

L’interessato al trattamento dei dati personali, inoltre, ha diritto a ottenere:

• « la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo » ( articolo 16 del GDPR );
• « la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo [se] i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati [oppure] l’interessato revoca il consenso su cui si basa il trattamento » ( articolo 17 del GDPR );
• in particolari ipotesi, ha altresì « diritto alla portabilità dei dati » ( articolo 20 del GDPR ).

Al fine di rendere effettivi tali diritti, l’articolo 12 del GDPR sottolinea come « il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ».

Ciò, ad esempio, « se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato ».

In ogni caso, sarà necessario che il titolare predisponga delle procedure atte all’esercizio dei diritti dell’interessato.

–

Credits: Photo by Priscilla Du Preez on Unsplash

Un problema cui spesso non pone attenzione il titolare del trattamento di dati personali, è quella della filiera del trattamento.

Il titolare, infatti, dopo aver delegato una parte del trattamento a un responsabile ( il consulente, il fornitore di servizi, etc ), ritiene di non doversi curare del rispetto, o meno, da parte di questi, delle norme sulla privacy.

Il Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ) n. 679/2016, invece, stabilisce tutt’altro.

In particolare, l’articolo 28 del GDPR responsabilizza a tutti gli effetti il titolare del trattamento rispetto alla scelta del proprio delegato.

« Qualora un trattamento debba essere effettuato per conto del titolare del trattamento – prevede il Regolamento –, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato ».

Un contratto per vincolare la filiera del trattamento dei dati

Affinché tale condizioni trovino concreta attuazione, occorre che il titolare stipuli col responsabile « un contratto o un altro atto giuridico » col quale « vincoli il responsabile del trattamento al titolare del trattamento ».

In tale documento, si dovrà prevedere che:

• « la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie d’interessati, gli obblighi e i diritti del titolare del trattamento »,
• « il responsabile del trattamento tratti i dati personali soltanto su istruzione documentata del titolare del trattamento »,
• il responsabile del trattamento « garantisca che le persone autorizzate al trattamento dei dati personali abbiano un adeguato obbligo legale di riservatezza »,
• « adotti tutte le misure […] per garantire un livello di sicurezza adeguato al rischio »,
• « il responsabile del trattamento non ricorra a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento »,
• « metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi » del GDPR, nonché consenta ispezioni o attività di revisioni a cura del titolare « o da un altro soggetto da questi incaricato »,
• « su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti ».

Contratto ed Audit per tutelare il titolare dalle violazioni dei dati

Il titolare del trattamento non può nascondere le proprie responsabilità in caso di violazione dei dati personali causati dal suo delegato avuto riguardo ai vincoli del responsabile rispetto al titolare nonché ai poteri d’ispezione di quest’ultimo.

E’ quindi chiara la necessità, per il titolare, di stipulare un buon contratto tra le parti, nonché di svolgere periodica attività di audit, ovvero di monitoraggio, delle modalità di trattamento dei dati da parte del responsabile designato.

–

Credits: Photo by William Iven on Unsplash

L’obiettivo definitivo del Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, è quello d’impedire la « violazione dei dati personali ».

L’articolo 4 del GDPR, definisce tale evento come « la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati ».

La comunicazione della violazione dei dati all’Autorità

In caso di evento negativo, l’articolo 33 del GDPR prevede che « il titolare del trattamento notifica la violazione all’Autorità di controllo […] senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza ».

Unica eccezione a questa prescrizione : quando « sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche ».

Naturalmente se la violazione è avvenuta in relazione ai dati trattati dal responsabile del trattamento, questi ne da notizia immediatamente al titolare, « senza ingiustificato ritardo dopo essere venuto a conoscenza », affinché quest’ultimo possa informarne l’Autorità di controllo.

Oltre alla notizia della violazione dei dati vera e propria, nella comunicazione all’Autorità, « il titolare del trattamento documenta […] le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio ».

La comunicazione della violazione dei dati agli interessati

Contemporaneamente, il titolare del trattamento dei dati personali è tenuto a comunicare « la violazione all’interessato senza ingiustificato ritardo ».

Anche in tal caso sono previste delle deroghe :

• quando, precedentemente alla violazione, i dati personali erano stati resi « incomprensibili » (es.: con la « cifratura » );
• oppure quando il titolare del trattamento ha, successivamente alla violazione, « adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati »;
• infine quando la « comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica ».

Occorre istituire il “Registro interno delle violazioni”

In conclusione, il titolare del trattamento deve prevedere delle procedure per:

• il monitoraggio dei trattamenti e la individuazione delle violazioni dei dati;
• indagare sulle circostanze;
• stendere sempre dei report di tali eventi, indicando gli effetti e i rimedi adottati;
• solo nei casi previsti, provvedere alla notifica all’Autorità e agli interessati.

A tal fine, la guida redatta dall’apposito gruppo di lavoro incoraggia l’istituzione di un « registro interno delle violazioni » [1]. In tale documento, « se una violazione non viene notificata, dovrebbe essere documentata una giustificazione per tale decisione ».

« Per dimostrare la conformità con il GDPR – spiega ancora la guida -, potrebbe anche essere utile dimostrare che i dipendenti sono stati informati dell’esistenza di tali procedure e meccanismi, e che sanno come reagire alle violazioni ».

In ogni caso, per le violazioni dei dati il Responsabile per la protezione dei dati svolgerà un ruolo importante tanto « al momento della notifica di una violazione » quanto « durante qualsiasi successiva indagine da parte dell’Autorità di controllo ».

La mancata “accountability” di tali misure rischia di far soggiacere il titolare del trattamento a sanzioni « effettive, proporzionate e dissuasive ».

–

Fonti e Note:

Credits: Photo by Basil James on Unsplash

[1] WP250, 3 ottobre 2017, scarica le WP250 - Guidelines on Personal data breach notification under Regulation 2016/679 (PDF, EN)

Il Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, ribadisce e chiarisce le già esistenti limitazioni rispetto alla possibilità del trasferimento di “dati personali” verso paesi terzi, in particolare extra – europei.

L’articolo 45 del GDPR, infatti, afferma che « il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, […] o l’organizzazione internazionale in questione, garantiscono un livello di protezione adeguato ».

Per come riporta il Garante della Privacy [1], la Commissione Europea, nel tempo, ha ritenuto adeguati i trasferimenti verso « imprese residenti negli USA, l’Ungheria, la Svizzera, il Canada e l’Argentina ».

Per gli altri casi, extra EU-27 naturalmente, la responsabilità della scelta ricade sul titolare del trattamento.

L’articolo 46 del GDPR, in proposito, sostiene che « in mancanza di una decisione [della Commissione], il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un’organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi ».

La sentenza della Corte Europea: Schrems contro Facebook

In tale quadro normativo, è sopravvenuta la Sentenza della Corte di Giustizia dell’Unione Europea nel procedimento che riguardava il cittadino austriaco Maximilian Schrems e Facebook Ireland.

Secondo la Corte [2] [3], « le limitazioni della protezione dei dati personali che risultano dalla normativa interna degli Stati Uniti » non rispondono ai « requisiti sostanzialmente equivalenti a quelli richiesti, nel diritto dell’Unione, dal principio di proporzionalità, giacché i programmi di sorveglianza fondati sulla suddetta normativa non si limitano a quanto strettamente necessario ».

Inoltre, « il meccanismo di mediazione previsto [dalla decisione 2016/1250 della Commissione Europea ] non fornisce a tali persone un mezzo di ricorso dinanzi a un organo che offra garanzie sostanzialmente equivalenti a quelle richieste nel diritto dell’Unione ».

Il trasferimento dei dati negli USA solo con specifico consenso

Per tali motivi, la Corte di Giustizia dell’Unione Europea ha dichiarato invalida la decisione della Commissione Europea.

Per quanto precede, a chi scrive sembra che gli unici spazi per leciti trasferimenti di “dati personali” verso gli USA restino quelli limitati nell’ambito dell’articolo 49 del GDPR.

Qui è precisato come sia ammesso il trasferimento a condizione che « l’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie adeguate ».

Ulteriore possibilità è prevista per il caso del trasferimento « necessario per la conclusione o l’esecuzione di un contratto stipulato tra il titolare del trattamento e un’altra persona fisica o giuridica a favore dell’interessato ».

–

Fonti e Note:

Credits: Photo by Markus Spiske on Unsplash

[1] Garante della Privacy, decisioni diverse 2000-2003, “Adeguatezza di paesi terzi”

[2] Corte di Giustizia dell’Unione Europea, comunicato stampa 16 luglio 2020, “La Corte dichiara invalida la decisione 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE-USA per la privacy”

>>> SCARICA: Comunicato stampa Corte Giustizia Europea caso Schrems [PDF, IT]

[3] Corte di giustizia dell’Unione europea, 16 luglio 2020, causa C-311/18, “Sentenza della Corte Data Protection Commissioner / Facebook Ireland Limited, Maximillian Schrems”

Uno dei princìpi fondamentali su cui si basa la filosofia del Regolamento Generale sulla Protezione dei Dati Personali ( GDPR ), il n. 679/2016, è quello della « limitazione di trattamento ».

L’articolo 4 del GDPR definisce tale principio a partire dalla « identificazione dei dati personali conservati ».

A tale scopo, si possono indicare anche l’opportuna definizione della durata del « periodo di conservazione » dei dati e, altresì, la « pseudonimizzazione ».

Con quest’ultima definizione invece s’intende « il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente ».

Minimizzare i dati trattati, limitare loro accessibilità

L’articolo 25 del GDPR aggiunge, rispetto al passato, un nuovo principio a monte del trattamento e della stessa definizione dei « mezzi del trattamento ».

Si riferisce alla « protezione dei dati fin dalla progettazione e protezione per impostazione predefinita »; se preferiamo la terminologia inglese, stiamo parlando rispettivamente di privacy by design e di privacy by default.

Per « attuare in modo efficace i principi di protezione dei dati » – spiega l’articolo 25 – preliminarmente è necessaria « la minimizzazione » del trattamento dei “dati personali” a solo quelli effettivamente pertinenti e necessari allo svolgimento delle richieste finalità, e, secondariamente, la limitazione della « accessibilità » dei dati inteso sia per quantità di dati disponibili allo stesso soggetto che per minor numero di soggetti incaricati al trattamento o destinatari delle informazioni.

Per limitare l’accesso ai dati, occorre, prima di tutto che:

• « non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica »;
• quindi attivare un « controllo di accesso » ( password, log );
• nonché evitare di « creare più copie del necessario » [1].

La valutazione dei rischi e l’adozione di misure di protezione dei dati personali

Gli elementi chiave della progettazione della protezione dei dati possono includere:

• la valutazione dei rischi per la sicurezza dei dati personali ( furto, accesso indebito, distruzione accidentale, etc );
• l’adozione di adeguate « misure tecniche e organizzative » di sicurezza, cioè misure procedurali, informatiche e fisiche, idonee a ridurre i punti deboli e le vulnerabilità del sistema di protezione dei dati ( formazione del personale, uso di software sicuro, archiviazione sicura e backup, password, armadi chiusi a chiave, etc ).

Tuttavia, sicuramente la migliore protezione dei dati è … l’assenza dei dati.

« Se i dati personali non sono non sono più necessari per lo scopo del trattamento, allora saranno automaticamente cancellati o resi anonimi » [1].

Tutto quanto sinora riportato è più valido quanto più lo sia « la probabilità e gravità » di un evento avverso e quanto questo possa oggettivamente incidere sull’interessato al trattamento dei dati personali ( ad esempio in riferimento al possibile furto o usurpazione d’identità, di perdite finanziarie, di pregiudizio alla reputazione ).

Al fine di assicurare successo all’attività di protezione dei dati, diventa fondamentale l’aggiornamento allo stato dell’arte delle tecnologie impiegabili, la periodica effettuazione di audit ( controlli ) e rivalutazione dei rischi.

–

Fonti e Note:

[1] EDPB, 20 ottobre 2020, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (PDF, EN)