La sicurezza del trattamento quale diretto portato del principio di accountability e l’analisi del rischio

IL REGOLAMENTO (UE) 2016/679 E IL “NUOVO” DIRITTO ALLA PROTEZIONE DEI DATI PERSONAL

5. Il principio di accountability quale baricentro del nuovo sistema di protezione dei dati personal

5.1 La sicurezza del trattamento quale diretto portato del principio di accountability e l’analisi del rischio

L’accountability, o responsabilizzazione, del titolare del trattamento, si esplica, tra l’altro, se non in via principale216_{, già nella fase prodromica dello stesso,} attraverso l’imposizione, in capo a questi, dell’obbligo di svolgere una valutazione sistematica di tutti i rischi, attuali e potenziali, cui il trattamento, o i trattamenti, possono incorrere, al fine di individuare le misure idonee ad arginare o mitigare gli stessi. D’altronde, il titolare è il soggetto che, più di ogni altro, è in grado di conoscere a fondo la struttura e i processi organizzativi della propria organizzazione, sia essa privata o pubblica.

Nel condurre l’analisi in questione, il titolare dovrà tenere in debita considerazione sia la probabilità che si realizzino i rischi eventualmente

215_{Cfr. A. SPINA, op. cit.}

216_{Il Capo IV del Regolamento, rubricato “Titolare e Responsabile del trattamento” si apre con la}

Sez. I rubricata “Obblighi generali”. Il primo articolo della sezione in esame è il 24, che si occupa della responsabilità del Titolare del trattamento, e sancisce, come obbligo primario, quello di individuare le misure tecniche ed organizzative adeguate al fine di garantire la conformità del trattamento all’impianto normativo. Attraverso la previsione in esame, che presenta un contenuto assai ampio, il legislatore ha dunque individuato, proprio nell’obbligo in questione, il fulcro essenziale della responsabilità giuridica per il trattamento.

individuati, sia la gravità della lesione, che deriverebbe ai diritti e alle libertà delle persone fisiche, in caso di realizzazione degli stessi.

L’analisi dei rischi, pertanto, dovrà essere ispirata al criterio della massima accuratezza, specie nelle ipotesi in cui la base giuridica del trattamento non sia quella del consenso dell’interessato, bensì una delle altre previste ex lege (e quindi in tutti quei casi in cui il trattamento avviene a prescindere dalla volontà dell’interessato, in quanto obbligatorio ex lege), oppure nei casi in cui l’interessato abbia sì prestato il proprio consenso, però solo con riferimento al trattamento principale, e non anche a eventuali trattamenti secondari posti in essere dal titolare. In tale seconda ipotesi, in particolare, sul titolare graverà l’onere di tener conto del nesso esistente tra le finalità per cui i dati personali sono raccolti (in virtù del trattamento principale), e le finalità proprie del trattamento secondario, valutando in particolar modo le possibili conseguenze che il trattamento secondario può avere su quello principale.

Il legislatore, inoltre, stante la complessità che caratterizza di per sé determinati trattamenti, nonché l’inevitabile intersecarsi, nella maggior parte dei casi, di trattamenti principali con altri di carattere secondario, e considerato altresì il carattere mutevole dei rischi cui gli stessi possono essere esposti, ha previsto che l’analisi venga svolta non solo nella fase prodromica al trattamento, ma, in modo sistematico, per tutta la durata dello stesso.

L’art. 24 GDPR, infatti, che è la norma ove viene esplicato il contenuto del principio di responsabilità dei soggetti attivi del trattamento, e che inoltre costituisce la base giuridica dell’analisi dei rischi, prevede che le misure di sicurezza che il titolare individua al fine di paralizzare o arginare il rischio vengano riesaminate e aggiornate quando necessario. Anche con riferimento a tale obbligo di aggiornamento viene in rilievo il principio di accountability: un titolare, infatti, sarà considerato tanto più accountable quanto più avrà provveduto ad un riesame del rischio, con cadenze temporali precise, e ad un aggiornamento delle relative misure se necessario.

L’art. 24 GDPR prosegue specificando che “tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il

Titolare del trattamento mette in atto le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”. Tali misure “includono l’attuazione di politiche adeguate in materia di protezione dei dati da parte del Titolare del trattamento”, se ciò è proporzionato rispetto alle attività di trattamento. Con tale enunciato, il legislatore ha voluto porre l’accento proprio sul carattere di proporzionalità che caratterizza le misure in questione: tale precisazione consente di cogliere la distinzione intercorrente tra i vari trattamenti di dati personali, i quali, non essendo tutti assoggettati ai medesimi rischi (a volte addirittura a nessun rischio217), richiederanno misure di sicurezza di diverso impatto e proporzione.

Dalla previsione generale di cui all’art. 24 è possibile pertanto ricavare che il principio di accountability si esplica sostanzialmente in tre fasi principali: la prima, consistente nello svolgimento di un’analisi generale dei rischi cui il trattamento può essere esposto; la seconda, relativa all’individuazione delle misure idonee a minimizzare l’incidenza degli stessi rischi sul trattamento e dunque, de relato, sul diritto dei singoli alla protezione delle informazioni che li riguardano; la terza, invece, avente carattere eventuale, rappresentata dalla valutazione d’impatto ex art. 35 GDPR218_{, prevista nei casi in cui i diritti e delle} libertà delle persone fisiche siano esposti ad un rischio elevato.

217_{Con riferimento ai trattamenti che non implicano rischi elevati per l’interessato, si potrebbe fare}

riferimento alle indicazioni contenute nell’art. art. 27, c. 2, lett. a), dal quale è possibile ricavare che possono essere fatti rientrare in tale categoria il trattamento occasionale, ovvero quello che non abbia ad oggetto dati particolari su larga scala, o, ancora, il trattamento che, tenuto conto della natura, dell’ambito, del contesto, dell’ambito di applicazione e delle finalità dello stesso, è improbabile presenti un rischio per gli interessati.

218_{Generalmente, l’attività di analisi dei rischi è nota, nelle realtà aziendali, anche con il termine}

“audit privacy”, vale a dire una valutazione, svolta da un professionista (auditor) in nome e per conto del titolare, che mira a far emergere le criticità riguardanti la sicurezza dei dati personali, al fine di garantire la corretta gestione dei rischi (risk management), i quali possono ricondotti entro due categorie: rischi di natura endogena e rischi di natura esogena. Tra i primi, quelli che più frequentemente rientrano in detta categoria sono quelli che possono derivare da eventi naturali (terremoti, incendi, inondazioni ecc.) e da errori umani (modifica, cancellazione e manomissione volontaria dei dati). Rientrano, invece, tra i rischi di natura esogena, quelli scaturenti ad esempio dal danneggiamento di hardware e software o dall’installazione di programmi malware etc. A seconda delle criticità riscontrate, si potranno attuare quattro diverse modalità di gestione:

• modificazione dei processi e/o modalità di gestione; • trasferimento del rischio ad un altro soggetto;

• riduzione, attraverso processi di controllo, del livello di rischio;

Nel documento Il ruolo "ibrido" del Data Protection Officer nel Regolamento (UE) 2016/679 (pagine 79-82)