Il Principio di Accountability nel Nuovo Regolamento UE 2016/679 – Seconda Parte
Nel precedente articolo sono state prese in esame la disciplina in materia di trattamento dei dati personali prevista dal GDPR e le figure ad esso deputate.
L’importanza dell’Accountability nel Trattamento dei Dati Personali
Tuttavia, dal tenore del nuovo art. 2-quaterdecies del D.lgs 196/2003[1] risulta evidente come la sola dicotomia titolare-responsabile non sia sufficiente a ricostruire l’intera catena organizzativa nell’ambito di un trattamento, data la pluralità degli attori[2] presenti.
Figura del Titolare e Responsabile del Trattamento
Il titolare che intenda avvalersi di collaboratori è tenuto, prima di avviare un qualsiasi trattamento, ad individuare, formare e istruire i singoli soggetti autorizzati al trattamento stesso; in tal senso è utile richiamare la disciplina dell’art. 29[3] del GDPR che, nel richiedere l’adozione di misure organizzative, richiama il principio di accountability.
Formazione e Istruzioni per i Soggetti Autorizzati
Come detto i soggetti autorizzati, quali figure di supporto al titolare o al responsabile, per poter essere nominati devono essere destinatari, prima dell’avvio del trattamento dei dati personali, di formazione adeguata nonché di istruzioni differenziate in ragione delle competenze essi attribuite, essendo evidente il divieto per ciascun soggetto di trattare dati sotto l’autorità del titolare in carenza di una designazione espressa e coerente con i compiti o le funzioni ad esso attribuite. Tra i soggetti autorizzati al trattamento rientra la figura dell’amministratore di sistema che seppur non espressamente richiamata nel GDPR viene definita nel provvedimento dell’Autorità Garante[4]
Registro dei Trattamenti e Strumento di Accountability
L’insieme delle misure adottate – nonché di ogni altra informazione richiesta dal GDPR o comunque necessaria in ragione del caso concreto – dev’essere annotato nei registri di trattamento ai sensi dell’art. 30 del GDPR a cura del titolare e del responsabile del trattamento, cui spetta inoltre la loro tenuta.
Obbligo e Funzione del Registro dei Trattamenti
Il registro dei trattamenti ex art 30 del GDPR è dunque sempre obbligatorio (ad esclusione dei casi previsti dall’art. 30 paragrafo 5 del GDPR[5]) e rappresenta al tempo stesso uno strumento di accountability e di cooperazione con l’Autorità Garante.
Questa seconda definizione discende dall’essere la prima documentazione che il titolare deve mettere a disposizione dell’Autorità per consentirle di verificare, comprovandola, la coerenza al GDPR dei trattamenti posti in essere.
Contenuti e Aggiornamenti del Registro dei Trattamenti
Il registro deve contenere almeno le informazioni elencate nei paragrafi 1 e 2 e descrivere in forma sintetica tutti i trattamenti effettuati dal titolare e/o dal responsabile; nonché essere costantemente aggiornato ad ogni variazione dei contenuti o integrato con l’inserimento dei nuovi trattamenti, deducendosi quindi il suo carattere dinamico e non statico. La compilazione, inoltre, dovrà avvenire al termine di un censimento dei dati trattati e solo dopo aver effettuato un’attenta e puntuale mappatura dei processi e dei procedimenti (trattamenti), corredata dalle finalità e da ogni altra informazione utile.
Cooperazione e Controllo dell’Autorità Garante
Il principio di accountability è anche nella cooperazione del titolare con l’Autorità Garante (munita tra l’altro dei poteri di cui all’art 58 GDPR), anche ribadita nell’art. 30 par. 4 . L’art. 31 contiene dunque un obbligo di carattere generale che implica un controllo non limitato ai soli registri ma a tutte le attività di ispezione e controllo[6] e tale, da un lato, da attestare la conformità al GDPR e, dall’altro, di consentire un monitoraggio sulle attività svolte. Le attività ispettive sono effettuate a norma del Regolamento deliberato dall’Autorità Garante n. 1 del 2021[7].
Misure Tecniche e Organizzative: Privacy by Design e by Default
I principi di privacy by design e privacy by default e le conseguenti misure tecniche organizzative si traducono nell’obbligo generale di sicurezza declinato nell’art. 32 (il cui principio è contenuto nell’art 5, par 1 lett. f) GDPR).
Applicazione e Riesame delle Misure di Sicurezza
Il titolare è tenuto ad applicare il principio di responsabilizzazione enunciato nell’art. 5 par. 1 mediante l’adozione di misure adeguate, che devono essere, se necessario, periodicamente riesaminate e aggiornate, nonché a comprovare il rispetto e l’efficacia delle stesse come prescritto anche dall’art. 24.)
In tale contesto gli artt. 25 e 32 concorrono ad elencare alcune misure tecniche che si differenziano dalle misure organizzative (consistendo queste ultime nella suddivisione delle responsabilità). A titolo esemplificativo ma non esaustivo citiamo la nomina del responsabile, ove necessario; redazione di apposite policy interne; la nomina dei soggetti autorizzati al trattamento con annesse le relative istruzioni; la nomina dell’amministratore di sistema e del Responsabile protezione dei dati; la formazione, etc.
Gestione delle Violazioni dei Dati Personali
Una violazione dei dati personali[8] (data breach) può comprometterne la riservatezza, l’integrità o la disponibilità ma rappresenta altresì un indice di funzionalità del sistema di accountability progettato dal titolare, nonché l’opportunità di affrontare con maggior consapevolezza la verifica dei processi di trattamento per individuare i contesti che necessitano di aggiornamenti, così da renderli maggiormente coerenti con il GDPR. Quest’ultimo, dopo aver definito la violazione dei dati personali(art. 4 par. 1 n. 12) agli artt. 33 e 34 regolamenta, rispettivamente, la materia della notifica di una violazione dei dati personali all’autorità di controllo e la comunicazione di una violazione dei dati personali all’interessato.
Obblighi di Notifica e Registro delle Violazioni
Il titolare, a norma dell’art. 33 del GDPR, è tenuto a notificare all’Autorità Garante la violazione dei dati personali, a meno che non sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oggetto della tutela non sono infatti i dati personali in sé ma i diritti e le libertà delle persone fisiche a cui fanno riferimento.
La notifica – da trasmettersi, ove possibile, entro 72 ore dall’avvenuta conoscenza – deve evidenziare almeno le seguenti indicazioni: la descrizione dell’evento; il numero approssimativo e le categorie di persone fisiche e dati coinvolti; le informazioni di contatto del Responsabile della protezione dei dati personali o altri contatti presso cui ottenere più informazioni; la descrizione, in termini di probabilità, delle conseguenze dell’incidente e delle misure adottate o di cui si propone l’adozione per attenuare gli effetti negativi, oltre agli elementi richiesti nel modello predisposto dall’Autorità Garante[9] a cui si rinvia.
La notifica, se trasmessa oltre le 72 ore dall’avvenuta conoscenza, deve essere corredata dai motivi del ritardo.
Sempre in ottica di accountability, il titolare è tenuto a compilare un apposito registro delle violazioni nel quale dovranno essere annotate sia le violazioni oggetto di notifica sia quelle per cui la notifica non è stata necessaria, corredata dalle motivazioni, al fine di consentire all’Autorità Garante ogni verifica circa la corretta applicazione dell’art. 33 GDPR da parte del titolare.
Comunicazione ai Soggetti Interessati
In presenza di una violazione dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche il titolare è tenuto, a norma dell’art. 34, a notificare l’ accaduto anche all’interessato, senza ingiustificato ritardo e con linguaggio semplice, unitamente alle seguenti informazioni:
- il nome e i dati del responsabile della protezione dei dati o di altro contatto presso cui ottenere più informazioni;
- le probabili conseguenze della violazione dei dati personali;
- le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Medesimo tenore si riscontra nel Considerando n. 85 del GDPR[10] che, seppur in un’ottica di prevenzione post-violazione, richiama i possibili rischi per gli interessati.
Comunicazione all’Interessato e Livelli di Rischio
La comunicazione all’interessato deve avvenire in ragione dei livelli di rischio evidenziati nelle linee guida richiamate nella nota n. 15; mentre sempre l’art. 34 individua i casi in cui il titolare è esonerato dall’obbligo di comunicazione e le modalità alternative alla comunicazione diretta al singolo interessato, nonché i poteri dell’Autorità Garante in caso di inerzia del titolare.
Procedimentalizzazione della Gestione del Data Breach
Non può dubitarsi che la logica dell’art. 34 GDPR sia quella di una procedimentalizzazione della gestione dell’eventuale rischio connesso al verificarsi del data breach[11], secondo un modello di notification che in passato era stato utilizzato in maniera eterogenea, tanto in tema di misure applicabili alla notifica delle violazioni di dati personali (a norma della Direttiva 2002/58/CE) quanto, in un altro ambito e con diverse finalità, della Direttiva 31/2000 in materia di responsabilità degli internet service provider.
Norme Generali per la Gestione del Rischio e Accountability
Gli art. 35 e 36 sono norme generali e procedurali per la gestione del rischio il cui intento deve essere ricercato nell’aumentare l’aderenza del trattamento al GDPR e, in tale ottica, l’analisi del rischio[12] e le misure adottate dovranno essere comprovate. Nel dubbio, la valutazione d’impatto deve essere sempre eseguita.
Applicazione del Principio di Accountability nella Valutazione d’Impatto
Anche l’istituto della valutazione d’impatto è orientato al principio di accountability, afferendo quest’ultima alla fase della progettazione del trattamento, da doversi eseguire nei casi previsti e con le modalità dall’art. 35 paragrafo 1[13] poiché ciascun trattamento di dati personali implica comunque un rischio ed è onere del titolare mitigarlo con le adeguate misure tecniche e organizzative.
Casi di Obbligo di Valutazione d’Impatto
Il successivo par. 3 individua poi, nell’ambito del paragrafo 1, i seguenti casi nei quali la valutazione d’impatto è richiesta:
- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato(compresa la profilazione) e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
- la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
L’Autorità Garante, in forza del successivo paragrafo 4, ha redatto una lista di trattamenti[14] per il quali la valutazione d’impatto è obbligatoria.
Procedura di Consultazione Preventiva e Coinvolgimento dell’Autorità Garante
Da ultimo, a norma dell’art. 35 par. 11, se necessario il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati, almeno quando insorgano variazioni del rischio rappresentato dalle attività relative al trattamento.
L’art. 36 – rubricato “consultazione preventiva” – regolamenta una fase eventuale e successiva rispetto alla valutazione d’impatto sopra richiamata, la cui finalità è il coinvolgimento dell’Autorità Garante da parte del titolare nell’ipotesi in cui, all’esito dell’analisi del rischio, sia presente un rischio residuale ancora elevato[15].
Ruolo dell’Autorità Garante e Pareri Scritti
La consultazione preventiva è procedimentalizzata nei paragrafi 2 e 3 dell’art. 36: nell’ipotesi di trattamenti non in linea con il GDPR, l’Autorità Garante provvederà a fornire al titolare un parere scritto e non un’autorizzazione, in coerenza con il principio di accountability, in quanto le scelte restano sempre di competenza del titolare. A presidio della mancata applicazione degli artt. 35 e 36, sono previste le sanzioni di cui all’art. 83 par. 4 lett. a) del GDPR.
Ruolo e Funzioni del Responsabile della Protezione dei Dati (RPD)
Sempre in ambito di accountability occorre evidenziare la nuova figura introdotta dal GDPR, il Responsabile della Protezione dei Dati (RPD), la cui disciplina e funzioni sono contenute negli art. 37-39. Per quanto di interesse in questa sede, va sottolineato il ruolo centrale che assume[16]: titolare e responsabile assicurano infatti il tempestivo e adeguato coinvolgimento dell’RPD in tutte le questioni riguardanti la protezione dei dati personali, potendo questi intervenire nelle fasi sia preliminari che successive dei trattamenti al fine di consentire la corretta applicazione del regolamento. Ma il RPD, come in precedenza evidenziato, è anche punto di contatto e strumento di cooperazione con l’Autorità Garante.
Trasparenza, Accountability e Compliance
Da ultimo, si rappresenta come l’accountability si componga di almeno tre elementi:
- la “trasparenza”, come garanzia da parte del titolare circa la completa accessibilità alle informazioni per gli interessati;
- l’”accountability” vera e propria, ovvero la capacità del titolare di rendere conto di scelte, comportamenti e azioni;
- la “compliance”, come capacità di rispettare le norme da parte del titolare.
Sanzioni per la Mancata Osservanza delle Norme di Protezione dei Dati
La mancata osservanza da parte del titolare della disciplina vigente in materia di protezione dei dati personali – quindi non solo il GDPR ma anche la disciplina collegata – o l’impossibilità per quest’ultimo di dimostrare la propria accountability lo pone nella condizione di essere destinatario delle sanzioni amministrative previste dal Regolamento, dal codice privacy e da altre disposizioni vigenti in materia, nonché dalle relative norme penali.
L’irrogazione della sanzione da parte dell’Autorità Garante lascia impregiudicata la possibilità dell’interessato di agire civilmente, nei confronti del titolare, per il risarcimento del danno sofferto.
Note
[1] Art. 29 – Attribuzione di funzioni e compiti a soggetti designati
Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.
[2] La protezione dei dati deve «palesarsi come una catena solida non soltanto nelle sue maglie principali “titolare” e responsabile” (…) ma anche in quelle, gli incaricati che seppure non onerate da compiti e responsabilità specifiche nei confronti degli interessati e autorità di controllo, contribuiscono sensibilmente alla tenuta della protezione dei dati personali». Come è stato correttamente osservato da Nocera, Commento all’art. 2-quaterdecies in Sciaudone, Caravà (a cura di), Il Codice della privacy, Pisa, 2019, p. 171.
[3] Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento – Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
[4] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1577499
[5] Art. 30 – Registri delle attività di trattamento
[omissis]
Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.
[6] Così pure Cavalcanti, Miele, commento all’art 31 del Regolamento, in D’Agostino, Barlassina, Colarocco (a cura di) Commentario al Regolamento UE 2016/679 e al codice della privacy aggiornato, Milano, 2019, 204.
[7] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9107633
[8] Art. 4 par. 1 n. 12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
[9] https://servizi.gpdp.it/databreach/s/ e https://ec.europa.eu/newsroom/article29/items/612052/en
[10] “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.
[11] Si esprime in tal senso Montalero, La gestione del rischio, in Finocchiaro, La protezione dei dati personali, Torino, 2019, 520-521.
[12]https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9254237
[13] Art. 35 GDPR – Valutazione d’impatto sulla protezione dei dati
- Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
- Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.
- La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
- a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
- c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
- L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.
- L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.
- Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.
- La valutazione contiene almeno:
- a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
- b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
- d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
- Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.
- Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
- Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.
- Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.
[14] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9058979
[15] https://ec.europa.eu/newsroom/article29/items/611236/en e https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9059358
[16] Articolo 39 – Compiti del responsabile della protezione dei dati
- Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
- a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
- d) cooperare con l’autorità di controllo;
- e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
- Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.
Articolo a cura di Massimo Ippoliti
Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.