Un altro profilo che è molto importante sottolineare è che il ti tolare (e per la sua parte il responsabile ex art 26) deve anche essere

in grado di garantire costantemente che i trattamenti posti in essere assicurino la piena tutela dei diritti degli interessati.

GDPR e Intelligenza Artificiale

Si tratta di un profilo molto rilevante che non deve mai essere trascurato.

Non vi è dubbio, infatti, che il GDPR ponga al centro di tutto il sistema regolatorio di tutela dei trattamenti di dati personali il tito- lare, il quale è tenuto, fin dalla loro fase di progettazione (e dunque quando ancora non vi sono “interessati” perché il trattamento non ha ancora avuto inizio) il rispetto delle regole legate alla valutazione dei rischi e alla definizione delle modalità organizzative e tecnologi- che da adottare per garantire che essi siano ridotti al minimo pos- sibile. Si collocano qui infatti tutti gli istituti legati alla privacy by design, by default, la definizione delle misure di sicurezza adeguate e, soprattutto, la eventuale necessità di ricorrere anche alla DPIA, nei casi in cui essa è richiesta in base ai criteri indicati all’art. 35 del GDPR, nonché in base agli elenchi definiti dalle Autorità di controllo in base all’art. 35 paragrafo 4 e da queste comunicati all’EDPB a nor- ma dell’art. 68.

Tuttavia sarebbe profondamente sbagliato non tener conto che anche nel nuovo sistema regolatorio fondato sul GDPR e sulle leggi nazionali di adeguamento, la tutela dei diritti dell’interessato e la loro concreta azionabilità rimangono assolutamente fondamen- tali.

In primo luogo, infatti, non bisogna mai dimenticare il fatto che il GDPR e le leggi nazionali di adeguamento sono prima di tutto un sistema normativo che ha come obiettivo la tutela del diritto fon- damentale previsto dall’art. 8 della Carta di Nizza e degli altri diritti e libertà della persona umana. Come ricorda il Considerando 4, «il trattamento dei dati personali deve essere al servizio dell’uomo e il regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta». Dunque, anche se uno degli scopi più innovativi del GDPR è quello di «creare un clima di fiducia che consenta lo sviluppo dell’economia digitale in tutto il mercato inter- no», è indiscutibile che la tutela in concreto dei diritti delle persone fisiche i cui dati personali sono oggetto dei trattamenti rimane un aspetto fondamentale di tutto il sistema regolatorio. Così come resta essenziale che la tutela dei trattamenti posti in essere dal titolare tenga anche conto, fin dalla progettazione, di tutti i diritti e le libertà delle persone fisiche, come recita l’art. 24 del GDPR.

In secondo luogo, è ovvio che incrementare la fiducia delle per- sone fisiche nello sviluppo della società digitale richiede anche una

Regolare la tecnologia: il Reg. UE 2016/679

76

robusta e efficace tutela “in concreto” dei diritti eventualmente lesi dai trattamenti posti in essere.

Di qui la necessità di collocare nella giusta prospettiva sia il ruolo del titolare che quello dell’interessato.

I due “protagonisti” del GDPR si distinguono per il fatto che il tito- lare deve assolvere a obblighi specifici già nella fase di progettazione dei trattamenti, e dunque quando, per definizione, non può ancora esservi l’“interessato”. Tuttavia è certamente vero che tra gli obbli- ghi del titolare vi è anche, e fin dalla fase di progettazione, quello di rendere sempre azionabili ed effettivi i diritti che il GDPR e, sulla sua scia, le legislazioni nazionali di adeguamento, assicurano all’inte- ressato.

Si tratta di un aspetto da tenere costantemente presente perché nel quadro regolatorio del GDPR sono riconosciuti agli interessati nuovi diritti, strettamente legati anche all’evoluzione della società e dell’economia digitale quali: il diritto alla cancellazione, come for- mulato dall’art. 17, in particolare nei paragrafi 1 e 2; il diritto alla limitazione dei trattamenti come definito dall’art. 18, in particolare in connessione al diritto di opposizione di cui all’art. 21 (cfr. art. 18, paragrafo 1, lettera d); l’obbligo di notificazione definito dall’art. 19, che pone a carico del titolare l’obbligo di comunicare «a ciascuno degli interessati cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma degli artt. 16, 17, paragrafo1 e dell’art.18, salvo che ciò si rive- li impossibile o implichi uno sforzo sproporzionato»; il diritto alla portabilità dei dati di cui all’art. 20; il diritto di opposizione di chi all’art. 21, con particolare riguardo al paragrafo 5 che consente all’in- teressato di esercitare, nell’ambito dei servizi della società dell’in- formazione, il suo diritto «con mezzi automatizzati che utilizzano specifiche tecniche»; i diritti che l’interessato può attivare rispetto ai processi decisionali automatizzati relativi alle persone fisiche, com- presa la profilazione, di cui all’art. 22.

Si tratta in gran parte di diritti già presenti anche nella Direttiva 95/46 ma che ora vengono “rivisitati” e “ridefiniti” in modo sostan- ziale avendo a mente i problemi della società digitale e del suo svi- luppo. Sono inoltre diritti del tutto nuovi, almeno nel quadro della tutela generale dei trattamenti di dati personali, quali quello relativo alla portabilità dei dati e quelli contenuti nella disciplina relativa ai trattamenti automatizzati con effetti decisionali.

GDPR e Intelligenza Artificiale

È evidente che vi è una strettissima interrelazione fra gli obbli- ghi del titolare in sede di progettazione dei trattamenti ex art. 24 e la previsione di modalità tecniche e organizzative che consentano, in concreto, la attivazione da parte degli interessati di “tutti” i diritti che il GDPR prevede.

Si tratta di una “dimensione” della responsabilità del titolare ex art. 24 GDPR non sempre adeguatamente sottolineata dai commen- tatori ma che assume invece un rilievo molto forte proprio nel con- testo dell’evoluzione continua della società digitale e delle tecnologie che ne caratterizzano lo sviluppo, anche sul piano economico. 1.5. Va da sé che la stretta connessione tra doveri e responsabilità del titolare e diritti, nuovi e vecchi, degli interessati collocata nel conte- sto del GDPR accentua la duplice necessità, insita in questo sistema regolatorio, di flessibilità nelle misure adottate, che devono sempre essere “tarate” sul tipo di trattamenti, progettati prima, posti in es- sere dopo, e di costante rivisitazione, da parte del titolare, ma anche da parte delle Autorità di controllo, delle misure adottate.

In sostanza, quello che conta sottolineare è che la accountability del titolare e la sua responsabilità relativa a poter dimostrare in ogni momento la conformità dei trattamenti posti in essere alle norme del GDPR non si esaurisce affatto nella valutazione dei rischi che i trattamenti possono comportare per i diritti e le libertà delle persone fisiche, ma si estende, necessariamente, anche a poter dimostrare in ogni momento di aver adottato tutte le misure organizzative e tecniche idonee a consentire agli interessati il pieno e totale eser- cizio dei diritti ad essi riconosciuti dalla normativa europea e dalle normative nazionali di adeguamento nelle materie di competenza dei legislatori nazionali.

In questa luce assume una rilevanza ancora più forte e incisiva l’obbligo, costantemente ripetuto in tutte le norme che definiscono i doveri e le responsabilità dei titolari, di procedere al riesame e all’ag- giornamento delle misure adottate.

Insomma, proprio perché il GDPR ha una impronta fortemente “sostanzialistica” e basata su una visione della regolazione non solo come un insieme di norme ma anche come una metodologia da se- guire per garantire la tutela del diritto fondamentale alla protezione dei dati personali e incrementare la fiducia dei cittadini nella so- cietà digitale, è evidente che i doveri dei titolari si estendono neces-

Regolare la tecnologia: il Reg. UE 2016/679

78

sariamente a garantire anche misure adeguate a consentire l’eserci- zio dei diritti degli interessati.

Questo aspetto, di per sé è del tutto ovvio anche se finora poco sottolineato, ha però una precisa conseguenza riguardo alla flessi- bilità delle misure da adottare e all’adattamento dell’applicazione delle norme all’evoluzione della tecnologia.

La necessità di un continuo aggiornamento e riesame delle mi- sure adottate è fondamentale non solo per potere dimostrare un ge- nerico rispetto delle regole del GDPR ma anche per poter garantire agli interessati l’esercizio dei loro diritti e poter dimostrare, in qua- lunque momento, alle Autorità, sia di controllo che giurisdizionali, che il titolare non solo rispetta i diritti degli interessati ma ne age- vola l’azionabilità.

Insomma il titolare non è solo vincolato al rispetto dei diritti de- gli interessati ma deve fare quanto è in suo potere per assicurarne la tutela anche sotto il profilo della loro azionabilità e del loro effettivo esercizio.

1.6. Se ci si colloca in questa prospettiva si riesce più facilmente a