Gli obblighi insiti all’interno del trattamento, le nuove figure introdotte

La disciplina introdotta dal Regolamento prevede importanti obblighi avente carattere generale, al fine di una tutela efficacie dei dati oggetto di trattamento.

infatti, ruolo centrale all’interno di tal delicato procedimento è dato dalla responsabilità del titolare del trattamento, che, in funzione delle novità introdotte dal Regolamento, dovrà mettere in atto misure tecniche e organizzative idonee, al fine di garantire la tutela dei dati raccolti, nonché introdurre tutte gli strumenti necessari al fine di dimostrare che il trattamento in oggetto è stato effettuato in modo conforme a quanto disposto dal Regolamento.

Tale formula utilizzata all’art. 24 di tale fonte europea, evidenzia come il legislatore europeo ha inteso responsabilizzare il titolare, in quanto ha obbligo di adozione di misure conformi al criterio di adeguatezza sotto il profilo tecnico, tenendo sempre conto dello stato dell’arte e dell’evoluzione tecnologica tecnologia del momento in riferimento però al preciso settore di riferimento, nonché organizzativo, mettendo in risalto il carattere sinergetico fra le diverse competenze, attuando un vero e proprio dialogo fra diritto e tecnologia98_{, integrando di fatto le competenze tecnico-informatiche e di carattere}

organizzativo con quelle giuridiche.

Elemento di carattere fondamentale è dato dal fatto che il titolare del trattamento, al fine dell’adozione di tali importanti misure, deve tener conto non solo della natura del

98 _{In merito, G.D.FINOCCHIARO, “Introduzione al Regolamento europeo sulla protezione dei dati”, in Nuove leggi}

trattamento stesso, dell’ambito di applicazione e del contesto, ma anche deve prestare particolare attenzione ai potenziali rischi per i diritti e per le libertà delle persone fisiche, costringendo il titolare a porre in essere una valutazione preventiva che abbia come oggetto la tutela del soggetto interessato.

Per questo motivo si può affermare che tale impostazione rappresenta il primo livello di valutazione del trattamento, basato sulla gestione del rischio di carattere generico e non formalizzato99_{, imponendo quindi un’attività di bilanciamento, in riferimento ai principi di}

carattere fondamentali presenti all’interno della Carta dei Diritti fondamentali dell’UE, fra gli interessi presenti all’interno del trattamento, i quali devono essere evidenziati mediante un’attività ex ante posta in essere dal soggetto che conosce le caratteristiche di questo procedimento, coinvolgendolo all’interno di questa nuova logica partecipativa e responsabilizzate, incentrata sulla tutela dei diritti fondamentali dell’interessato.

Ulteriore prescrizione diretta al titolare del trattamento riguarda, in materia di sicurezza dei dati personali, l’adozione di misure tecniche di carattere organizzativo idonee a garantire un adeguato livello di sicurezza e risposta al rischio esistente.

La nuova disciplina ha poi introdotto nuovi gli obblighi in capo al titolare e al responsabile del trattamento, superando la vecchia direttiva, ossia la n. 46/1996, in cui si prevedevano semplici prescrizioni attinenti all’aspetto della sicurezza dell’attività di raccolta, che dovevano essere attuati dagli Stati membri individuando le misure adeguate a tal scopo, ma solo per poter reagire al danno causato, ossia in previsione di distruzione accidentale o illecita, perdita accidentale o alterazione, ovvero accesso non autorizzato.

La vecchia Direttiva aveva in mente una logica ex post al trattamento, in cui si doveva “tamponare” gli eventuali errori commessi nella fase di trattamento.

La nuova disciplina invece adotta una visione di insieme più circolare e omnicomprensiva, in quanto si trova, lungo tutto il testo del Regolamento, più disposizioni in cui si prevedono strumenti di tutela dei diritti e delle libertà delle persone e in più risulta arricchita la figura stessa del titolare del trattamento, una volta relegata all’ambito della sicurezza, creando un sistema in cui si favorisce la partecipazione diretta e penetrante di tal figura all’interno dell’intero ciclo di gestione dei dati in ogni sua fase.

Le misure previste dall’art. 24 del Regolamento, seppur posseggono un’ottica di lunga durata, sono oggetto di revisione ogni qual volta che ne si ravvisi ragione, in quanto il criterio di appropriatezza o di adeguatezza delle misure deve essere letto in una duplice ottica, ossia da un lato la compliance, in cui si garantisce che il trattamento venga eseguito in conformità con la disciplina delineata dal Regolamento, dall’altro invece la prova della

compliance, ossia il titolare del trattamento deve essere in grado di dimostrare la

conformità con la disciplina in materia, in un ottica di responsabilizzazione di tale figura, tenendo comunque conto dell’esistenza di altri strumenti che facilitino tale prova, come ad esempio i codici di condotta ossia il meccanismo di certificazione, già oggetto di separata analisi nei paragrafi precedenti.

Tra le misure poste in essere dal titolare figurano esplicitamente l’attuazione di politiche adeguate in materia di protezione dei dati personali, sebbene si richiami in materia il principio di proporzionalità con l’attuazione di tali strumenti e le finalità ultime del trattamento.

Il nuovo cambio d’impostazione si riverso con forza anche all’interno del piano soggettivo della struttura così delineata; infatti, anche in presenza di contitolarità del trattamento, ossia nel caso in cui le finalità e i mezzi siano determinati in maniera congiunta da più titolari, si può assistere ad una vera e propria funzionalizzazione100 _{all’esercizio dei diritti}

dell’interessato, individuando uno strumento di accordo fra le due figure, in cui, attraverso l’attuazione di una logica di trasparenza e intellegibilità e poiché il contenuto stesso dell’accordo è disponibile fin da subito all’interessato, si dividono le reciproche responsabilità, avendo come fine ultimo il “particolare riguardo all’esercizio dei diritti dell’interessato”101_{, potendo infine designare un punto di contatto per gli interessati nel}

trattamento, in quanto possono relazionarsi liberamente con i vari titolari per l’esercizio dei loro diritti, senza però rinunciare alla possibilità di esercitarli nei loro confronti.

La finalità di tutela dei diritti dell’interessato risulta essere un prospettiva dominate all’interno dell’intero processo di gestione dei dati, in quanto è possibile riconoscere tale finalità anche all’interno della scelta, del titolare del trattamento, di designazione del responsabile del trattamento, il quale ha come compito fondamentale l’esecuzione

100 _{N. ZORZI GALGANO, “Persona e Mercato dei dati”, p. 264 e ss, Cedam, 2019} 101 _{Regolamento 679/2016, art. 26, par. 1.}

materiale di tale procedura per conto del titolare stesso, rispettando quindi i medesimi obblighi di carattere generale previsti dall’art. 24, in particolare occorre che il responsabile presenti importanti garanzie al fine dell’adozione di misure di carattere tecnico- organizzativo sufficienti al fine della soddisfazione dell’esigenza di tutela dei diritti dell’interessato.

Su tale impostazione è incentrato anche l’eventuale contratto o altro strumento giuridico finalizzato alla regolazione del rapporto che intercorre fra titolare e responsabile del trattamento, in quanto occorre tener conto della finalità di “[…] dar seguito alle richieste per l’esercizio dei diritti dell’interessato”102_{, delineando quindi una funzione di tipo}

assistenziale da parte del responsabile del trattamento stesso, inserita a sua volta all’interno di una visione più estesa incentrata sempre alla sicurezza del trattamento stesso.

Infine, occorre poi delineare un ulteriore figura, inserita sempre all’interno di questo

leitmotiv, costruito intorno alla tutela dei diritti e libertà delle persone fisiche, ossia il

responsabile per la protezione dei dati personali.

La designazione di tal figura viene attuato solo dopo aver preso in considerazione gli eventuali rischi inerenti al trattamento, in quanto, nell’esercizio delle sue funzioni di sorveglianza dell’osservanza del Regolamento, di valutazione e infine di consulenza, deve sempre considerare la natura stessa del trattamento, ovvero l’ambito applicativo e infine il contesto e le finalità ultime di tale procedimento.

Come già anticipato, la designazione del responsabile per la protezione dei dati personali, prevista all’art. 37, par. 1 del Regolamento, è in capo al titolare e al responsabile del trattamento e deve essere sempre collegata alla fattispecie di trattamento attivato, in quanto, per sua particolare caratteristica, può inficiare in maniera pervasiva sui diritti degli interessati, come ad esempio tutti quelle tipologie di trattamento effettuate direttamente da autorità o organismi pubblici, ad esclusione dell’autorità giudiziaria, nonché qualora tal procedimento comporti il monitoraggio, su base sistematica, dei soggetti interessati, il quale però viene condotto su larga scala, oppure ha come oggetto le categorie di dati personali particolari, in relazione alla particolare sensibilità.

Per quanto riguarda i compiti stessi del responsabile per la protezione dei dati personali il Regolamento dispone che sotto il profilo della somministrazione delle risorse, è necessario che siano adeguate per l’esecuzione delle sue funzioni primarie, sempre in un ottica di protezione dei diritti dell’interessato, non solo in riferimento ai compiti esercitati all’inizio del trattamento, come ad esempio attività d’informazione e di consulenza, svolta all’interno del modello organizzativo specifico del titolare del trattamento, nonché per l’attività consultiva nella redazione della valutazione di impatto sulla protezione dei dati, ma anche in riferimento alle attività svolte a valle del trattamento, come l’attività di controllo in funzione di rispetto della disciplina vigente.

Ulteriore ed importante funzione del responsabile per la protezione dei dati personali risulta essere il suo ruolo di principale interlocutore, ovvero punto di contatto, con l’autorità di controllo nazionale, per tutte le varie questioni attinenti al trattamento in questione e tale funzione deve essere inquadrata all’interno di un più ampio schema di cooperazione, in vista soprattutto dell’esistenza dei possibili pregiudizi per i diritti e le libertà dei soggetti interessati.

Gli obblighi così individuati dal Regolamento, non devono essere visti come semplici oneri aggiuntivi, che gravano sulle spalle del titolare del trattamento, ma devono essere inseriti all’interno di un preciso circuito di gestione della protezione dei dati personali, coinvolgendo, in maniera diretta, i soggetti interessati da tal procedimento.

Esempio di tale impostazione può essere ritrovata all’interno della nuova disciplina riguardo alla pubblicità dei trattamenti stessi; infatti, la vecchia pubblicità del trattamento, previsto all’interno della Direttiva CE n. 46/1995, prevedeva che i vari Stati membri dovevano munirsi di specifici registri, conservati all’interno delle autorità nazionali di riferimento, in cui dovevano essere conservati i vari trattamenti notificati in relazione all’allora obbligo di notifica, a carico del responsabile dei trattamenti, previsto all’interno dell’art. 18 della Direttiva.

A seguito del fallimento di tal regime di notifica, il quale fin da subito costituiva non solo un gravoso onere, ma anche uno strumento di dubbia efficacia per la tutela dei diritti in gioco, si è introdotto non solo l’obbligo di tenuta della documentazione relativa ai trattamenti, ma come già accennato, si è introdotta la valutazione d’impatto del trattamento, nonché si è costituito uno strumento ad hoc per le relative violazioni, ossia

data breach notification, posto sotto la diretta supervisione del responsabile per la

protezione dei dati personali.

Per quanto riguarda la tenuta degli appositi registri, si prevede oggi la loro tenuta sia sotto forma cartacea che elettronica, aventi contenuto i vari trattamenti svolti sotto la responsabilità del titolare e del responsabile del trattamento.

Il contenuto di tali registri risalta essere di vitale importanza per quanto riguarda l’aspetto della trasparenza, in quanto è possibile reperire tutte le informazioni utili inerente l’intero svolgimento del trattamento, sebbene prestando particolare attenzione alle misure di protezione che devono essere implementate, nonché l’indicazione del nominativo e dei dati di contatto dei vari responsabili o titolari dl trattamento, il termine ultimo di cancellazione dei dati personali trattati, le finalità del trattamento stesso in relazione alla categoria dei dati interessati e infine, solo per il registro tenuto dal titolare, i trasferimenti di dati a paesi terzi, corredate dalle rispettive garanzie di adeguatezza.

La scelta del Regolamento di porre in essere l’obbligo di tenuta degli appositi registri è stata attuata al fine di scongiurare la possibilità di rischi potenziali per i diritti dell’individuo. Esiste poi una certa presunzione di pericolosità del trattamento, qualora il titolare sia un’impresa o un’organizzazione che possiede 250 o più dipendenti; infatti, grazie a quanto evidenziato dal FAQ del Garante datato 8 ottobre 2018, si fa riferimento al numero di dipendenti come strumento di discrimine fra l’applicazione o meno dell’obbligo di tenuta dei registri relativi al trattamento, mentre, al di sotto di tale soglia, tale obbligo sorgerà solo in caso di valutazione concreta della pericolosità dei dati oggetto di trattamento stesso.

Sebbene fuori dai casi così evidenziati l’obbligo di tenuta di registri appositi non sia applicabile, il Garante comunque ne raccomanda sempre la redazione, in quanto non solo fornisce piena trasparenza sui mezzi e sulle modalità utilizzate all’interno del trattamento, ma anche utile attuazione del principio di responsabilità introdotto dal Regolamento, consentendo al titolare, qualora sorgessero problemi relativi alla conformità con il trattamento e la disciplina delineata in sede europea, di utilizzare il registro come prova di

3.5.1. Gli strumenti di protezione dei dati personali ex ante, l’impostazione di privacy by

design e by default

L’ottica di tutela dei diritti connessi al trattamento dei dati personali si inserisce soprattutto anche a livello organizzativo.

Infatti, all’interno della Comunicazione della Commissione del 2010, aventi come titolo “Un approccio globale alla protezione dei dati dell’Unione Europea, COM 2010 n. 609, si è fatto riferimento alla necessità di un’intera revisione dell’approccio organizzativo alle tematiche della privacy, introducendo un diverso punto di vista, in quanto la tutela dei diritti fondamentali viene direttamente incorporata all’interno del risultato finale del trattamento, trasformando dunque la privacy da “costo a valore”103_.

Tale approccio viene definito come privacy by design e viene utilizzato al fine di implementazione di nuovi principi per la costituzione di nuove modalità di risoluzione delle problematiche connesse alla privacy, attraverso l’implementazione del principio di tutela dei diritti dell’interessato all’interno della struttura organizzativa stessa.

L’introduzione di questa nuova forma di tutela si inserisce all’interno di una visione di responsabilizzazione delle imprese stesse, sempre nel rispetto dei canoni di neutralità tecnica e flessibilità delineati all’interno del Gruppo di lavoro art. 29104_.

L’utilizzo dell’approccio by design si estrinseca nell’inserimento della tutela dei dati personali in una fase prodromica al trattamento stesso, in relazione anche alla circolarità dei dati trattati, imponendo al titolare del trattamento l’utilizzo di misure specifiche, a livello tecnico-organizzativo, per l’implementazione dei principi inerenti alla protezione dei dati personali.

Tali misure sono ricomprese all’interno dell’art. 25 del Regolamento e attengono soprattutto l’aspetto progettuale e preparatorio del trattamento stesso.

103 _{Espressione utilizzata da F. Mollo all’interno del libro NADIA ZORZI GALGANO, “Persona e Mercato dei dati”,}

p. 272 e ss, Cedam, 2019.

104 _{“The Future of Privacy joint contribution to the Consultation of the European Commission on the legal}

Infatti, il titolare dovrà porre in essere strumenti e modalità specifiche per poter più coerentemente implementare i principi in materia di protezione dei dati e tale forma di progettazione dovrà poi essere inserita in un approccio complessivo incentrato sulla tutela dei molteplici aspetti della privacy, proteggendo e tutelando quindi diritti collegati a informazioni particolarmente sensibili, come ad esempio nel caso del diritto all’oblio, in quanto i sistemi informatici di immagazzinamento di tali dati devono essere impostati avendo sempre come in mente l’esercizio del diritto di cancellazione.

Tuttavia, ulteriore strumento che ha come riferimento il principio di privacy by design, è l’obbligo del titolare del trattamento, qualora in presenza dei casi già descritti nei paragrafi precedenti, di porre in essere la valutazione globale dei rischi che i diritti dell’interessato possono incorrere durante il trattamento stesso, prendendo come riferimento le caratteristiche e le finalità ultime di tal procedimento, nonché lo stato dell’arte e i costi di attuazione.

Conseguenza di tale impostazione è che un particolare esercente o imprese devono, fin dal primo momento, porre in essere, in seno all’organizzazione, garanzie di tutela dei diritti del soggetto interessato dal trattamento, fornendo quindi in definitiva un servizio orientato al rispetto della privacy.

Tale considerazione è, a maggior ragione, presente qualora le misure che devono essere adottate devono garantire, per impostazione predefinita, la raccolta dei soli dati personali necessari, soprattutto in relazione al rispetto del fine ultimo del trattamento, evitando che i dati trattati vengono resi disponibili ad un numero indefinito di persone senza alcun intervento del soggetto interessato.

Il meccanismo così richiamato viene definito come privacy by default ed è previsto al fine dell’assoluto rispetto del principio di minimizzazione dell’utilizzo dei dati, che prevede la detenzione di tali informazioni solo ove necessario per il raggiungimento dello scopo del trattamento, nonché per un periodo di tempo limitato anch’esso strettamente connesso alla finalità ultima della raccolta stessa.

Il principio di minimizzazione opera soprattutto nei confronti dell’aspetto qualitativo e quantitativo del trattamento, oltre che della durata temporale e l’accessibilità dei dati oggetto della raccolta, in quanto, al fine del rispetto della compliance del trattamento, oggetto di trattazione del paragrafo precedente, occorre evitare una diffusione indiscriminata dei dati senza alcun consenso del soggetto interessato.

Alla luce di ciò, l’obbligo di minimizzazione deve essere modulato in relazione non solo alla quantità dei dati personali che saranno oggetto di raccolta, ma anche prendendo visione del tempo necessario di conservazione, facendo sempre riferimento alla finalità ultima del trattamento, nonché all’accessibilità e alla portata applicativa di tale raccolta.

Sebbene l’obbligo di implementazione, all’interno dell’ambito organizzativo stesso del titolare del trattamento, dei diritti e delle libertà del soggetto risulta essere una novità assoluta, le misure previste dall’art. 25 par. 2, invece possono essere ritrovati all’interno di un vecchio principio in materia, ossia il principio di necessità, già presente all’interno della disciplina, tant’è che nella direttiva CE n. 46 del 1995 si era già descritto un approccio alla tutela della privacy per design, sebbene non ha avuto per molto tempo un’applicazione effettiva.

In conclusione, occorre affermare che i modelli di privacy by design e by default risultano essere strumenti di effettiva proattività in materia di protezione dei dati personali, soprattutto nel quadro complesso di creazione e implementazione di prodotti e sistemi informatici privacy friendly, ponendo l’accento su una tutela ex ante dei diritti coinvolti all’interno del trattamento, i quali spesso erano bloccati in un modello di semplice risposta ad un danno potenziale.

3.5.2. Gli obblighi ex post per la tutela dei dati personali, un approccio basato sul rischio

Il legislatore europeo ha delineato importanti obblighi anche sotto il profilo della sicurezza del trattamento, riprendendo la formulazione generale, prevista all’art. 22.

Infatti, l’art. 32 impone al titolare del trattamento di predisporre misure di carattere tecnico-organizzative adeguate al fine di una tutela effettiva della sicurezza del trattamento stesso, soprattutto in relazione dei rischi di varia probabilità e gravità per i diritti dei singoli, attraverso la predisposizione di strumenti di prognosi, che operano ex

ante, dovendo però tener conto degli elementi caratteristici del trattamento, come ad

esempio la natura dei dati, il contesto e la finalità di tale attività.

La normativa in materia di sicurezza, applica quindi un approccio basato sul rischio, obbligando il titolare del trattamento di adottare misure rivolte alla minimizzazione e alla sua neutralizzazione, al fine del rispetto del principio di conformità dell’attività di raccolta ai principi delineati dal Regolamento stesso.

Tale nuova impostazione è elemento di assoluta novità rispetto alla precedente disciplina introdotta dalla direttiva, in quanto dedicava ben poche disposizioni in materia in cui si