Il nuovo Regolamento europeo per la protezione dai dati personali (c.d. GDPR) lascia un certo margine di discrezionalità ai titolari del trattamento nel decidere le concrete modalità da adottare al fine di conformarsi alle sue disposizioni. A questa maggiore libertà si contrappone, tuttavia, l’onere di dimostrare le ragioni a fondamento delle decisioni prese, attraverso le quali si ritiene di poter raggiungere un livello di conformità alla normativa.
Come previsto infatti dal Considerando n. 78 del GDPR, “La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento”.
Questo tipo di approccio andrà sicuramente ad incidere sugli strumenti che i titolari del trattamento dovranno concretamente adottare al fine di ottemperare agli obblighi previsti e dimostrare così la loro conformità al GDPR.
Innanzitutto, al fine di poter dimostrare la conformità al regolamento, il titolare del trattamento dei dati personali dovrà predisporre delle politiche interne e delle misure tecniche che consentano di dimostrare, nello specifico, il rispetto del principio della “protezione dei dati fin dalla progettazione e della protezione dei dati di default”.
Misure idonee per raggiungere un tale obiettivo potrebbero essere, ad esempio:
- una riduzione al minimo indispensabile del trattamento dei dati personali;
- la pseudonimizzazione dei dati personali da realizzare già nelle prime fasi del trattamento;
- un approccio trasparente in relazione alle funzioni e al trattamento dei dati;
- il mettere l’interessato nella condizione di poter controllare come viene effettuato il trattamento dei suoi dati personali;
- realizzare e migliorare le caratteristiche di sicurezza per il trattamento dei dati personali.
Da un punto di vista operativo, un importante strumento di compliance è sicuramente la predisposizione di un “registro dei trattamenti”.
Come precisato infatti dal Considerando n. 82, al fine di dimostrare la conformità al GDPR, il titolare o il responsabile del trattamento dei dati dovrebbero tenere un apposito registro dei trattamenti posti in essere, nel quale documentare ogni elemento connesso all’utilizzo di dati personali.
La norma che viene in riferimento è l’art. 30 del GDPR, il quale afferma appunto che ogni titolare o responsabile del trattamento (se previsto) tengano un registro delle attività di trattamento svolte sotto la propria responsabilità.
Si tratta, in poche parole, di un registro che deve essere redatto in forma scritta, anche in formato elettronico, la cui tenuta è obbligatoria soltanto quando l’organizzazione ha più di 250 dipendenti, ma che in realtà è caldamente consigliata a qualsiasi titolare.
Il GDPR prevede un contenuto specifico per il registro dei trattamenti. In esso va infatti riportata una serie di importanti informazioni, quali:
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali che vengono in rilievo;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi (e ponendovi particolare attenzione) i destinatari extraeuropei od organizzazioni internazionali (sempre da intendersi come destinatari oltre l’ambito del territorio dell’Unione Europea);
- i trasferimenti di dati personali verso un paese extraeuropeo o un’organizzazione internazionale, identificando con precisione di quale paese terzo od organizzazione internazionale si tratta;
- i termini ultimi previsti per la cancellazione delle diverse categorie di dati (o almeno come vengono determinati tali termini);
- una descrizione generale delle misure tecniche e organizzative adottate per garantire la sicurezza dei dati.
La tenuta del registro viene incentivata dal legislatore europeo, perché la sua predisposizione dovrebbe essere concepita come qualcosa di più di un mero obbligo legale, potendo costituire uno strumento estremamente utile e vantaggioso per le aziende.
Il suo corretto utilizzo infatti potrebbe configurare un mezzo di pianificazione e di controllo fondamentale al fine di garantire la correttezza del trattamento dei dati personali nel rispetto delle prescrizioni del GDPR, ma anche per documentare tutte le relative attività e trovarsi pronti ad affrontare eventuali controlli dell’Autorità.
Oltre alla tenuta del registro, al fine di dimostrare la conformità al dettato normativo del nuovo Regolamento, l’adozione di opportune misure da parte del titolare o del responsabile del trattamento dovrà fondarsi sulle indicazioni contenute in appositi codici di condotta che potrebbero essere disposti, sulla necessità di acquisire particolari certificazioni, sulle linee guida emanate dalle Autorità garanti europee o da appositi gruppi di studio, oltre che, ovviamente, sulle istruzioni e sui consigli forniti dal responsabile della protezione dei dati (DPO).
Attraverso un impiego integrato di questi strumenti, il titolare potrà essere in grado di garantire il pieno rispetto e la corretta applicazione del Regolamento, trovandosi in condizione di 1) individuare i rischi connessi al trattamento dei dati personali, 2) svolgere un’analisi del rischio sotto il profilo dell’origine, della natura, della probabilità e della gravità e 3) identificare i mezzi più adeguati al fine di attenuare un tale rischio e garantire elevati livelli di protezione.