La profilazione alla luce del nuovo Regolamento europeo
3. Obblighi general
Il Capo IV(artt. 24-43) del suddetto Regolamento è dedicato all’individuazione degli obblighi dei responsabili del trattamento, è suddiviso in cinque sezioni e sin da una prima lettura appare piuttosto innovativo.
Rispetto a quanto previsto dalla Direttiva n. 95/46/CE il Regolamento UE n. 2016/679 presenta un capovolgimento di prospettiva208 e, in tal senso, mostra un interesse maggiore, tanto che vi dedica una sezione più ampia, verso i doveri e le misure di sicurezza che il titolare ed il responsabile del trattamento devono osservare, invece che ai diritti dell’interessato.
Tale interesse, mostrato dal GDPR, scaturisce dal fatto che questo vuole impedire eventuali danni all’interessato e intende permettere a quest’ultimo di esercitare in maniera efficace i propri diritti, pertanto aumenta gli obblighi di coloro che svolgono il trattamento dei dati ed introduce ulteriori sistemi di sicurezza.
In tal modo, la protezione dei dati personali trova un rilevante e aggiuntivo consolidamento “nella proceduralizzazione degli obblighi di Titolari e Responsabili, che risultano pesantemente aggravati, ma ove rispettati capaci di assicurare un elevato livello di sicurezza dei trattamenti”209
.
Tra gli obblighi si rinvengono il principio di privacy by design e by default (art.25), l’obbligo di tenere i registri delle attività di trattamento (art.30), la cooperazione con
208 In tal senso Pizzetti F, Privacy e diritto Europeo alla protezione dei dati personali. Dalla Direttiva
95/46 al nuovo Regolamento europeo, cit., pag. 154.
209 Ogriseg C., Il Regolamento UE n.2016/679 e la protezione dei dati personali nelle dinamiche
114 l’autorità di controllo (art.31), la nomina del responsabile ed i suoi compiti (artt. 37-39), la certificazione (art.42), tuttavia in relazione alla profilazione saranno di seguito esaminati gli obblighi relativi alla notifica e alla comunicazione di una violazione dei dati personali all’autorità di controllo e all’interessato (artt.33 e 34) e la valutazione d’impatto sulla protezione dei dati (art.35).
3.1 Notifica e comunicazione di una violazione di dati personali all’autorità di controllo e all’interessato: la Data breach notification
Nel Regolamento UE si delinea un nuovo approccio alla sicurezza, tramite l’obbligo della data breach notification. In tal senso, nel caso in cui si sia verificata una violazione dei dati personali, il titolare ha l’obbligo di notificarlo all’Autorità Garante e all’interessato (artt. 33 e 34).
La ratio della disciplina della data breach notification si deduce dal Considerando 85, secondo cui una violazione dei dati personali può, se non è prontamente affrontata in maniera adeguata, causare danni fisici, materiali o immateriali alle persone fisiche, quali perdita del controllo dei dati personali, furto o usurpazione d’identità, pregiudizio alla reputazione, o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Quindi, non appena il titolare è a conoscenza di un eventuale violazione dei dati personali, è tenuto a notificare tale violazione all’Autorità e deve altresì informare l’interessato senza ingiustificato ritardo, se è possibile, entro le 72 ore dal momento in cui ne è venuto a conoscenza, salvo che il titolare sia capace di dimostrare che detta violazione non presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica deve essere accompagnata dalle ragioni del ritardo.
La data breach notification è una procedura che da parecchio è utilizzata nel nostro ordinamento e si aggiunge alle notificazioni che sono già previste dalla normativa europea e italiana in altri settori; infatti, la profilazione degli utenti durante la navigazione online e la gestione degli eventi di data breach, sono aspetti che da tempo sono stati oggetto di attenzione da parte dei regolatori, in ragione del crescente valore in
115 chiave strategica e predittiva assunto dalle informazioni, ed in particolare da quelle personali, nelle economie più avanzate210.
In merito, un esempio è rappresentato dal Regolamento EU211 eIDAS212, che impone ai prestatori di servizi fiduciari di notificare all’organismo di vigilanza ed ad altri enti interessati, tra i quali l’ENISA o l’autorità di protezione dei dati, tutte le violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali custoditi (art. 19). Nell’ordinamento italiano si ricorda invece il Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach)213, in cui è sancito che le società telefoniche e Internet provider hanno l’obbligo di avvisare il Garante e gli utenti quando i dati trattati col fine di fornire i servizi sono oggetto di gravi violazioni, a seguito di attacchi informatici o di eventi avversi, quali incendi o altre calamità, che possano provocare perdita, distruzione o diffusione indebita di dati. Difatti, “è innegabile, la situazione di pregiudizio che possa derivare”214
da tale violazione.
Invece, con l’introduzione dell’art.33 il presente Regolamento estende tale disciplina ad ogni tipo di trattamento e prevede che le Autorità garanti dovranno essere informate tempestivamente dal titolare del trattamento nel caso di violazione dei dati personali, mediante notifica e senza ingiustificato ritardo.
La notifica dovrà contenere come minimo:
• una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti;
210 In tal senso Mantelero A., Big data: i rischi della concentrazione del potere informativo digitale e gli
strumenti di controllo, cit., pag. 135.
211
Regolamento UE n.910/2014 del Parlamento Europeo e del Consiglio, 23 luglio 2014, in materia di
identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE, G:U.E. 28 agosto 2014. In www.eur-lex.europa.eu.
212
Il regolamento è suddiviso in quattro parti: la prima reca le definizioni; la seconda ha ad oggetto l’identificazione e l’autenticazione elettronica; la terza concerne le firme elettroniche; la quarta riguarda i cosiddetti « servizi fiduciari » o trust services. In tal senso Finocchiaro G., Una prima lettura del Reg. Eu
n.910/2014 (c.d. eIDAS): identificazione online, firme elettroniche e servizi fiduciari, in Le nuove leggi
civili commentate, 2015, pag. 422.
213
Garante per la protezione dei dati, Provvedimento in materia di attuazione della disciplina sulla
comunicazione delle violazioni di dati personali (c.d. data breach), 4 aprile 2013, doc-web 2388260, in
www.garanteprivacy.it.
214 Panetta R., Data breach: nuovo provvedimento del Garante Privacy sulle modalità di notifica, 2013,
116 • il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto, al fine di agevolare lo scambio di informazioni con l’Autorità;
• una descrizione sulle probabili conseguenze della violazione dei dati personali; • una descrizione delle misure adottate o di cui si propone l’adozione da parte del
titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Inoltre, il titolare del trattamento deve documentare ogni tipo di violazione dei dati personali, comprese le circostanze, le conseguenze e i provvedimenti messi in atto al fine di porre un rimedio e mettere a disposizione del garante la relativa documentazione.
Quando la violazione dei dati personali può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve comunicare la violazione all’interessato senza ingiustificato ritardo (art. 34), prevedendo tuttavia tre casi di eccezione a tale obbligo:
• il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
• il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
• detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Il Regolamento “boccia come inefficace l’obbligo, in generale, di notificare al Garante il trattamento di dati personali, introdotto dalla Direttiva 95/46/Ce, non avendo per nulla tale istituto rafforzato la protezione dei dati personali. Con una vision moderna il Regolamento introduce i concetti di accountability e di approccio “ risk oriented ” che,
117 insieme, rendono di gran lunga più robusto l’impianto (il modello) che le organizzazioni devono implementare per proteggere efficacemente i dati personali”215
.
L’impostazione da parte dei titolari del trattamento “di un idoneo piano di gestione delle violazioni sulla base di un’accurata analisi dei rischi sarà necessaria per poter adempiere correttamente all'obbligo di comunicazione”216
.
Dunque, la finalità di tale norma è di permettere all’autorità di controllo di attivarsi senza ritardo in modo tale che venga valutata tempestivamente la gravità della violazione e si decida quali misure imporre al Titolare.
La data breach dovrebbe essere considerata come un “processo strutturato che consideri insieme sia l’obbligo di adottare misure tecniche ed organizzative appropriate per assicurare il livello di sicurezza adeguato al rischio, sia l’obbligo stesso della notifica (all’autorità e/o all’interessato)”217
, quindi questi due aspetti sono strettamente collegati tra di loro.
3.2 Sicurezza dei dati personali: principio di accountability e Privacy Impact Assessment
Il Regolamento pone particolare attenzione alla sicurezza dei dati personali ed al relativo trattamento, tant’è che, come si è appena visto, il legislatore predispone maggiori obblighi ai titolari e responsabili del trattamento, in virtù del rilevante impatto che una possibile violazione dei dati personali potrebbe determinare.
In termini di misure di sicurezza da dover adottare col fine di proteggere i dati personali da eventuali violazioni, una delle novità più rilevanti apportate dal Regolamento, si rinviene relativamente al nuovo approccio al rischio, basato sul principio di
accountability.
Si tratta di un principio sviluppato nel corso della 32esima conferenza mondiale in tema di privacy, svoltasi a Gerusalemme nel 2010218, e applicato in ambito aziendale219.
215 Montanile M., Notifiche della violazione al Garante, in Diritto & Pratica del lavoro, 2016, pag. 1874. 216 Soffientini M., Privacy: guida al regolamento europeo, in Diritto & Prativa del lavoro, 2016, pag. 14. 217 Montanile M.,Notifiche della violazione al Garante, cit., pag.1878.
218
118 In virtù di questo principio, il Regolamento dispone che il titolare del trattamento è tenuto a valutare ed ad adottare le misure tecniche e organizzative adeguate per garantire che il trattamento si svolge in conformità di quanto disposto, sulla base della natura, dell’ambito di applicazione, del contesto, delle finalità del trattamento e dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Si tratta di misure non soltanto tecnologiche ma anche organizzative, dal momento che “l’unico modo efficace di affrontare il problema della sicurezza dell’informazione è quello che ne comporta una visione integrata: informatica, giuridica e organizzativa”220
.
Pertanto, è necessario che il problema della sicurezza non sia affrontato soltanto come un problema di natura informatica, piuttosto devono essere affrontate questioni in ambito organizzativo e legale. Mediante la sicurezza deve essere assicurato un livello costante di protezione dei dati in ogni singola operazione del trattamento.
La sicurezza è un concetto che evolve nel tempo e deve rapportarsi alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati personali trattati ed alle peculiarità di ogni fase del trattamento. Dunque, sta al titolare individuare le misure di sicurezza da adottare in seguito ad una attenta valutazione (tecnica, giuridica e organizzativa); altresì, il titolare non deve solamente rispettare la normativa vigente, bensì deve essere anche in grado di dimostrare che il trattamento sia conforme alle disposizioni del GDPR.
Dunque, il Regolamento sancisce l’utilizzo del principio dell’accountability (artt. 5, par. 2,e 32), letteralmente “principio di rendicontazione o di responsabilità”221
, che consiste nell’obbligo di conformarsi e di comprovare. Il titolare, infatti, deve essere capace di dimostrare che ha adottato tutte le misure giuridiche, organizzative, tecniche, per garantire la protezione dei dati personali, anche mediante l’elaborazione di specifici modelli organizzativi.
La disposizione sul principio dell’accountability “avrebbe lo scopo di promuovere l’adozione di misure concrete e pratiche, in quanto trasformerebbe i principi generali 219 In tal senso Soffientini M., Privacy: presupposti di legittimità del trattamento dati nella Ue, in Diritto
& pratica del lavoro, 2017, pag. 2270.
220 Finocchiaro G., ., Introduzione al Regolamento europeo sulla protezione dei dati, cit., pag. 10.
221 Il termine “accountability” è stato tradotto con l’espressione “principio di responsabilità” nel Parere
3/2010 sul principio di responsabilità, del Gruppo di lavoro articolo 29 per la protezione dei dati, WP
119 della protezione dei dati in politiche e procedure concrete definite al livello del responsabile del trattamento, nel rispetto delle leggi e dei regolamenti applicabili. Il responsabile del trattamento dovrebbe anche garantire l’efficacia delle misure adottate e dimostrare, su richiesta, di aver intrapreso tali azioni”222
.
Dunque, come si è precedentemente detto, ai fini della sicurezza del trattamento occorre la previsione della responsabilità, con la necessità di adottare misure appropriate, e la prova dell’efficacia delle misure adottate. Perciò, strettamente connessa al principio dell’accountability è la previsione di meccanismi di certificazione della conformità delle misure adottate alla legge vigente (art.42)223.
Quindi, il nuovo Regolamento mediante il principio dell’accountability impone ai titolari di introdurre un nuovo modello organizzativo “con meccanismi di responsabilizzazione interna, mediante l’elaborazione di un idoneo sistema documentale di gestione della privacy”224.
L'inadempimento da parte del titolare, in tal caso, non sussiste nell’esecuzione di un trattamento illegittimo, piuttosto è rappresentato dall'incapacità del titolare di provare di aver adottato le adeguate misure.
Sempre in merito all’analisi delle misure di sicurezza da adottarsi, ulteriore novità è la
Privacy Impact Assessment (PIA), letteralmente “valutazione d’impatto sulla privacy”,
che consiste in una procedura di analisi sia dei rischi, sia dell’impatto che le misure tecnico organizzative hanno su di questi.
“I rischi legati alla privacy, ovvero al trattamento di dati personali possono riguardare un processo, una tecnologia e/o un’organizzazione. La valutazione dell’impatto che l’adozione di determinate misure tecniche e/o organizzative hanno sulla protezione dei dati stessi serve a misurare la riduzione del rischio stesso”225
.
222
Article 29 Data Protection Working Party, Parere 3/2010 sul principio di responsabilità, WP n. 173, 13 luglio 2010, pag.9, in www. http://ec.europa.eu.
223 È bene precisare che, in ambito dei meccanismi di certificazione, l’art. 32 comma 3 prevede che
“l’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo”.
224 Soffientini M., Protezione dei dati personali: nuovo Regolamento UE, in Diritto & Pratica del lavoro,
2016, pag. 1566.
225 Paro A., Impact Assessment: cosa cambia per le aziende, in Diritto & Pratica del lavoro, 2016, pag.
120 È un istituto fondamentale nel sistema privacy del GDPR, tanto da essere uno degli aspetti più rivoluzionari all’interno del Regolamento226
.
Il concetto di Privacy Impact Assessment può essere definito come “un metodo per verificare l’impatto sulla privacy di un progetto, una politica, un programma, un servizio, un prodotto o altre iniziative che riguardano il trattamento di informazioni personali e, in accordo con le parti interessate, per mettere in atto, se necessari, rimedi al fine di evitare o minimizzare gli effetti negativi”227
.
Dunque, la PIA non è un semplice strumento, ma un vero e proprio processo, che deve essere intrapreso prima di eseguire un qualunque progetto che implichi l’uso di dati personali, continuando a permanere successivamente per tutta la durata di tale progetto.
La PIA dovrà essere effettuata in un momento antecedente “allo sviluppo di un prodotto/servizio/processo e della sua definizione, nonché periodicamente sullo stato di applicazione del sistema di privacy aziendale e/o di processo”228.
Quindi, è svolta in un momento precedente allo sviluppo di un prodotto, servizio o processo, in una fase in cui questi non sono ancora completamente definiti. Pertanto, in tale fase si identificano i trattamenti, si valuta il relativo impatto sulla protezione dei dati, si definisce il livello di rischio e si determinano le misure da adottare per ridurre quest’ultimo. Dunque, è fondamentale che il titolare svolga la PIA prima di eseguire il trattamento, in modo da poter valutare la probabilità e la gravità del rischio, considerando la natura, l’oggetto, il contesto e le finalità del trattamento, al fine di evitare o per lo meno ridurre tale rischio.
Accade che, a volte, la privacy impact assessment, essendo una soluzione di tipo tecnico, viene compresa tra le diverse forme mediante cui si realizza il principio di
privacy by design, eppure i due concetti non coincidono.
Per quanto riguarda la PIA, questa si mette in atto in una fase iniziale dello sviluppo del prodotto/servizio, quando ancora il relativo design non è definito in modo permanente, ma è ancora in fase di progettazione. “In questa delicata fase va condotta la valutazione della specifica soluzione prospettata implicante il trattamento dati (un nuovo sensore
226 In tal senso Biasiotti A., Il nuovo Regolamento europeo sulla protezione dei dati, cit., pag. 301. 227 Wright D., De Hert P., Privacy impact assessment, Springer, 2012, pag. 5.
228 Ogriseg C., Il Regolamento UE n.2016/679 e la protezione dei dati personali nelle dinamiche
121 RFID229, piuttosto che un software volto al tracciamento online)”230. Nel caso in cui il giudizio, circa la conformità del trattamento alle disposizioni del GDPR, risulta essere positivo, si potrà procedere allo sviluppo del prodotto/servizio in cui si potranno inserire, se necessarie, determinate soluzioni di privacy by design.
Inoltre, la PIA, a differenza della privacy by design, non si applica solamente nella fase iniziale di progettazione, piuttosto è uno strumento di valutazione che dovrà essere aggiornato per tutto il periodo di vita del dispositivo o della soluzione tecnica, poiché eventuali modifiche di questi possono implicare nuovi e differenti rischi.
Il nuovo Regolamento dedica molta attenzione al tema della PIA, infatti è stata riservata a quest’ultima l’intera Sezione terza, con gli artt. 35 e 36.
Tuttavia, il GDPR non estende il processo di PIA a qualunque tipo di trattamento, infatti l’art. 35 dispone che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.
Si evince pertanto che il Regolamento impone la procedura della PIA solamente nel caso in cui vi sia la possibilità di un elevato rischio per i diritti e le libertà delle persone fisiche, anche perché se venisse estesa in maniera indiscriminata a qualsiasi trattamento, oltre ad essere troppo onerosa per alcuni, si potrebbe correre il rischio che non vi si adempia.
Tuttavia, tale descrizione crea il problema di definire il concetto di elevato rischio, il quale viene definito solamente tenendo conto di parametri quali “la natura, l’oggetto, il
229
Radio Frequency Identification (RFID) è un termine generico per le tecnologie che usano trasponder (radio device) al fine di identificare un oggetto. Tale tecnologia si sviluppa nella prima parte del ventesimo secolo e fu inizialmente utilizzata per identificare se gli aerei militari fossero nemici o meno. Oggi, la tecnologia RFID ha trovato diverse applicazioni per esempio nel campo della sicurezza, logistica e manutenzione. In tal senso Evdokimov S., Fabian B., Gunter O., Ivantysynova L., Ziekov H., RFID and
the Internet of Things: Technology, Applications and Security Challenges, Now Publishers Inc., Boston,
2010, pag. 5.
230 Mantelero A., Riforma della direttiva comunitaria sulla data protection e sulla privacy impact
assessment,verso una maggiore responsabilità dell’autore del trattamento?, in Diritto dell’informazione
122 contesto e le finalità del trattamento”. Così, il legislatore detta la seguente disciplina assumendo che le finalità e lo scopo del trattamento siano abbastanza specifici da poter condurre un’analisi del rischio, ma nel caso in cui le finalità e lo scopo non siano specifici la situazione si complicherebbe.
Perciò, il Regolamento stabilisce al paragrafo 4 che “l’autorità di controllo redige e