Con il Regolamento UE 2016/679 definito anche GDPR (General Data Protection Regulation), o in italiano “Regolamento Generale sulla Protezione dei Dati” (RGPD), il Legislatore europeo ha rovesciato la prospettiva della disciplina di riferimento concependo un quadro normativo tutto incentrato sui doveri e la responsabilizzazione del titolare del trattamento (“accountability”).
Il testo del RGPD si sviluppa essenzialmente su processi, attività, misure tecniche e organizzative, sanzioni e obblighi rivolti a titolare (e responsabile) del trattamento, mentre la Direttiva 95/46 era invece tutta incentrata sui diritti dell’interessato.
La responsabilità e la protezione dati: le origini
La responsabilità come “motore per l’attuazione efficace dei principi di protezione dei dati” è stata presa in esame già dal Gruppo di lavoro ex art. 29 nel Parere 3/2010, nel quale si suggeriva l’attuazione di misure e procedure volte a rendere effettivi i principi di protezione dei dati esistenti, assicurandone l’efficacia e introducendo al contempo l’obbligo di dimostrarne il rispetto qualora le autorità di protezione dei dati ne facciano richiesta. Nel medesimo parere il Gruppo di lavoro, anticipando concetti che ora sono chiaramente formalizzati all’interno del RGPD, indicava una serie di misure volte al perseguimento del principio di “accountability” tra le quali l’implementazione di tutta una serie di procedure e regolamenti interni per garantire l’effettività della gestione degli aspetti fondamentali legati al trattamento di dati personali, quali, a titolo meramente esemplificativo, la pianificazione di nuovi trattamenti per garantire il soddisfacimento dei requisiti normativi (privacy by design nel RGPD), l’inventariazione delle operazioni di trattamento (registro delle attività di trattamento nel RGPD), l’individuazione dei soggetti con responsabilità rispetto alla protezione dei dati personali (si pensi all’introduzione nel RGPD della figura del “Data Protection Officer”), la gestione dei diritti di accesso, rettifica e cancellazione da parte degli interessati (rafforzati all’interno del RGPD con l’introduzione del concetto parzialmente nuovo del “diritto all’oblio”), nonché la notificazione delle violazioni e l’effettuazione di valutazioni di impatto in specifici casi (obblighi specificamente disciplinati nel RGPD). Nel parere, infine, il Gruppo di lavoro ha correttamente sottolineato che le misure adottate non debbano costituire solo un adempimento formale, ma essere effettivamente applicate all’interno dell’organizzazione e tale applicazione debba essere verificata attraverso l’effettuazione di attività di verifica sia da parte di soggetti interni (“internal audits”) che esterni (“external audits”).
Nonostante, come detto sopra, i suggerimenti del Gruppo di lavoro ex art. 29 trovino ora pieno riscontro all’interno del RGPD, vi sono all’interno del medesimo dei riferimenti espliciti al concetto di “accountability” (“responsabilizzazione” nella traduzione italiana) che devono essere presi in considerazione. Il primo è contenuto nell’art. 5 dove non solo si individua nel titolare del trattamento il soggetto competente a garantire il rispetto dei principi applicabili al trattamento di dati personali (ovvero i principi di “liceità, correttezza e trasparenza”, “limitazione della finalità”, “minimizzazione dei dati”, “esattezza limitazione della conservazione” e “integrità e riservatezza”) ma si stabilisce che il medesimo debba essere altresì “in grado di comprovarlo”. Tale concetto è ulteriormente delineato nei suoi contorni dall’art. 24 dove viene statuito che il titolare del trattamento viene gravato dell’obbligo di mettere in atto (nonché di riesaminare e di aggiornare) misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Tali misure devono essere attuate dal titolare del trattamento tenendo in considerazione tutta una serie di aspetti quali la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, nonché i rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche e, ove ciò risulti proporzionato, le stesse devono includere l’attuazione di politiche adeguate in materia di protezione dei dati.
L’impatto sulle organizzazioni
Alla luce delle precedenti considerazioni emerge come il concetto di “accountability” comporti necessariamente un cambiamento di prospettiva nella gestione della protezione dei dati da parte delle organizzazioni. Il RGPD lascia maggiore discrezionalità ai titolari di decidere, quali soggetti che determinano le finalità e i mezzi del trattamento di dati personali, le modalità attraverso le quali conformarsi alle sue disposizioni, ma tale maggiore libertà è gravata dall’onere di essere in grado di dimostrare le ragioni che hanno portato a tali decisioni e le motivazioni per cui si ritiene che le medesime abbiano consentito di raggiungere la conformità normativa. Assume quindi particolare rilevanza anche la documentabilità delle scelte effettuate dal titolare del trattamento, che comporta la conservazione delle evidenze di ciò che si è fatto per ottenere un determinato risultato. Senza poter in questa sede essere esaustivi, sarà necessario per i titolari essere in grado di documentare il processo che ha portato alla definizione del registro dei trattamenti, alla valutazione di un determinato rischio in materia di sicurezza, alla decisione di notificare o meno agli interessati un “data breach” e di aver attuato in relazione ad un nuovo trattamento le necessarie valutazioni legate alla “data protection by design”. Oltre a ciò, documentabili dovranno essere anche i controlli posti in essere dai titolari, anche attraverso soggetti all’uopo preposti, come il “Data Protection Officer”, per verificare che le misure adottate siano rispettate e mantengano la loro efficacia.
Questo cambiamento di prospettiva potrebbe ripercuotersi anche sugli strumenti che i titolari utilizzeranno per rispettare il principio in esame e garantirsi la possibilità di comprovare la conformità al RGPD; è possibile presagire che l’attuale processo di digitalizzazione delle imprese possa abbracciare anche aspetti legati alla gestione degli adempimenti legati alla protezione dei dati, sia nell’ottica dell’informatizzazione dei processi sottostanti che di documentabilità delle scelte effettuate e dei controlli effettuati.
* di Andrea Reghelin, legale, Associate Partner di P4I – Partners4Innovation e Guglielmo Troiano, Senior Legal Consultant di P4I – Partners4Innovation