Il GDPR introduce una serie di obblighi, che derivano essenzialmente dal più generale principio di responsabilizzazione (accountability) posto a fondamento della struttura del Regolamento europeo e del rispetto dei principi essenziali in tema di privacy (l’art. 5, co. 2, GDPR, infatti, dopo aver elencato i principi applicabili al trattamento di dati personali, afferma che “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo – «responsabilizzazione»”).
In particolare, come si è avuto modo di precisare in più occasioni in questo Speciale di approfondimento, il titolare e il responsabile del trattamento sono sotto diversi aspetti incentivati ad adottare una serie di provvedimenti finalizzati a dare concreta ottemperanza alle disposizioni del GDPR.
Si ricorda infatti che l’approccio che viene incoraggiato dal nuovo Regolamento europeo è focalizzato principalmente sulla concreta protezione dei dati ed è fondato su una valutazione preliminare del rischio (si parla per questo di sistema risk-based) a una volta basata su un’opportuna considerazione della natura, della portata, del contesto e delle finalità del trattamento, sulla probabilità e sulla gravità dei rischi per i diritti e libertà degli utenti. In relazione a tale complessa e globale valutazione si determinerà poi la misura della eventuale responsabilità del titolare e del responsabile del trattamento.
Un approccio incentrato sul rischio ha sicuramente, da un lato, il vantaggio di pretendere l’ottemperanza di una serie di obblighi più generali che possono andare al di là di una mera e superficiale conformità al dettato normativo.
Dall’altro lato, si tratta sicuramente di un sistema che si presta ad una maggiore flessibilità ed elasticità, essendo in grado di adattarsi al mutamento delle esigenze e degli strumenti tecnologici. Infine, non di può ignorare che il fatto che un simile approccio deleghi sostanzialmente ai titolari ogni valutazione, si presenta come un’arma a doppio taglio: maggiore libertà di scelta, ma maggiore impegno da parte dei titolari e più difficile contestare eventuali provvedimenti sanzionatori da parte del Garante.
In conseguenza di ciò, per poter essere in linea con le prescrizioni e gli obblighi sanciti dal GDPR, è necessario che le aziende realizzino una revisione completa dei dati e delle informazioni che raccolgono e che gestiscono, verificando anche quelle che sono le basi normative a giustificazione di tali trattamenti nonché le conseguenze che il trattamento dei dati effettuato può comportare per gli interessati.
Tra gli adempimenti che dovranno quindi essere realizzati troviamo:
- la verifica dei dati che saranno oggetto di trattamento, con identificazione delle varie tipologie di dati e delle categorie di appartenenza e la verifica della finalità di ogni trattamento e della base giuridica sul quale ciascuno di essi si fonda, anche al fine di rendere adeguata informativa ai soggetti interessati, come previsto dagli artt. 13 e 14 del GDPR (dedicati, rispettivamente, alle informazioni da fornire qualora i dati personali siano raccolti – art. 13 – o meno – art. 14 – presso l’interessato);
- la predisposizione dell’informativa (o il suo aggiornamento) che deve essere fornita agli interessati nel rispetto di tutti gli elementi indicati agli artt. 13 e 14 del GDPR, in particolare gli interessati dovranno essere messi a conoscenza dei diritti che il Regolamento riconosce loro (diritto di accesso, diritto all’oblio, diritto di rettifica, diritto di limitazione e di opposizione al trattamento, diritto alla portabilità dei dati – sul punto si vedano le apposite sezioni dedicate dello Speciale);
- la predisposizione del registro delle attività di trattamento dei dati personali, qualora esso risulti necessario in base al disposto dell’art. 30 del GDPR, ossia nel caso in cui l’impresa o l’organizzazione che effettua il trattamento dei dati abbia più di 250 dipendenti. Tale registro dovrà, del resto, essere redatto anche nel caso in cui l’impresa od organizzazione abbia meno di 250 dipendenti, ma ponga in essere un trattamento dei dati che presenta un potenziale rischio per i diritti e libertà degli interessati (l’art. 30, co. 5, GDPR prevede infatti che “Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10”);
- l’instaurazione di una procedura da adottare in caso di eventuali violazioni dei dati (c.d. Data Breach), ad esempio al verificarsi di una divulgazione (intenzionale o meno), della distruzione, della perdita, della modifica o dell’accesso non autorizzato ai dati personali oggetto di trattamento. Il GDPR prevede infatti degli specifici adempimenti nel caso in cui si verifichi una violazione di tal genere, a causa di un attacco informatico, di un accesso abusivo o di un incidente. In questi casi il GDPR impone, come previsto dall’art. 33, in capo al titolare del trattamento l’obbligo di comunicare all’autorità di controllo l’avvenuta violazione entro 72 ore o comunque senza ritardo (art. 33, co. 1, GDPR “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro72 ore, è corredata dei motivi del ritardo”). Nel caso in cui la violazione verificatasi faccia presumere che vi sia anche un elevato e attuale pericolo per i diritti e le libertà degli interessati, anche questi ultimi dovranno essere direttamente informati senza ritardo di quanto successo.
- inoltre, come previsto poi dall’art. 35 del GDPR, si configura, in capo al titolare del trattamento (e con la possibilità di consultare il Responsabile della protezione dei dati se presente), l’obbligo di procedere ad una valutazione d’impatto sulla protezione dei dati nel caso in cui un tipo di trattamento, anche in considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento stesso, presenti un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35, co. 1, GDPR “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”). Del resto, il GDPR non sancisce un vero e proprio obbligo di svolgimento della valutazione d’impatto, ma si ricorda che il regolamento prevede un generale obbligo, in capo al titolare del trattamento, di attuare le misure idonee al fine di gestire adeguatamente i rischi per i diritti e le libertà degli interessati che possono derivare dal trattamento dei loro dati. Sarà quindi opportuno procedere all’effettuazione della valutazione d’impatto anche quando sul titolare non incombe l’obbligo normativo in tale senso.
- un altro adempimento che viene richiesto al titolare del trattamento consiste nella designazione del Responsabile della protezione dei dati (per un approfondimento su tale sfigura vi invitiamo a leggere l’articolo ad esso dedicato del presente Speciale). Tale nomina è, come previsto dall’art. 37 del GDPR, obbligatoria soltanto in una serie di ipotesi, in particolare, nel caso in cui il trattamento dei dati sia effettuato da un’autorità pubblica o da un organismo pubblico (ad eccezione per le autorità giurisdizionali quando esercitano le loro funzioni); quando le attività principali svolte del titolare o del responsabile del trattamento consistono in operazioni che, per la loro natura, l’ambito di applicazione o le finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; e infine nel caso in cui le attività principali effettuate consistano nel trattamento, su larga scala, di dati sensibili o di dati relativi a condanne penali e a reati consistenti nell’illecito trattamento dei dati personali.
In tutti i restanti casi, quando il regolamento non impone specificamente la nomina di un DPO, questa figura potrà comunque essere designata dal titolare o dal responsabile del trattamento su base volontaria.