Estratto SIG – By design e by default – seconda parte

 In Editoriale - Rss, Puntate 2019 - Rss
Print Friendly, PDF & Email

Le linee guida n. 04/2019 sull’articolo 25 del GDPR affrontano il tema della protezione dei dati personali sin dalle fase di progettazione (by design) e per impostazione predefinita (by default).

In questa seconda parte esaminiamo in maggior dettaglio i criteri di valutazione dell’adeguatezza delle misure finalizzate a garantire l’appropriatezza dell’intero sistema di protezione dei dati, per una efficace tutela dei diritti e delle libertà degli interessati.

Sintesi 

Obbligo di protezione dei dati

L’obbligo di protezione dei dati personali mediante l’adozione di misure tecnico-organizzative adeguate al rischio è uno dei principi fondanti del regolamento, tanto da trovare collocazione nell’enunciazione dell’articolo 5 rubricato “Principi applicabili al trattamento di dati personali”, omologo di quello che  la direttiva 95/46/CE intitolava “Principi relativi alla qualità dei dati”.

Il principio di “integrità e riservatezza” viene declinato principalmente nei seguenti articoli:

  • art. 32 “Sicurezza del trattamento”, che essenzialmente indica “come” va attuata la protezione mediante misure di sicurezza tecnico-organizzative adeguate, all’interno di un complessivo sistema di sicurezza;
  • art. 25 “Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita” che, in sostanza, pone l’accento sui tempi attuativi di questi interventi di presidio; 
  • art. 24 “Responsabilità del titolare del trattamento con cui viene articolato il principio di accountability.

Tutti gli articoli menzionati hanno come incipit il seguente periodo (con talune variazioni lessicali non significative): 

«Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche».

Il periodo indica la modalità di valutazione del livello di adeguatezza delle misure tecnico-organizzative, il quale è funzione appunto:

  • dell’accountability (art. 24, GDPR)
  • della sicurezza tempestiva (art. 25)
  • del livello di sicurezza generale da adottare (art. 32).

In conclusione, il livello di adeguatezza delle misure deve tener conto di quanto indicato nel citato incipit.

Tempistica

Se l’obbligo di realizzare un sistema che abbia un livello di sicurezza adeguato al rischio, grazie a misure tecnico-organizzative altrettanto adeguate, riguarda entrambi titolari e responsabili del trattamento, il parallelo obbligo di tempestività nell’attuazione della protezione (art. 25) spetta al solo titolare. Questa differenza di disciplina trova fondamento in due profili, uno causale e l’altro consequenziale:

  1. quanto al primo profilo (causale), se tempestività significa “il prima possibile” e, quindi, “fin dalla genesi” del trattamento è indubbio che questa fase si riscontra sempre, solo sotto il dominio del titolare del trattamento: sia perchè ad ogni trattamento corrisponde sempre un titolare, mentre non è altrettanto vero riguardo alla presenza di un responsabile del trattamento; sia in quanto l’affidamento a terzi di operazioni di trattamento in via strumentale per conto del titolare, ben può avvenire (spesso) in momenti successivi rispetto alle fasi iniziali del trattamento.  
  2. il secondo aspetto, consequenziale al primo, spiega anche le motivazioni per le quali le prescrizioni in materia di violazioni di dati personali (articoli 33-34 sul data breach) siano a carico del solo titolare e non di entrambi; difatti, il maggiore tra gli obblighi connessi ad una violazione è certamente quello della prevenzione degli incidenti, il quale può essere compiutamente soddisfatto solo se realizzato alle origini del trattamento. Di conseguenza, il legislatore ha stabilito che anche quando la violazione si realizza presso il responsabile del trattamento questi non ha obblighi di notificazione all’autorità (art. 33) nè di comunicazione agli interessati (art. 34) dovendo “solo” informare il proprio titolare «senza ingiustificato ritardo» (art. 33.2), prestando l’assistenza opportuna atta a consentire al titolare di garantire il rispetto delle prescrizioni a lui dirette [art. 28.3, f), GDPR].

Sul momento in cui il legislatore si attende che le misure di sicurezza siano adottate si è già detto nella prima parte, cui si rinvia.

Adeguatezza

Le linee guida 04/2019 dell’EDPB sottolineano come il concetto di adeguatezza sia strettamente connesso a quello di effettività: cioè le misure devono essere funzionali al perseguimento dell’obiettivo di garantire una sicurezza adeguata mediante cui ottenere un’efficace protezione dei diritti e delle libertà dell’interessato.

L’adeguatezza, tuttavia, non è un concetto assoluto e predeterminato ma richiede di essere valutato di volta in volta in base a taluni criteri di riferimento e tenendo in considerazione un paio di elementi di giudizio che sono riportati nel menzionato incipit degli articoli 24, 25 e 32 del regolamento.

Contattaci

Scrivici via e-mail, ti risponderemo al più presto.

Illeggibile? Cambia il testo. captcha txt
0