La Proposta della Commissione Europea e l’avvento del GDPR

Il 2012 si è rivelato un anno decisivo per la privacy by design perché la FTC ha pubblicato il Report citato nel precedente paragrafo e la Commissione Europea ha inserito questo approccio nella sua proposta di regolamento, come si è accennato nel precedente capitolo. In questo paragrafo si intende tracciare il percorso del principio negli anni di elaborazione del GDPR.

All’interno della prima documentazione, la Commissione asserisce che la protezione dei diritti e delle libertà dei soggetti con riguardo al trattamento dei dati personali richiede che siano assunte appropriate misure tecniche e organizzative sia al momento della progettazione del processo sia in quello del processo stesso per assicurare il rispetto dei requisiti del Regolamento; affinché si garantisca e si assicuri questa conformità, il titolare del trattamento dovrebbe quindi adottare delle politiche interne e implementare delle misure appropriate,

35

53

che incontrino in particolare i principi di data protection by design and data protection by default36.

A tal proposito, l’organo esecutivo dell’Unione Europea richiede che gli siano conferiti maggiori poteri per assicurare uniformi condizioni di implementazione della nuova regolazione e per poter definire degli standard in relazione alla responsabilità del titolare del trattamento per la protezione dei dati by design e by default e per la documentazione che deve presentare37.

Venendo al cuore della proposta, nella prima sezione si fissa all’articolo 22 la responsabilità del controller: questo soggetto dovrà adottare delle politiche e implementare delle misure appropriate per assicurare ed essere in grado di dimostrare che il trattamento sia conforme al Regolamento38.

Nella norma che segue si inserisce in modo esplicito, per la prima volta, la protezione dei dati personali by design e by default. Ebbene, all’articolo 23 si stabilisce che, considerando lo stato dell’arte e i costi di implementazione, il titolare stesso dovrà, sia al momento della determinazione degli scopi del trattamento, sia a quello del trattamento in sé, implementare delle appropriate misure tecniche e organizzative e delle procedure in una modalità tale da far sì che vi sia conformità al Regolamento e che si garantisca la protezione dei diritti dell’interessato39. Il secondo comma riguarda la protezione by default, ossia per impostazione predefinita, statuendo che il titolare dovrà implementare dei meccanismi che automaticamente garantiscano che siano trattati solo i dati personali necessari per ogni specifico scopo e in particolare che non siano

36

Cfr. Considerando 61, Proposal for a Regulation of the European Parliament and of The Council on the protection of individuals: “The protection of the rights and freedoms of data subjects with regard to the processing of personal data require that appropriate technical and organizational measures are taken, both at the time of the design of the processing and at the time of the processing itself, to ensure that the requirements of this Regulation are met. In order to ensure and demonstrate compliance with this Regulation, the controller should adopt internal policies and implement appropriate measures, which meet in particular the principles of data protection by design and data protection by default”.

37

Cfr. Considerando 130, Proposal for a Regulation of the European Parliament and of The Council on the protection of individuals: “In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission for: specifying standard forms in relation to the processing of personal data of a child; standard procedures and forms for exercising the rights of data subjects; standard forms for the information to the data subject; standard forms and procedures in relation to the right of access; the right to data portability; standard forms in relation to the responsibility of the controller to data protection by design and by default and to the documentation”.

38

Cfr. Art. 22, co. 1, Proposal for a Regulation of the European Parliament and of The Council on the protection of individuals: “1. The controller shall adopt policies and implement appropriate measures to ensure and be able to demonstrate that the processing of personal data is performed in compliance with this Regulation”.

39

Cfr. Art. 23, co. 1, Proposal for a Regulation of the European Parliament and of The Council on the protection of individuals: “1. Having regard to the state of the art and the cost of implementation, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organizational measures and procedures in such a way that the processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject”.

54

raccolti e conservati i dati oltre minimo essenziale allo scopo, sia in termini di quantità che di tempo; nello specifico questi meccanismi dovranno assicurare che le informazioni non siano accessibili ad un indefinito numero di individui40.

La Commissione Europea procede proponendo l’aumento dei propri poteri per poter adottare degli atti delegati che specifichino i criteri e le richieste dei due commi precedenti, e che, soprattutto per la protezione dei dati by design, siano applicabili ai vari settori, prodotti e servizi41. Inoltre, l’organo esecutivo dell’UE, si specifica, potrebbe dettare degli standard tecnici per i requisiti dei primi commi, attraverso una procedura di esame indicata in un articolo successivo della stessa proposta42.

La codificazione dei due concetti di pbd e privacy by default assegna loro il ruolo di imperativo punto di riferimento in materia di privacy, pur essendo di per sé due lati della stessa medaglia43. La pbd, infatti, è rivolta verso l’interno, ossia opera nella fase di implementazione svolta dal titolare e il secondo concetto, invece, volge all’esterno, verso il fornitore del servizio, che deve somministrare all’utente un prodotto che per impostazione predefinita garantisca il massimo livello di tutela44.

La seconda sezione della proposta del 2012 si occupa della sicurezza dei dati e al terzo comma dell’articolo 30 si indica un ulteriore potere della Commissione Europea, ossia la definizione di ciò che si intende per stato dell’arte in uno specifico settore e in particolari situazioni di trattamento, tenendo conto del progresso delle tecnologie e delle soluzioni per l’approccio pbd e di default45. Si può allora affermare che la protezione by design con la

40

Cfr. Art. 23, co. 2, Proposal for a Regulation of the European Parliament and of The Council on the protection of individuals: “2. The controller shall implement mechanisms for ensuring that, by default, only those personal data are processed which are necessary for each specific purpose of the processing and are especially not collected or retained beyond the minimum necessary for those purposes, both in terms of the amount of the data and the time of their storage. In particular, those mechanisms shall ensure that by default personal data are not made accessible to an indefinite number of individuals”.

41

Cfr. Art. 23, co. 3, Proposal for a Regulation of the European Parliament and of The Council on the protection of individuals: “3. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of specifying any further criteria and requirements for appropriate measures and mechanisms referred to in paragraph 1 and 2, in particular for data protection by design requirements applicable across sectors, products and services”.

42

Cfr. Art. 23, co. 4, Proposal for a Regulation of the European Parliament and of The Council on the protection of individuals: “4. The Commission may lay down technical standards for the requirements laid down in paragraph 1 and 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2)”.

43

PASCUZZI (a cura di), Il diritto dell’era digitale, cit., 53.

44

Ibidem, 53.

45

Cfr. Art. 30, co. 3, Proposal for a Regulation of the European Parliament and of The Council on the protection of individuals: “3. The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions for the technical and organizational measures referred to in paragraphs 1 and 2, including the determinations of what constitutes the state of the art, for specific sectors and in

55

proposta sarebbe veicolata attraverso i criteri offerti dall’organo esecutivo dell’Unione, che poi sarebbero stati applicati dai singoli titolari del trattamento, ponendo attenzione alle specificità della situazione concreta.

Nel documento è interessante constatare che tra i compiti del responsabile del trattamento vi è anche il monitoraggio dell’implementazione e dell’applicazione del Regolamento con esplicito riferimento all’adozione della pbd46. Questa previsione genera una sorta di corresponsabilità tra il titolare e il

responsabile e aumenta il controllo sull’adozione dell’approccio.

Infine, non si dimentica l’aspetto sanzionatorio, perché è vero che la pbd è stata inserita nella proposta, ma senza una norma che preveda una sanzione in caso di inottemperanza, la disciplina sarebbe imperfetta e la sua giuridicità contestabile. All’articolo 79 si statuisce dunque che ogni autorità preposta al controllo del trattamento dei dati dovrà avere il potere di infliggere delle sanzioni amministrative, le quali siano per il caso concreto effettive, proporzionate e dissuasive; nello specifico l’ammontare della somma dovuta dovrà essere fissato con riguardo alla natura, alla gravità e alla durata dell’infrazione e ad altri fattori, tra i quali le misure tecniche, organizzative e procedurali implementate in forza dell’articolo 2347. In breve, la mancata adozione di ciò che comporta l’approccio pbd è una violazione dell’articolo 23 e in quando tale può essere condannata da parte delle autorità degli stati membri con l’applicazione di una sanzione amministrativa. La cornice della sanzione per chi con intenzione o negligenza non adotta le politiche interne o non implementa le misure appropriate per assicurare e dimostrare la conformità con gli articoli 22, 23 e 30 è fissata con un massimo di un milione di euro o del 2 per cento del fatturato annuo di un’impresa commerciale48.

specific data processing situations, in particular taking account of developments in technology and solutions for privacy by design and data protection by default, unless paragraph 4 applies”.

46

Cfr. Art. 37, co. 1, let c), Proposal for a Regulation of the European Parliament and of The Council on the protection of individuals: “(c) to monitor the implementation and application of this Regulation, in particular as to the requirements related to data protection by design, data protection by default and data security and to the information of data subjects and their requests in exercising their rights under this Regulation”.

47

Cfr. Art. 79, co. 1, Proposal for a Regulation of the European Parliament and of The Council on the protection of individuals: “1. Each supervisory authority shall be empowered to impose administrative sanctions in accordance with this Article. 2. The administrative sanction shall be in each individual case effective, proportionate and dissuasive. The amount of the administrative fine shall be fixed with due regard to the nature, gravity and duration of the breach, the intentional or negligent character of the infringement, the degree of responsibility of the natural or legal person and of previous breaches by this person, the technical and organizational measures and procedures implemented pursuant to Article 23 and the degree of cooperation with the supervisory authority in order to remedy the breach”.

48

Cfr. Art. 79, co. 6, let. e), Proposal for a Regulation of the European Parliament and of The Council on the protection of individuals: “6. The supervisory authority shall impose a fine up to 1.000.000 EUR or, in case of an enterprise up to 2 % of its annual worldwide turnover, to anyone who, intentionally or negligently: (e) does not adopt internal policies or does not implement appropriate measures for ensuring and demonstrating compliance pursuant to Articles 22, 23 and 30”.

56

La proposta del 2012 richiede, quindi, che il titolare del trattamento adotti un approccio di privacy by design, ma non prescrive particolari metodi o livelli49. La successiva versione del testo compiuta dal Parlamento Europeo, invece, prevede dei requisiti più completi, descrive più nel dettaglio le metodologie che devono essere adottate, offre delle linee guida precise e tiene conto di aspetti molto più pratici. Per l’appunto, s’inseriscono tra le considerazioni iniziali dell’articolo sulla pbd, oltre allo stato dell’arte e dei costi dell’implementazione, l’attuale conoscenza tecnica, le best practices internazionali e il rischio rappresentato dal trattamento dei dati50. Non si innova solo in questo: il testo del Parlamento richiede che sia il titolare sia il responsabile del trattamento siano tenuti all’implementazione delle misure e che, in aggiunta, essi considerino tutto l’intero ciclo di gestione del dato, dalla raccolta, al trattamento e infine alla sua cancellazione51. I detentori dei dati dovrebbero concentrarsi in modo sistematico sulle garanzie procedurali, in modo che queste siano onnicomprensive e riguardino la precisione, la riservatezza, l’integrità, la sicurezza fisica e l’eliminazione del dato personale52. Tutto ciò comporta inevitabilmente l’assunzione di costi più o meno elevati per le società e fa sì che la progettazione tecnologica dei sistemi sia essenziale. Qualcuno si è chiesto allora se i costi interferiranno con la responsabilità del titolare e per quale motivo non ci sia alcun riferimento nelle norme alle figure fondamentali dei designers dei prodotti53. A queste domande non è facile fornire una risposta, ma si può notare che le autorità europee hanno cercato un compromesso tra gli interessi in gioco nella redazione definitiva del GDPR.

49

GILBERT, Proposed EU data protection regulation cit., 2: “Article 23 of the Proposed Regulation would require the data controller, both at the time of the determination of the means for processing and at the time of the processing itself, to implement appropriate technical, physical, and organizational measures and procedures to ensure that the processing will meet the requirements of the Regulation and the rights of the data subject will be protected. Entities are expected to take into account the state of the art in application design, and the cost of implementation. No particular methods or steps are prescribed”.

50

Ibidem, 4: “The EU Parliament Version contains more comprehensive requirements. First, the criteria for the proper methodologies for the process of data protection by design would be significantly expanded and refined. These would include, in addition to looking at the state of the art already mentioned in the original draft, taking into account the current technical knowledge, international best practices, and the risks represented by the data processing”.

51

Ibidem, 4: “Further, the EU Parliament Version would require that both the controller and the processor, if any, implement appropriate and proportionate technical and organizational measures and procedures at the time of the determination of the purposes and means for processing and at the time of the processing itself. In addition, the EU Parliament Version would require that data protection by design processes and methodologies take into account the entire lifecycle management of personal data from collection to processing, and to deletion”.

52

Ibidem, 4: “It would require that data holders systematically focus on comprehensive procedural safeguards regarding the accuracy, confidentiality, integrity, physical security, and deletion of personal data. In addition, it would require that the result of any data protection impact assessment be taken into account when developing those measures and procedures”.

53

COSTA, POULLET, Privacy and the Regulation of 2012, cit., 260: “How will the cost of

implementation interfere with the responsibility of the controller? Given that the design of technology is essential in this approach why is there no reference to designers?”.

57

Non resta dunque che analizzare il passaggio più importante del principio in oggetto nel quadro normativo europeo attuale, ossia il suo inserimento nel testo definito del GDPR. La protezione dei dati personali fin dalla progettazione è qui indicata come uno dei principi in materia di trattamento dei dati personali. Il rango di principio non può che essere un riconoscimento molto rilevante e a dichiararlo non è più soltanto una riflessione dottrinale, o un’agenzia indipendente, ma è una norma giuridica vincolante per tutti gli Stati Membri dell’Unione Europea.