Misure di sicurezza organizzative

L’articolo 32 del GDPR non si limita a fornire esempi di sole misure tecniche. Al contrario, alla lettera d) del primo comma suggerisce l’adozione di una “procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicu- rezza del trattamento”. Tale ipotesi ha carattere organizzativo-procedurale e si rivela partico- larmente adatta a garantire la sicurezza dei trattamenti che utilizzino l’Intelligenza Artificia- le, o più in generale sistemi cloud614_{. La garanzia di una verifica costante delle misure di sicu-}

rezza adottate ha un duplice scopo, da un lato tutela lo svolgersi del trattamento e gli inte- ressi dei soggetti coinvolti, dall’altro assicura che, laddove si ricorra ad una serie di tratta- menti collegati che si sviluppano in sequenza, ogni anello della catena sia sempre dotato di misure a tutela della sicurezza e non comporti rischi per le fasi successive615. Ne consegue che il titolare dovrà preoccuparsi di verificare che anche gli altri servizi di cui eventualmente si avvalga non solo adottino misure di sicurezza adeguate, ma predispongano anche accor- gimenti per assicurarne una costante disponibilità ed efficacia. Dunque, la sicurezza sul pia- no organizzativo-procedurale prevista dall’articolo 32 va oltre il singolo trattamento per ab- bracciare anche i servizi e le tecnologie utilizzate, affinché l’inadeguatezza di questi ultimi non metta a repentaglio il trattamento616_.

Sempre sul piano organizzativo, l’articolo 32 del GDPR menziona anche la possibili- tà di aderire a codici di condotta e di ottenere una certificazione, rafforzando il legame tra il principio di sicurezza e quello di responsabilizzazione che, ex articolo 24.3, presenta il me- desimo riferimento agli articoli 40 e 42 del GDPR. Un’ulteriore misura organizzativa ri- guarda la formazione dei soggetti autorizzati a trattare i dati personali617, che è finalizzata sia a istruirli sull’attività da svolgere sia a renderli edotti dei potenziali rischi connessi618_{. Questa}

disposizione pone l’accento sul rapporto tra il titolare e gli altri soggetti preposti al tratta- mento, in particolare il responsabile, e offre l’occasione per riflettere sull’importanza che le scelte di governance hanno anche in materia di sicurezza. Certamente l’individuazione del re- sponsabile è in primo luogo una forma di accountability619, in quanto la conformità al Rego-

614 _{PIZZETTI,La protezione dei dati personali e la sfida dell’Intelligenza Artificiale, cit., 132.} 615 _Ibidem.

616 _{Ibidem, 133.} 617 _{Art. 32.4, GDPR.}

618 _{Cfr. BOLOGNINI,PELINO,BISTOLFI,Le obbligazioni di compliance in materia di protezione dei dati, cit., 328.} 619 _{“Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a re-}

sponsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato”, art. 28.1,

lamento non può prescindere dalle pratiche e dai valori di un’organizzazione e quindi passa anche attraverso la ripartizione delle responsabilità620_{. Cionondimeno, il considerando 81}

del GDPR supera la generale dimensione della responsabilizzazione e associa specificamen- te la valutazione delle garanzie offerte dal responsabile all’implementazione di misure di si- curezza: “ […] il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento”. Il responsabile del trattamento, infatti, deve essere in grado di adempiere agli obblighi di adottare le misure previste dall’articolo 32621 e di assistere il tito- lare nel garantire il rispetto degli articoli da 32 a 36622_.

Il fatto che l’implementazione delle misure di sicurezza gravi sia sul titolare che sul responsabile comporta l’attribuzione ad entrambi di una responsabilità a tal riguardo. A confermarlo è l’articolo 83.2.d) il quale richiede che, nel comminare una sanzione ammini- strativa per violazione delle misure di cui all’articolo 32, l’Autorità competente valuti “il gra- do di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32”623_{. Posto che la responsa-}

bilità può essere ripartita tra titolare e responsabile, resta da precisare secondo quale criterio la si attribuirà all’uno o all’altro. Sussiste in capo al titolare una responsabilità per culpa in eli- gendo qualora non venga rispettato il criterio di cui al considerando 81 del GDPR, poiché la scelta del responsabile da parte del titolare dovrebbe essere effettuata in base anche alla va- lutazione del possesso di caratteristiche e competenze con riferimento alle misure di sicu- rezza che il responsabile deve adottare ai sensi dell’articolo 28.3.c)624_{. Non si può escludere,}

inoltre, la culpa in vigilando del titolare rispetto alla mancata adozione di misure di sicurezza adeguate da parte del responsabile che non si sia attenuto a quanto stabilito nella designa- zione sulla base dell’articolo 28.3.c).

GDPR.

620 _{A conferma di ciò il considerando 79 lega la tutela dei diritti e delle libertà dell’interessato e la responsabili-}

tà generale del titolare e del responsabile ad una “chiara ripartizione delle responsabilità”. Cfr. BOLOGNINI,PELI- NO,BISTOLFI,Le obbligazioni di compliance in materia di protezione dei dati, cit., 328.

621 _{Art. 28.3.c), GDPR.} 622 _{Art. 28.3.f), GDPR.}

623 _{La stessa impostazione è mantenuta nell’articolo 84.4.a) che parla di sanzione amministrativa comminata}

nel caso in cui vi sia una violazione degli “obblighi del titolare del trattamento e del responsabile del trattamento a norma

degli articoli […] 32”. Cfr. BOLOGNINI,PELINO,BISTOLFI,Le obbligazioni di compliance in materia di protezione dei dati, cit., 402-403.

624 _{In tal senso il possesso di una certificazione o l’adesione ad un codice di condotta da parte del responsabile}

si potrà tradurre in una inversione dell’onere della prova da parte del titolare che sarà agevolato nel dimostrare di aver agito in conformità con il principio di responsabilizzazione e di sicurezza. Cfr. Ibidem, 403.

118

Muovendo ancora dal considerando 81 del GDPR, può essere sviluppata un’ulteriore riflessione volta a precisare il raggio d’azione della data protection by design quale misura di si- curezza tecnica. L’articolo 25 del Regolamento fa esplicito riferimento solo alla figura del titolare quale soggetto tenuto a implementare forme di protezione fin dalla progettazione, facendo sorgere delle perplessità applicative relativamente al responsabile, assente dalla lettera della norma. Ciò ha particolare rilievo nel caso in cui quest’ultimo sia il produttore dello stru- mento tecnologico di cui il titolare intende avvalersi ai fini del trattamento: l’obbligo di pre- disporre, sin dalla progettazione, un sistema privacy-compliant non sarebbe applicabile proprio al soggetto che avrebbe la possibilità concreta di adempierlo, ossia il produttore (o designer). Ad offrire una via d’uscita da questa impasse è, per l’appunto, il considerando 81 del GDPR, anche alla luce degli articoli 24.1 e 28.3.c). Dal momento che il titolare è tenuto a ricorrere a responsabili che presentino sufficienti garanzie per la sicurezza del trattamento, e conside- rando che quest’ultima è assicurata dalla data protection by design (soprattutto in contesti tec- nologici avanzati), il titolare che scelga come responsabile del trattamento il produttore di un sistema privo di forme di protezione ab origine violerà gli obblighi impostigli dal GDPR a tutela della sicurezza del trattamento625_.

Inoltre, come accennato in chiusura del paragrafo precedente, la data protection by design presenta una duplice dimensione, in quanto il concetto di progettazione di un sistema con- forme al principio di sicurezza è applicabile tanto ad un dispositivo (sistema tecnologico), quanto all’organizzazione dei soggetti che trattano i dati (sistema di governance). Ciò significa che nel determinare i ruoli, il titolare dovrebbe progettare ex ante, per mezzo delle designa- zioni, un ecosistema che sia privacy-compliant.

1.2.3 L’attribuzione dei ruoli nel modello cloud come misura di sicurezza orga-