I tre pilasti del GDPR

Accountability

Uno dei principi fondamentali della nuova normativa sulla privacy è il principio dell’accountability o di “responsabilizzazione” del titolare del trattamento (art. 24 GDPR).

Il Regolamento impone ad ogni titolare di mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento da sé effettuato è conforme alla nuova normativa. Ciò significa, in altri termini, che non è più sufficiente rispettare misure “minime” formalmente predeterminate come adeguate o sufficienti a proteggere i dati personali, ma è necessario effettuare in concreto un’analisi delle attività di trattamento e dei rischi che essi comportano per i diritti e le libertà degli interessati.

Logica conseguenza di questa nuova impostazione, è la necessità per il titolare di essere in grado di dimostrare – e documentare – l’avvenuto processo di adeguamento alla nuova disciplina, nonché l’adeguatezza delle misure adottate all’esito di tale processo di auto-analisi.

Come ricorda il GDPR, questa attività di adeguamento deve calarsi nel concreto, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi in termini di probabilità e gravità. Le misure adottate per proteggere i dati personali devono inoltre essere valutate in base allo stato dell’arte e ai costi di attuazione, e devono necessariamente essere oggetto di procedure volte a testare, verificare e valutare nel tempo, con regolarità, la loro efficacia.

Privacy by design e privacy by default

Gli altri due pilastri del nuovo approccio alla privacy europea sono rappresentati dai principi sanciti all’art. 25 del GDPR: “protezione dei dati fin dalla progettazione” (privacy by design) e “protezione dei dati per impostazione predefinita” (privacy by default).

Privacy by design: il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate (es. la pseudonimizzazione) volte ad attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati. Quanto sopra è espressamente richiesto non solo nel corso dello svolgimento delle operazioni di trattamento, ma anche e soprattutto prima dell’avvio del trattamento stesso, sin dalla progettazione, ovvero sin dal momento in cui è necessario individuare i mezzi del trattamento.  La tutela dei dati personali, dunque, deve essere pensata e organizzata fin dalla fase progettuale della raccolta dei dati, adottando meccanismi di protezione per l’intero ciclo di vita delle informazioni.

Privacy by default: il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento (cfr. principi di “limitazione della finalità” e principio di “minimizzazione dei dati”, art. 5 GDPR). Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure devono garantire che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica. In altri termini, occorrerà prevenire raccolte di dati non necessari ed eccedenti in relazione alle finalità perseguite e dichiarate nell’informativa. La protezione della privacy diventa dunque un presupposto delle attività di trattamento.