27

innovazione.PA

|

01-02/2018

| ANNO XV GENNAIO - FEBBRAIO

Tre parole chiave

:

accountability,

privacy by design e privacy by default

•

Accountability

Il GDPR riserva grande attenzione al principio di

responsabilizzazione (accountability) dei titolari e dei

responsabili (artt.24, 25 e capo IV) ai quali richiede l’adozione

di approcci e politiche che tengano conto costantemente del

rischio che un determinato trattamento di dati personali può

comportare per i diritti e le libertà degli interessati.

Come sottolinea l’

Avvocato Maria Notaristefano

, nello “Speciale

GDPR”: “Nell’ottica della accountability, il Regolamento è

costantemente focalizzato sulla necessità, per il titolare, di adottare

e implementare misure di sicurezza appropriate ed effettive, e sulla

capacità di dimostrare, in ogni momento, la conformità dei propri

trattamenti al Regolamento (v. considerando 74-77).

Elementi rilevanti per una tipizzazione delle ‘misure tecniche ed

organizzative adeguate’ di cui sopra sono:

• la loro natura preventiva e non rimediale;

• le soluzioni tecnologiche ritenute necessarie, che vanno

incorporate nella struttura dei sistemi come loro parti integranti

e non aggiunte all’occorrenza.

Le soluzioni accolte già in fase di progettazione e

programmazione si applicano poi durante l’intero trattamento

dei dati personali. L’ambiente tecnico e organizzativo così

progettato e realizzato dal titolare richiede la supervisione

affidata a soggetti indipendenti: in questo senso, la nomina

del Data Protection Officer è una misura di accountability,

poichè risponde all’esigenza di combinare l’adozione di misure

adeguate con la vigilanza sulla loro adozione”.

•

Privacy by design

Tra le misure di sicurezza che il titolare deve adottare c’è la

Privacy by design, che attua la protezione dei dati fin dalla fase

d’ideazione e progettazione di un trattamento o di un sistema,

prevedendo le garanzie indispensabili per soddisfare i requisiti

del Regolamento e tutelare i diritti degli interessati (art. 25).

L’adozione di tali misure è preceduta da un’analisi preventiva

(valutazione d’impatto, nei casi di trattamenti che presentino

rischi specifici per la protezione dei dati, ai sensi dell’art. 35).

All’esito della valutazione, il titolare potrà decidere in autonomia

se iniziare il trattamento oppure consultare l’Autorità di

protezione dei dati per ottenere indicazioni su come gestire il

rischio residuale. In ogni caso, l’Autorità non ha il compito di

autorizzare il trattamento, ma di indicare le misure ulteriori che

il titolare deve eventualmente adottare (art. 58).

•

Privacy by default

La Privacy by default (art. 25, par. 2) riguarda, invece, il modo

tecnico e organizzativo con cui si opera ai fini dell’utilizzazione,

conservazione e protezione dei dati trattati. Nella Privacy by

default la preoccupazione del legislatore è stata quella di limitare

il trattamento ai dati necessari al perseguimento delle finalità del

titolare e di assicurarne la protezione dal rischio di utilizzazione

da parte di un numero indefinito di soggetti e per finalità

diverse da quelle per le quali sono stati raccolti, tanto più se

perseguite in modo automatizzato e senza l’individuazione di

una chiara responsabilità riconducibile a un titolare individuato.

Se il fine principale del Regolamento UE 2016/679 è

costituito dal rafforzamento dei diritti dei cittadini europei in

merito alla protezione dei propri dati personali, il principale

mezzo individuato dal legislatore europeo è il principio di

responsabilizzazione delle organizzazioni, esercitato attraverso

figure ed azioni precise. Nell’attuazione del GDPR occorrerà

quindi familiarizzare con tre punti fondamentali: