Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi, eventualmente consultando il Garante alla luce di questa valutazione.
Così recita la scheda di sintesi del GDPR predisposta per aziende ed enti dal Garante per la protezione dei dati personali. Ma in pratica che cosa bisogna fare? Partire da registro dei trattamenti e DPIA può essere una buona soluzione.
Progettare la gestione dei dati
Sta diventando un tormentone l’espressione inglese ” data protection by default and by design“, che nella sua traduzione italiana perde forza e concisione (protezione dei dati fin dalla progettazione e protezione per impostazione predefinita). Nella sostanza, il GDPR sgombra il campo da soluzioni tecniche e organizzative standardizzate o, comunque, definite dal legislatore o dal Garante, e attribuisce ai soggetti titolari del trattamento l’onere di individuare le modalità di trattamento dei dati che consentano di rispettare i requisiti del Regolamento, tenendo conto di:
- stato dell’arte;
- costi di attuazione;
- natura dei dati e del trattamento;
- ambito di applicazione;
- contesto;
- finalità del trattamento;
- rischi per i diritti e le libertà delle persone fisiche determinati dal trattamento.
Il Garante, nella sua guida online di applicazione del Regolamento, precisa che si deve trattare di “un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili“.
Per fare un paragone con una materia nota e (forse) più famigliare, potremmo dire che la protezione dei dati deve essere gestita come la prevenzione e protezione della salute e sicurezza sul lavoro, ossia realizzando una vera e propria valutazione dei rischi che porti a definire le misure (di prevenzione e protezione) necessarie alla gestione dei rischi individuati e valutati. E, se è vero che il legislatore “si è liberato” dell’onere di individuare la modalità di gestione dei dati, è altrettanto vero che individua alcuni strumenti per rendere specifica e dimostrabile la sua progettazione.
Registro dei trattamenti
Si tratta di un vero e proprio registro, i cui contenuti non sono affatto da inventare, ma sono dettagliati in forma di elenco dall’art. 30 (Registri delle attività di trattamento) del GDPR.
Lo presento come strumento al servizio dei soggetti titolari del trattamento dei dati in quanto, anche se la normativa prevede delle deroghe alla sua obbligatorietà, questo non toglie nulla alla sua utilità nel rendere evidente e tangibile l’attività di progettazione della protezione dei dati.
DPIA: Data Protection Impact Assessment
In italiano, valutazione d’impatto sulla protezione dei dati. Anche in questo caso il suo contenuto è definito dal Regolamento (art. 35), e non si tratta di un obbligo applicabile a tutti i soggetti titolari del trattamento dei dati. Ancora più del registro dei trattamenti, però, si presta molto bene alla progettazione della protezione dei dati richiedendo, tra l’altro, di
- realizzare una valutazione dei rischi per i diritti e le libertà degli interessati;
- definire le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
È lo stesso Garante della privacy a raccomandare di andare oltre la lettura testuale degli obblighi introdotti dal Regolamento, per cogliere il senso della “nuova” gestione della privacy:
