Dopo aver trattato tanto il rinnovato sistema di responsabilità quanto i principi e i diritti previsti dal nuovo Regolamento europeo in tema di data protection (ricordiamo, ancora in fase di definizione), veniamo ora al nocciolo di particolare interesse per gli addetti ai lavori e cioè gli adempimenti richiesti al responsabile del trattamento.
Innanzitutto sono ritenuti fondamentali:
- il principio della “privacy by design”, cioè protezione fin dalla progettazione, che si sostanzia nell’attuare, fin dal principio, tutte le necessarie misure tecnico-organizzative al fine di scongiurare i rischi cui sono esposti i dati personali;
- il collegato principio della “privacy by default”, cioè protezione a prescindere, che si realizza attraverso l’essenzialità del trattamento sotto ogni punto di vista.
Trovando il loro limite nell’evoluzione tecnica e nei costi di attuazione, tali principi omologano l’ammissione delle sole misure idonee per risultare in regola (non più delle misure minime previste dal vigente Codice Privacy). L’ulteriore prescrizione di predisporre e conservare “responsabilmente” la documentazione di tutti i trattamenti effettuati, nel far tornare in mente l’abolito Dps (Documento Programmatico sulla sicurezza), trova in realtà il suo “specchio” nel contenuto – ben precisato nel Regolamento – dell’informativa da fornire all’interessato.
Altre importanti incombenze gravanti sul responsabile si sostanziano nella cooperazione con l’autorità di controllo (su sua specifica richiesta), nonché in azioni di “autodenuncia”, consistenti nell’immediata notifica alla stessa autorità e immediata comunicazione agli interessati nel caso si verifichi un “data breach”, cioè una violazione di dati personali (circostanza familiare al nostro vigente Codice e riguardante tuttavia solo i fornitori di servizi di comunicazione elettronica accessibili al pubblico); tali notifiche e comunicazioni hanno sostanzialmente lo scopo di scongiurare, per quanto possibile, un rischio di danno per gli interessati coinvolti (furti d’identità, perdite finanziarie, danni fisici, umiliazioni, etc).
Per le attività di trattamento che comportano rischi specifici per diritti e libertà degli interessati (ad es. profilazione, dati sensibili, videosorveglianza, dati riferiti a minori, etc) è previsto inoltre l’obbligo dell’”impact assessment”, cioè una valutazione d’impatto del trattamento sulla protezione dei dati personali.
Il Regolamento ha inteso rivalutare anche lo stesso ruolo delle Autorità di controllo degli Stati membri, prevedendo nei loro confronti sia l’autorizzazione preventiva (nel caso in cui il responsabile non offra garanzie adeguate per il trasferimento verso un paese terzo o un organizzazione internazionale) sia la consultazione preventiva (nel caso in cui, a seguito della citata valutazione d’impatto, emergano gravi rischi per diritti e libertà degli interessati); in quest’ultimo caso, oltre ad essere previsto un intervento di iniziativa della stessa autorità, il Regolamento privilegia, qualora designato, la consultazione del DPO (Data Privacy Officer).
Dall’Europa, peraltro, non piovono solo “obblighi di adempiere”: ne è testimonianza l’incoraggiamento, proveniente dagli Stati membri e dalle stesse autorità di controllo, ad elaborare Codici di condotta – da parte delle organizzazioni rappresentanti le categorie di responsabili – che facilitino il rispetto e l’applicazione delle norme nei vari settori (Codici su cui le autorità di controllo esprimeranno comunque un parere di conformità) nonché l’istituzione di meccanismi di certificazione, sigilli o marchi di protezione dei dati che, in aggiunta allo scopo precedente, rendano consapevoli gli interessati sui livelli di protezione dei prodotti e servizi provenienti dal responsabile del trattamento. Da notare, in merito agli adempimenti in capo a quest’ultimo, che la nuova normativa europea sposa meglio quanto previsto dal D. Lgs. 231/2001, inerente la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica e promuovente l’adozione di un modello organizzativo dotato di internal audit (controllo interno), in grado di autodifendersi per definizione.
Michele Viel – Centro Studi CGN