LA PRIVACY NEL NUOVO REGOLAMENTO UE: quali sono le nuove misure di sicurezza?

Il D.lgs. 196/2003 (Codice Privacy) ci aveva abituati molto bene.

Aveva indicato ai titolari del trattamento un elenco di misure minime di sicurezza adottare, senza le quali erano previste sanzioni. Certo, già il Codice Privacy suggeriva l’importanza di adottare anche le cosìdette misure idonee, ovvero misure non disciplinate, ma scelte dal Titolare sulla base di una sua analisi dei rischi, ma i titolari che nei fatti hanno seguito questa indicazioni sono numericamente ridotti.

Il Regolamento 2016/679 cambia completamente prospettiva.

La legislazione non fornisce più al titolare una lista di misure da attuare per essere compliance con la normativa. Il nuovo Regolamento sposta la scelta e la responsabilità su quali misure tecniche e organizzative sia opportuno adottare sul Titolare del trattamento. In sostanza, del Codice Privacy sopravvivono solo le misure idonee.

In particolare, l’articolo 24 del Regolamento prevede che:

“Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.”

E’ il così detto principio dell’accoutability che difficilmente può essere tradotto efficacemente in italiano, in quanto in sé racchiude più ampi concetti. Il principio di accountability sancisce, fondamentalmente, il salto di qualità nei sistemi di gestione dei dati: il passaggio da una concezione formale di mero adempimento della privacy ad un approccio sostanziale di tutela dei dati e delle persone stesse.

A parere di chi scrive, l’accountability si compone di almeno tre elementi:

• la trasparenza, ovvero l’esigenza di consentire agli interessati alle informazioni su come viene trattato il proprio dato;

• la “responsività”, intesa come la consapevolezza delle scelte, delle procedure/ misure di sicurezza adottate per il trattamento dei dati;

• la “compliance” da intendersi sia come conformità alla normativa vigente, ma anche in armonia con i sistemi di gestione di tutte le normative applicate dal titolare del trattamento.

Il concetto di “accountability” in materia di privacy non è “inventata” dal Regolamento Ue. Il Gruppo di lavoro Articolo 29 ha introdotto il concetto già nel 2009 (WP168) per poi dedicarne un intero documento: il parere 3/2010.

Ma veniamo alla pratica.

Come fa il titolare del trattamento a dimostrare di essere compliance rispetto agli obblighi previsti dal regolamento europeo in materia di protezione dei dati personali? cosa devono fare le imprese e le pubbliche amministrazioni nelle more dell'entrata in vigore del regolamento?

Abbiamo detto sopra, che l'attuale codice della privacy non prevede in modo diretto il principio di accountability, prevede una serie di adempimenti formali (informativa, consenso, notificazione al Garante, misure minime e idonee) ma non un approccio di responsabilizzazione.

Ne consegue che tutto il sistema di gestione del dato va interamente rivisto.

Il Regolamento, infatti, aggiorna la normativa inserendo una maggiore attenzione al risk-based approach e specificando in modo più descrittivo ed esemplificativo alcune delle principiali tipologie di misure tecniche ed organizzative, introducendo anche nuovi principi come quelli di accountability, di data protection by design e by default.

Più nel merito, da una parte, già nella direttiva 95/46/Ce all’articolo 17 prevedeva sia un risk-based approach, sia che le misure tecniche ed organizzativa in linea con lo stato dell’arte o meglio soluzioni adottare in base al progresso tecnico (questo è concetto previsto dall’art. 31 del nostro Codice della Privacy la quale ha recepito la direttiva 46).

A questo riguardo, si può asserire che l’art. 32 del regolamento 679 mantiene l’impianto, ma innova parzialmente inserendo un concetto di efficacia delle misure di sicurezza (si veda art. 32 lett. d), prevede anche la valutazione di impatto (c.d. Data Protection Impact Assessment) quale strumento fondamentale per conoscere la stato attuale e il margine di miglioramento del proprio sistema privacy.

In termini più generali, la nuova disciplina per lo più aggiorna quella esistente indicando soluzioni molto diffuse sul mercato come la pseudonimizzazione, richiamando in modo più puntuale concetti essenziali di sicurezza delle informazioni come la riservatezza, integrità e disponibilità (noti con l’acronimo RID).

Dall’altra parte, a livello nazionale già la disciplina del Codice della Privacy prevedeva l’applicazione di misure idonee da individuarsi sulla base di un’attenta analisi dei rischi, queste misure di sicurezza fino a che è esistito il Documento Programmatico per la Sicurezza (D.P.S.) il titolare si faceva carico di indicarle e dettagliarle in quel documento. Venuto meno il D.P.S. le misure idonee non si aveva “evidenza” delle misure idonee applicate né la ragione che aveva portato a scegliere di applicare quella misura.

Come dimostrare quindi di aver correttamente applicato il principio dell’accountability?

Anche qui non c’è una regola, ma quello che oggi viene chiesto a tutti i titolari del trattamento è di ripartire da una consapevolezza dei trattamenti dati che effettua.

Quindi il nostro consiglio è ripartire da quello che c’è, mapparlo, tracciarlo e valutarlo alla luce della normativa oggi vigente (Codice Privacy), ma anche in prospettiva dei principi previsti dal nuovo Regolamento 2016/679. Su questo fare un’analisi del rischio del trattamento di dati e un piano di lavoro per migliorare il sistema esistente.