Privacy Accountability e linee guida del Garante: tra responsabilizzazione e dimostrabilità ai sensi del nuovo regolamento generale sulla protezione dei dati

A cura di:Jacopo Giunta e Paolo Dal Checco Ore

Il Regolamento Generale sulla Protezione dei dati introdotto con Regolamento CEE 679/2016 non è solo la tanto attesa risposta all’esigenza di predisporre una disciplina unitaria sul trattamento dei dati che si adegui al sempre più esteso processo di digitalizzazione globale – ruolo che l’ormai sorpassata direttiva 95/46/CE non era più in grado di garantire – ma è innanzitutto il mezzo con cui il legislatore Europeo, mutando completamente impostazione rispetto al passato, propone un articolato scenario normativo in materia di privacy prevalentemente incentrato sul processo di responsabilizzazione  – c.d. principio di “Accountability” sancito dall’art. 24 – dei soggetti titolari e responsabili del trattamento nella gestione dei dati.

Il testo del GDPR, ribadendo in prima battuta i principi generali in materia di raccolta, conservazione e trattamento dei dati (art. 5), pone infatti la sua maggiore attenzione sull’individuazione dei processi, attività, misure tecniche e organizzative, sanzioni e obblighi del titolare e responsabile del trattamento – accordandogli la facoltà di autodeterminarsi nella scelta – prevedendo che gli stessi “dovrebbero” tenere degli appositi e distinti registri, da mettere a disposizione dell’Autorità di controllo (cfr. considerando n.82), diretti a dimostrare, la conformità al regolamento delle attività di trattamento effettuate sotto la propria responsabilità.

Il registro delle attività di trattamento del titolare e del responsabile – che devono essere rispettivamente redatti, monitorati ed aggiornati secondo criteri unitari tali da garantirne la coerenza strutturale e funzionale, anche in ottica ispettiva – costituiscono quindi la misura organizzativa diretta a garantire un corretto ciclo di gestione degli adempimenti previsti, nonché lo strumento chiave su cui si fonda il principio di dimostrabilità imposto dal regolamento.

In particolare il titolare, rispetto al responsabile ed agli eventuali incaricati, dovrà farsi parte diligente nella gestione complessiva del trattamento, richiedendo al responsabile l’esibizione del proprio registro per verificare la compliance con il regolamento delle attività effettuate, come previsto dall’art. 28 comma 3 lett. h) – compito riservato al DPO ex art. 39 comma 1 lett. B) in caso di designazione obbligatoria – cfr. art. 37 comma 1) – ferma restando la responsabilità solidale tra titolare e responsabile nei confronti dell’interessato per eventuali danni causati nell’ambito dello stesso trattamento.

Si badi bene che l’obbligo normativo di tenuta dei registri, nonostante sia riservato solo a determinate realtà aziendali (art. 30 comma 5), in concreto si estende a tutti coloro che effettuano attività di trattamento, avendo il principio di dimostrabilità, su cui si fonda l’intera normativa, una portata ampia e generale.

La disciplina specifica dei registri delle attività di trattamento, la cui struttura e modalità di attuazione viene lasciata alla discrezionalità dei soggetti interessati – salvo l’onere di dimostrare l’iter logico che ha portato ad assumere una determinata impostazione e le ragioni per cui la stessa venga ritenuta idonea a soddisfare la normativa – è contenuta nell’art. 30 del GDPR, recante le prescrizioni applicative e l’elenco degli elementi tassativi e delle informazioni relative alle attività di trattamento.

Al fine di adempiere alle prescrizioni regolamentari, la documentazione attestante la compliance con la normativa europea dovrà essere estremamente intellegibile ed improntata su una roadmap strutturata mediante:

  • Un’analisi preliminare dell’organizzazione dell’attività, elencazione dei servizi esternalizzati, elenco soggetti terzi coinvolti nel trattamento, monitoraggio e gestione adempimenti per il trasferimento dei dati all’estero, mappatura dei processi, censimento dei trattamenti dei dati personali;
  • L’individuazione dei ruoli e delle responsabilità in capo ai soggetti coinvolti nel trattamento, informazioni sulla base giuridica del trattamento (seppur non obbligatoria, estremamente utile per predisporre una corretta documentazione informativa ex art. 13), le procedure per l’esercizio dei diritti dell’interessato;
  • La definizione delle politiche di sicurezza e della valutazione dei rischi per ogni servizio e applicativo – mediante indicazione degli strumenti tecnologici impiegati (strumenti MDM (Mobile Data Management), sistemi DLP (Data Loss Prevention), Content Filtering, sistemi di log retention), modalità e tempi di conservazione e cancellazione dei dati;
  • L’adozione di misure tecniche per garantire un livello di sicurezza adeguata al rischio ex art. 32.

Fatte queste premesse, per chi si chiede come regolarsi nella pratica, il Garante per la Privacy ha pubblicato una prima Guida all’applicazione del Regolamento UE 2016/679 che traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.

L’obiettivo della Guida è quello di offrire un primo supporto coloro che stanno affrontando il passaggio alla nuova Normativa Privacy e nel contempo far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida applicativa al nuovo GDPR è articolato in 6 sezioni tematiche:

  1. Fondamenti di liceità del trattamento;
  2. Informativa;
  3. Diritti degli interessati;
  4. Titolare, responsabile, incaricato del trattamento;
  5. Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
  6. Trasferimenti internazionali di dati.

La responsabilizzazione (“accountability”) è uno dei punti chiave del nuovo GDPR ed entra in gioco al punto 5, che precisa che è necessario che i titolari e i responsabili adottino di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Non vengono specificati i comportamenti, viene invece affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

In particolare, è necessario che il titolare implementi la protezione dei dati “by design”, cioè intrinsecamente in ogni fase della gestione, così da garantire che vengano soddisfatti i requisiti del regolamento e tutelare i diritti degli interessati.

Altro elemento chiave è la valutazione del rischio d’impatti negativi sulle libertà e i diritti degli interessati derivante dal trattamento informatico e tenuto conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

Si rileva quindi lo spostamento del controllo in un momento successivo, riducendo se non eliminando il potere “autorizzativo” del Garante che dovrà limitarsi a indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58 come ammonimento del titolare o limitazione/divieto a procedere per il trattamento.

Venendo a mancare il titolo di controllo preventivo o autorizzazione che diventa invece un intervento di verifica di quanto il titolare e il DPO hanno progettato e realizzato, vengono a mancare anche alcuni istituti previsti dalla direttiva del 1995 e dal Codice italiano, come la notifica preventiva dei trattamenti all’autorità di controllo e il cosiddetto prior checking (o verifica preliminare: si veda art. 17 Codice), che vengono sostituiti da obblighi di tenuta di un registro dei trattamenti da parte del titolare/responsabile e, appunto, di effettuazione di valutazioni di impatto in piena autonomia.

Per chi si chiede dove siano finite le “Misure Minime di Sicurezza” che per tanti informatici sono stati la base su cui costruire un sistema conforme, dopo il 25 maggio non vi saranno obblighi di adozione di misure “minime” di sicurezza, poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati.

A cura di: Jacopo Giunta e Paolo Dal Checco

Profilo Autore
Jacopo Giunta

Avvocato presso Ambrosio e Commodo Studio Legale Associato, presta attività di consulenza legale e tecnica per la predisposizione di sistemi di gestione della Privacy alla luce del Regolamento UE 2016/679 e della normativa nazionale di riferimento, svolge la funzione di DPO per aziende operanti nel settore medico e IT. Accreditato per il corso di formazione manageriale come DPO presso il CNR di Pisa, docente a contratto presso il MADAB "Master in Data Science for Business Intelligence" organizzato dall'Università di Torino e relatore presso il "Corso teorico pratico per la formazione del Data Protection Officer" organizzato dall'Ordine degli Avvocati di Torino, socio IISFA, DFA e Tech & Law Center, certificato CIFI, socio fondatore e vicepresidente dell'associazione "Persone & Privacy".

Profilo Autore
Paolo Dal Checco

Consulente Informatico Forense, socio CLUSIT e IISFA, tra i fondatori delle Associazioni ONIF
Paolo Dal Checco svolge attività di Consulenza Tecnica in ambito forense collaborando con Procure, Tribunali e Forze dell'Ordine oltre che con aziende, privati e Avvocati. Dopo la Laurea, durante il corso del Dottorato in Informatica, ha approfondito le problematiche di crittografia operando poi per alcuni anni dopo il conseguimento del titolo in ambito di sicurezza delle comunicazioni per un’azienda privata. Successivamente a questa esperienza, si è dedicato agli aspetti tecnici e giuridici dell’informatica forense, eseguendo attività di formazione e perizie informatiche in ambito d’indagine su cellulari, computer, audio, video, malware, reti, social.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Zero Trust per tutti, Mainframe incluso

Zero Trust per tutti, Mainframe incluso

A cura di:Luigi Perrone Ore Pubblicato il

Abstract: La sicurezza moderna impone scelte architetturali che possano reggere agli attacchi più persistenti e sofisticati. Zero-Trust è diventata la parola d’ordine soprattutto quando si opera su sistemi aperti ed eterogenei dove i confini operativi diventano sempre meno nitidi mettendo a dura prova i reparti di sicurezza sia logica che fisica di ogni infrastruttura IT….

Intervista a Massimiliano Brolli – Cyber Crime Conference 2019

Intervista a Massimiliano Brolli – Cyber Crime Conference 2019

A cura di:Redazione Ore Pubblicato il

[video_embed video=”334115376″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”900″ height=”460″] 10° CYBER CRIME CONFERENCE Massimiliano Brolli – ICT Risk Monitoring & Assessment Expert In questo periodo gli esperti di sicurezza informatica assistono a un quotidiano aumento della complessità – 5G, ecosistemi complessi, IoT, protocolli wireless – e, di conseguenza, delle superfici esposte a potenziali attacchi. Anche il…

Marta Staccioli – Intervista al Forum ICT Security 2017

Marta Staccioli – Intervista al Forum ICT Security 2017

A cura di:Redazione Ore Pubblicato il

[video_embed video=”242565680″ parameters=”” mp4=”” ogv=”” placeholder=”” width=”700″ height=”400″] Marta Staccioli, Litigation Counsel di Google, focalizza l’attenzione sul nuovo GDPR e i rischi legati ad un eventuale Data Breach. Molti infatti sono i player tutelati dalla nuova normativa, aspetto che riguarda anche i controller per tutti i nuovi obblighi a cui vengono sottoposti. Domande: Quali sono i…

Steganografia digitale: come nascondere l’esistenza di un payload in un’immagine

Steganografia digitale: come nascondere l’esistenza di un payload in un’immagine

A cura di:Salvatore Lombardo Ore Pubblicato il

Nell’era della comunicazione digitale la necessità di mantenere la segretezza e la sicurezza delle informazioni è divenuta di fondamentale importanza. A tale scopo negli anni sono stati implementati algoritmi basati su tecniche ben note fin dall’antichità: la crittografia, che ha lo scopo di rendere sicuro il contenuto di un messaggio (garanzia della sicurezza); la steganografia,…

Valori antichi per un problema moderno: l’arte marziale digitale contro il cyberbullismo

Valori antichi per un problema moderno: l’arte marziale digitale contro il cyberbullismo

A cura di:Claudio Canavese Ore Pubblicato il

“Hai sentito in tv? C’è un’altra ragazza che si è tolta la vita a causa del cyberbullismo”. Persino mio padre, che ha più di settantanni, ormai utilizza abitualmente questo termine, entrato di prepotenza nell’uso comune, spesso grazie a notizie tragiche puntualmente seguite dal solito coro di sdegno e richieste di censurare, più o meno legalmente,…

Aldo Di Mattia – Intervista al Forum ICT Security 2014

Aldo Di Mattia – Intervista al Forum ICT Security 2014

A cura di:Redazione Ore Pubblicato il

Aldo Di Mattia Systems Engineer, Fortinet. Aldo Di Mattia realizza una panoramica descrivendo la situazione attuale delle minacce informatiche per poi illustrare i metodi di difesa dalle nuove minacce. Il Systems Engineer prima di concludere l’intervista ci aggiorna sulle ultime novità in casa Fortinet.