venerdì, Marzo 29, 2024
Uncategorized

Data protection by design e by default

Il 27 aprile 2016 il Parlamento e il Consiglio dell’Unione europea hanno approvato il Regolamento 2016/679[1] relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il nuovo pacchetto di riforme, sostituendo totalmente la Direttiva 95/46/CE[2] ed il D.Lgs. 196/2003[3], introduce innumerevoli novità, tanto da poter parlare di necessità di riorganizzare i flussi aziendali in modo da essere “privacy focused”.

Oltre alle valutazioni di impatto, proprio perché la potenza è nulla senza controllo, così la privacy diventa un concetto evanescente se non supportata da idonee misure di sicurezza ed attività da porre in essere prima di procedere al trattamento dei dati personali (c.d. “data protection by design”). La protezione dei dati personali deve essere valutata già nel momento in cui si progettano nuove procedure, con l’attuazione di adeguate misure tecniche e organizzative, ed i dati devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario (c.d. “data protection by default”). Sono questi i due concetti introdotti dall’articolo 25 del GDPR che devono essere letti in combinato disposto con il principio di “accountability” e che impongono una gestione attiva e non passiva della privacy, per garantire maggiore efficienza ed acquisire credibilità sul mercato.

Data protection by design

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”[4].

Nella Direttiva 95/46/CE tutto questo era rappresentato dall’articolo 3 sul principio di necessità del trattamento dei dati.

La 32ma Conferenza mondiale dei Garanti della privacy (ICDPPC International Conference of Data Protection & Privacy Commissioners), tenutasi a Gerusalemme nel 2010, adottando la Resolution on Privacy by design, che oggi è interamente racchiusa nel Regolamento 2016/679, individua i seguenti sette principi fondamentali che esprimono pienamente l’intero senso di questa prospettiva:

  1. prevenire non correggere: agire prima che si sviluppino i problemi;
  2. privacy come impostazione di default: nel caso in cui siano richieste informazioni personali deve sussistere uno scopo o un motivo per raccoglierle;
  3. privacy incorporata nella progettazione;
  4. massima funzionalità: su una serie di obiettivi non ne prevale uno solo, ma tutti insieme concorrono alla realizzazione degli obiettivi;
  5. sicurezza fino alla fine: solo con la sicurezza è possibile assicurare la gestione delle informazioni in maniera corretta per tutto il ciclo di utilizzo delle stesse;
  6. visibilità e trasparenza: solo così sarà possibile instaurare quel grado di fiducia ed affidabilità necessari a permettere ai soggetti interessati di fidarsi;
  7. centralità dell’utente: il sistema di tutela dei dati personali deve porre l’utente al centro, in tal modo obbligando ad una tutela effettiva da un punto di vista sostanziale e non solo formale.

L’obbligo di data protection by design è basato sulla valutazione del rischio, così come altri obblighi (es. notifica ai Garanti nazionali), per cui le aziende dovranno valutare il rischio inerente alle loro attività. Tale valutazione andrà fatta al momento della progettazione del sistema, quindi prima che il trattamento inizi. Chiaramente si dovrà tenere conto anche del tipo di dati trattati, per cui in presenza di un trattamento che coinvolge dati di minori gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore.
L’approccio basato sul rischio comporta che si deve tenere conto dello stato della tecnologia, per cui il trattamento va adattato e modulato nel corso del tempo. Il GDPR comprende anche la definizione di rischio[5].

“I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”[6].

“La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato”[7].

Data protection by default

“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”[8]

Dunque per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti.

Infine, sull’articolo 25 è importante evidenziare l’aspetto sanzionatorio[9].

Il quantum della sanzione applicabile per il mancato rispetto dei principi di cui all’art. 25 va valutato tenendo conto delle misure tecniche ed organizzative messe in atto caso per caso dal titolare o responsabile del trattamento dei dati personali.

 

[1] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio (GDPR), del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. É entrato in vigore il 24 maggio 2016 (pubblicato sulla Gazzetta Ufficiale dell’Unione europea del 4 maggio 2016) e si applica a decorrere dal 25 maggio 2018, disponibile qui: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA

[2] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, disponibile qui: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=celex%3A31995L0046

[3] D.Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali), pubblicato sulla G.U. 29 luglio 2003, n. 174 S.O., e successive modifiche, disponibile qui: http://www.camera.it/parlam/leggi/deleghe/03196dl.htm

[4] Articolo 25, comma 1, GDPR.

[5] Considerando 75 e 76, GDPR.

[6] Considerando 75, GDPR.

[7] Considerando 76, GDPR.

[8] Articolo 25, comma 2, GDPR.

[9] Simone Cedrola, La disciplina delle sanzioni previste dal GDPR, marzo 2018, disponibile qui: https://www.iusinitinere.it/quadro-sanzionatorio-previsto-dal-gdpr-8445

Anna Rovesti

Anna Rovesti nasce a Modena il 31 ottobre 1992. Conseguita la maturità classica, prosegue i suoi studi presso il Dipartimento di Giurisprudenza dell’Università degli Studi di Modena e Reggio Emilia e consegue la laurea a luglio 2016 con il massimo dei voti. La passione e l’interesse per Informatica giuridica e il Diritto dell'informazione e delle comunicazioni la portano ad approfondire in particolar modo queste materie grazie a corsi universitari, seminari di approfondimento e la partecipazione a luglio 2015 tramite l’Associazione ELSA (European Law Student Association) di cui è socia alla Summer Law School di Copenhagen in Media Law. Proprio in quest’ambito decide di redigere la tesi di laurea dal titolo: “Disciplina della libertà di stampa alla prova delle nuove comunicazioni telematiche. Libertà di espressione e di informazione tra ordinamento italiano e prospettive sovranazionali”. Grazie a un tirocinio formativo presso COOPSERVICE S. Coop. p. A. in area legale-privacy, riesce a mettere a frutto l'interesse per questo ambito, affiancando il tutor aziendale e le figure senior dell’ufficio nella gestione della modulistica, di comunicati, lettere, avvisi e convocazioni d’uso comune legati alla normativa sulla protezione dei dati personali. Attualmente lavora come praticante consulente del lavoro in uno studio di Modena prestando consulenza legale in materia giuslavoristica e nella gestione delle risorse umane (gestione del personale inviato all'estero con assistenza contrattuale fiscale e previdenziale, assistenza giudiziale e stragiudiziale in controversie inerenti il rapporto di lavoro, assistenza nelle procedure concorsuali e di licenziamento individuale e collettivo, trattative sindacali inerenti a contratti integrativi aziendali, gestione di survey aziendali finalizzate all'implementazione di piani di welfare, assistenza nella predisposizione di piani relativi ai premi di produzione e di risultato, ecc). La sua collaborazione con “Ius in itinere” nasce dal desiderio di mettersi in gioco come giurista, studiosa e giovane lavoratrice alle prese con il mondo del diritto, tanto complesso quanto affascinante. Una forte determinazione, senso del dovere e capacità di organizzazione la contraddistinguono nella vita e nel lavoro. Email: anna.rovesti@iusinitinere.it

Lascia un commento