Il pesante onere per i titolari del trattamento dei dati

Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER

Il GDPR si concentra sulla responsabilità degli stakeholder. A differenza della direttiva del 1995 (il primo importante testo europeo sulla protezione dei dati), non richiede un'autorizzazione o una dichiarazione preventiva. Si tratta di una mossa intelligente da parte dei suoi ideatori: l'assenza di un controllo preventivo contribuisce a rendere accettabili gli sforzi richiesti per conformarsi alle nuove norme.

Come abbiamo visto, il GDPR individua in ogni struttura un "titolare del trattamento", che deve essere responsabile di garantire la conformità richiesta e, quindi, di garantire il corretto funzionamento del trattamento dei dati. I compiti di questo titolare sono onerosi: non solo deve attuare le misure appropriate, ma deve anche essere in grado di "dimostrare" che il trattamento è effettuato in conformità al regolamento (art. 24-1). Non si tratta di un obbligo, ma il riferimento a un codice di condotta (art. 40) o a una certificazione (art. 42) promossi dalle autorità di controllo può facilitare la dimostrazione richiesta.

Il principio guida del titolare del trattamento è semplice: utilizzare i dati personali il meno possibile. L'articolo 25 raccomanda quindi la "pseudonimizzazione" e la "minimizzazione", già menzionate in precedenza. Aggiunge il principio della protezione dei dati per impostazione predefinita: "Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento" (art. 25-2). A differenza delle prassi attuali, in cui tutto viene "preso" salvo espressa indicazione contraria, ora si deve utilizzare solo ciò che è strettamente necessario per raggiungere l'obiettivo dichiarato. La protezione per impostazione predefinita sembra, in un certo senso, integrare la minimizzazione dei dati al momento della raccolta al momento del trattamento.

Due professionisti possono essere congiuntamente responsabili del trattamento; in tal caso, il ruolo di ciascuno è definito con precisione e portato a conoscenza dell'interessato (art. 26). Qualora il/i titolare/i del trattamento non sia/siano stabilito/i nell'Unione Europea, designa/no un rappresentante stabilito in uno degli Stati membri, che sarà incaricato di fungere da referente per l'interessato e le autorità di controllo (art. 27). È possibile avvalersi dei servizi di un subappaltatore, a condizione che quest'ultimo presenti sufficienti garanzie che il trattamento sia effettuato nel rispetto del GDPR (art. 28-1).

La tenuta di un "registro delle attività di trattamento" è obbligatoria (art. 30). Deve includere i dati di contatto del titolare del trattamento, le finalità del trattamento, le categorie di persone, dati e destinatari interessati, eventuali trasferimenti verso un paese terzo, i termini per la cancellazione e una descrizione generale delle misure di sicurezza. Tale registro deve essere messo a disposizione dell'autorità di controllo su richiesta. Non è obbligatorio per un'azienda o un'organizzazione con meno di 250 dipendenti, "a meno che il trattamento da esse effettuato non presenti un rischio per i diritti e le libertà degli interessati, se non è occasionale..." (art. 30-5). Attenzione, quindi: le dimensioni dell'azienda da sole non sono un criterio sufficiente per l'esenzione dal registro. Se trattate dati frequentemente, o se la vostra attività può in qualche modo essere collegata ai "diritti e alle libertà delle persone fisiche", siete tenuti a tenere un registro delle attività svolte.

Un regolamento non è un manuale tecnico. L'articolo 32, dedicato alla sicurezza dei trattamenti, richiama tuttavia alcuni principi fondamentali: la pseudonimizzazione e la cifratura, strumenti per garantire la riservatezza e l'integrità, per ripristinare la disponibilità dei dati e l'accesso agli stessi in caso di incidente. Gli estensori del testo non trascurano il rischio di pirateria informatica: "Nel valutare l'adeguato livello di sicurezza, si tiene conto in particolare dei rischi presentati dal trattamento, derivanti in particolare dalla distruzione, dalla perdita, dall'alterazione, dalla divulgazione non autorizzata, accidentale o illecita, di dati personali trasmessi, conservati o comunque trattati, oppure dall'accesso non autorizzato a tali dati" (art. 32-2). In altre parole, un sistema di trattamento sarà considerato conforme solo se offre le garanzie necessarie, almeno massime, in termini di protezione e sicurezza dei dati. Ricordiamo il clamore suscitato dall'hacking del database degli iscritti al sito di incontri nordamericano per persone sposate, quando decine di migliaia di profili riservati furono pubblicati su Internet.

Se, nonostante le precauzioni adottate, viene scoperta una violazione dei dati personali, il titolare del trattamento deve informare l'autorità di controllo entro 72 ore "a meno che sia improbabile che la violazione in questione presenti un rischio per i diritti e le libertà delle persone fisiche" (art. 33-1). Questa clausola offre un certo margine di manovra, anche se l'intero testo suggerisce di non abusarne per nascondere un problema. La segnalazione deve indicare la natura della violazione, il numero approssimativo di persone interessate, le probabili conseguenze di tale violazione e le misure adottate o suggerite per porre rimedio al problema o limitarne le conseguenze.

Il titolare del trattamento deve inoltre informare la vittima della violazione il prima possibile (art. 34). Tale comunicazione non è necessaria se i dati sottratti sono "incomprensibili", ad esempio a causa della crittografia, o se le misure adottate non comportano rischi per i diritti e le libertà dell'interessato, o se tale comunicazione "richiederebbe sforzi sproporzionati. In tali casi, si procede invece a una comunicazione pubblica o a una misura analoga che consenta di informare gli interessati con pari efficacia" (art. 34-3c). Questo paragrafo mira agli attacchi informatici di massa e libera i titolari del trattamento dall'obbligo di inviare un'e-mail personalizzata a ciascun individuo presente nei propri archivi.

Infine, chiariamo che lo spirito del GDPR è inequivocabile: in un'azienda organizzata con filiali, gli obblighi di queste ultime sono gli stessi della casa madre.