I 10 principi fondanti del GDPR

I 10 principi fondanti del GDPR

In Normativa

In questo articolo lo Studio Legale Bertoldi-Pompei sintetizza i 10 principi fondanti del GDPR per Mymesys e per i suoi lettori.

Va premesso che il GDPR è un testo legislativo generale e valido per tutti i Paesi dell’Unione Europea. Le regole ivi contenute, infatti, si applicano a tutti coloro che trattano dati di cittadini europei, indipendentemente dalla circostanza che chi li tratta abbia sede in Europa o fuori del territorio dell’UE.

Si tratta di una grande innovazione rispetto al passato, in cui la legge applicabile era quella della sede del Paese titolare del trattamento. Oggi, per fare un esempio, grandi società come Google e Twitter sono sottoposte al GDPR, quindi non rileva dove sia collocata la loro sede.

Andiamo ora a sintetizzare i principi a fondamento del GDPR in 10 punti:

  1. Accountability
  2. Informativa
  3. Privacy by design e Privacy by default
  4. Consenso
  5. Privacy Impact Assessment
  6. Registro delle Attività di Trattamento
  7. Data Protection Officer (DPO) o Responsabile della protezione dei Dati (RPD)
  8. Data Breach Notification
  9. Diritti per gli Interessati
  10. Profilazione Considerando N.71

1) Accountability

Il primo principio di grande impatto introdotto con il GDPR che andiamo ad enunciare è quello dell’accountability, ovvero di autoresponsabilità del titolare del trattamento. Nella precedente normativa si imponeva un certo obbligo di fare; se ci si conformava si era a posto. Oggi la normativa, al contrario, indica quali sono i diritti da rispettare, qual è la documentazione da redigere; pertanto, in caso di controllo il titolare del trattamento deve saper dimostrare di essere in regola.

Si veda in tal senso il considerando n. 74 del Regolamento, ai sensi del quale il titolare del trattamento è responsabile per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. Egli è tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare che le attività svolte sono conformi al Regolamento.

Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, del rischio per i diritti e le libertà delle persone fisiche, “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (art. 24 del GDPR).

Per le finalità indicate, il considerando n. 82 prevede la costituzione di un registro delle attività di trattamento contenente una serie di informazioni (analiticamente riportate nell’art. 30 del GDPR).

Tutti i titolari del trattamento e i responsabili del trattamento devono cooperare con l’autorità di controllo mettendo, su richiesta, detti registri a sua disposizione affinché possano servire per monitorare detti trattamenti (Considerando n. 82 e art. 31 del GDPR).

2) Informativa

L’informativa costituisce un obbligo generale che va adempiuto prima o al massimo al momento di dare avvio alla raccolta per il trattamento di dati personali (Avv. Filippo Bianchini – “Informazioni sui dati personali: redigere un’informativa adeguata”).

L’informativa, ai sensi dell’art. 12 del GDPR, deve essere resa in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro; per iscritto o anche mediante mezzi elettronici.

La trasparenza (transparency) – inserita nell’art. 5, par. 1 – è una delle novità più rilevanti del Regolamento, elevata a principio base di ogni trattamento legittimo insieme a quelli, già previsti nella Direttiva 95/46, di liceità e correttezza.

Molto importante in tal senso il Considerando n. 58: “Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione. Tali informazioni potrebbero essere fornite in formato elettronico, ad esempio, se destinate al pubblico, attraverso un sito web…”.

Deve in sostanza emergere che la volontà di aderire al trattamento dei propri dati sia effettivamente consapevole e non sia frutto di semplice inerzia.

3) “Privacy by design” e “Privacy by default”

Questi due concetti sono ben esplicitati dal Considerando n. 78.

Per “privacy by design” si intende la necessità di progettare i sistemi informativi in modo da garantire la tutela del dato durante tutto il suo ciclo di vita: “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati” (art. 25, par. 1, GDPR).

Quindi la privacy diventa la prospettiva in base alla quale studiare ogni elaborazione di informazioni; la protezione dei dati da mero requisito legale, da avvertimento formale, si innalza ad obiettivo del processo. La “privacy by design” minimizza i rischi e riduce la mole dei dati trattati. È un nuovo modo di concepire la protezione dei dati: da rimedio a processo.

Accanto ad essa la “privacy by default” indica che il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica” (art. 25, par. 2).

Quindi un trattamento minimale dei dati deve essere concepito come impostazione predefinita (in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali).

4) Consenso

Laddove il consenso dell’interessato costituisca presupposto di liceità del trattamento dei dati (si noti che nell’art. 6 del GDPR il trattamento è lecito in presenza di almeno una delle 6 condizioni ivi indicate, tra le quali il consenso) esso va espresso mediante un atto positivo con il quale egli manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento stesso, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.

Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso” (Considerando n. 32).

Come si comprendere chiaramente dalla lettura del dato testuale, la raccolta del consenso, rispetto al passato, non è formale, ma va espresso in maniera inequivocabile con azioni positive.  Vale il fatto che una persona ricevendo un’informativa, continui un’attività di fornitura dei dati e non si interrompa: c.d. consenso specifico e granulare. Pertanto si ritiene che il consenso non è espresso liberamente se “non è possibile esprimere un consenso separato a distinti trattamenti di dati personali” (Considerando n. 43).

Il consenso libero implica, quindi, un pieno potere in capo all’interessato di scegliere se accettare o meno un trattamento senza ricevere condizionamenti e vincoli e senza ottenere conseguenze negative in caso di rifiuto a conferire i dati. Di converso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali (art. 7, par. 1, GDPR).

5) Privacy Impact Assessment

È stato introdotto un documento da redigere denominano “Privacy impact assessment”, che può essere tradotto come “Documento di valutazione di impatto nel trattamento dei dati”. Si tratta di un’analisi del rischio che deve essere condotta in concreto: quali sono i rischi che si corrono nel trattamento dei dati, quali sono le cautele da adottare per prevenire tali rischi; va creata una lista dei rischi concreti e potenziali e sviluppare un programma per risolvere i problemi, dopo aver analizzato i rischi (Considerando n. 84, 89-93, 95; art. 35 del GDPR).

6) Registro delle Attività di Trattamento

Questo punto si correla al precedente e, più in generale, al principio di “accountability” che, come già analizzato in precedenza, permea di sé l’intero Regolamento.

La direttiva 95/46/CE aveva infatti introdotto un obbligo generale di notificare alle autorità di controllo (al Garante della privacy) il trattamento dei dati personali. Tale meccanismo aveva comportato oneri amministrativi e finanziari non indifferenti e non aveva peraltro sempre contribuito a migliorare la protezione dei dati personali.

Questo sistema di obblighi generali e indiscriminati di notifica è stato abolito e sostituito con un onere per la società o l’ente che gestisce dati personali di documentare adeguatamente la tipologia dei dati trattati attraverso un registro delle attività di trattamento (Considerando n. 82; art. 30 del GDPR).

7) Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD)

Il data protection officer è un auditor interno per i processi di trattamento dei dati. Non è il consueto responsabile del trattamento dei dati. Ha il compito di verificare che gli stessi siano maneggiati correttamente, che non ci siamo dei rischi. Deve predisporre il documento di valutazione dei rischi di cui al precedente punto 5. È un soggetto delineato con i seguenti requisiti:

  • professionalità
  • indipendenza
  • autonomia di spesa

Nominato dal titolare del trattamento, resta in carica 4 anni.  È il referente al quale può rivolgersi il Garante quando ha delle informazioni da chiedere sul trattamento dei dati svolto dall’azienda. Si tratta di una figura nuova nell’organizzazione aziendale; non si occupa dei dati, non li gestisce direttamente, si può definire il manager del trattamento dei dati e va distinto dal responsabile del trattamento di cui all’art. 28 del GDPR, che, al contrario, è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”, secondo la definizione fornita dall’art. 4.

8) Data Breach Notification

Sotto il profilo della sicurezza, è stata introdotta una nuova regolamentazione per i casi di violazione dei dati personali, cd. data breach notification, consistente nell’obbligo di notificare tempestivamente alle autorità le ipotesi di violazione rispetto ai data base gestiti da un titolare.

È stato introdotto l’obbligo di comunicare entro 72 ore da un evento di violazione del trattamento dei dati questa notizia in modo specifico e formale all’autorità di controllo e di informarne nel più breve tempo possibile anche le persone i cui dati si trovano nel data base oggetto di violazione (art. 33 del GDPR; Considerando nn. 85-89).

Per la persona fisica o giuridica che detiene i dati si rende pertanto indispensabile fornirsi di software di monitoraggio per rilevare tempestivamente tali violazioni. Si tratta di un problema non indifferente, legato alla necessità di gestire in modo corretto l’attività di comunicazione obbligata verso l’esterno di fatti che possono inficiare la reputazione aziendale. Va da sé che il rischio per l’immagine, per il buon nome dell’azienda coinvolta, necessiterà di adeguate coperture assicurative.

9) Diritti per gli Interessati

Il GDPR ha introdotto dei veri e propri Nuovi diritti per coloro che conferiscono i propri dati, rispetto alla precedente normativa (la nota Direttiva 95/46/CE):

  • Diritto all’oblio: si può definire diritto ad “essere dimenticato” dall’azienda a cui sono stati rilasciati i propri dati; è qualcosa di più profondo rispetto al tradizionale diritto alla “cancellazione” ed “opposizione” al trattamento, si tratta di cancellazione potenziata (art. 17 del GDPR).
  • Diritto alla portabilità dei dati: consiste nel richiedere i dati siano in un formato strutturato, leggibile da tutte le macchine, in modo tale che possano essere estratti e portati da un servizio all’altro, oppure fatti trasferire direttamente (art. 20 del GDPR).

10) Profilazione Considerando N. 71

L’art. 22 del GDPR si occupa del processo decisionale automatizzato dei dati personali, con specifico riferimento alla profilazione che consiste in una forma di trattamento automatizzato che valuta aspetti personali concernenti una persona fisica per fare analisi e previsioni.

Più nel dettaglio, questa attività permette di conoscere meglio le persone cui i dati si riferiscono, facendo, appunto, analisi, organizzando i data base in modo tale da estrarre le informazioni secondo dei criteri di affinità e di scelta delle persone con cui entrare in contatto. Il Regolamento chiarisce che la profilazione è un’attività tecnica, molto specifica, caratterizzata da questo concetto: l’automatismo. Tutto ciò che viene fatto estraendo informazioni solo sulla base di sistemi automatici è “profilazione”.

In quanto tale, questo tipo di trattamento deve essere subordinato a garanzie adeguate, comprendenti la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione (Considerando n. 71).

Laddove, come accennato, interviene l’elemento umano, ovvero una persona che possa correggere, modificare, integrare delle valutazioni fatte tramite software non vi è più profilazione.

Si tratta di una distinzione importante. Il legislatore europeo si premura di limitare i casi di profilazione per evitare i rischi per la sicurezza dei dati derivanti dagli automatismi: impedire, tra l’altro, “effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti” (Considerando n. 71 citato).

Tali limitazioni si evincono dall’art. 22 del GDPR che limita il ricorso alla profilazione ai soli casi in cui sia necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento; sia autorizzato dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o infine al consenso esplicito dell’interessato.

 

Articolo redatto dall’Avv. Nicoletta Pompei

Studio Legale Bertoldi – Pompei
via del Macello, 31/F – 06128 – Perugia
Tel. e Fax 075 5057898, Mob. 346 8654007 – 338 7782199
studiolegalebertoldipompei@gmail.com