di Sergio Niger
Sommario
- Il principio di “responsabilizzazione”, dalla “teoria alla pratica”
- Trasparenza e trattamento dei dati personali
1. Il principio di “responsabilizzazione”, dalla “teoria alla pratica”
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, in seguito RGPD) pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi da parte di questi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del RGPD (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento)1. È una delle grandi novità in tema protezione dei dati, in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento. Con l’affermazione del principio di accountability cambia la filosofia di fondo sottesa al trattamento dei dati e al ruolo dei soggetti che li trattano. Si passa da una visione di carattere “autorizzatoria” a una fondata sulla responsabilizzazione e quest’ultima assurge a vero criterio guida del Regolamento, questa assume un ruolo fondamentale, la chiave di lettura e di interpretazione sul giusto comportamento che il titolare deve adottare davanti a un quesito, a un problema, al corretto processo organizzativo o tecnico alla base di un trattamento dei dati. Il concetto di accountability è legato “al rendere conto dell’azione fatta”, al rendere conto dei risultati ottenuti, delle cose fatte. Il punto fondamentale del concetto di accountability risiede nella dimostrazione di come viene esercitata la responsabilità e sulla sua verificabilità. La responsabilità e l’obbligo di rendere conto sono due facce della stessa medaglia ed entrambe sono elementi essenziali di una buona governance e di un buon modo di rispondere ai problemi che derivano dal trattamento dei dati. Con l’introduzione di questo principio ci si riferisce a un atteggiamento proattivo ovvero: saper prevenire e agire in anticipo per far fronte a un’azione futura ed essere in grado di rendicontare.
Sulle caratteristiche del principio di accountability si era già soffermato compiutamente il parere n.3/2010 (adottato il 13 luglio 2010) del Gruppo di Lavoro Articolo 29 per la protezione dei dati (ora, Comitato Europeo per la Protezione dei Dati), nel quale si evidenziava che “gli obblighi giuridici devono essere tradotti in misure concrete di protezione dei dati. Per favorire la protezione dei dati nella pratica, il quadro giuridico dell’UE in materia necessita di meccanismi aggiuntivi. Nei dibattiti sul futuro del quadro europeo e globale sulla protezione dei dati, sono stati proposti meccanismi basati sulla responsabilità come mezzo per incoraggiare i responsabili del trattamento ad attuare strumenti pratici per una protezione dei dati efficace che la protezione dei dati deve passare dalla teoria alla pratica”. Passare “dalla teoria alla pratica”, ossia gli obblighi giuridici devono essere tradotti in misure concrete di protezione dei dati.
Il Gruppo Art. 29, nel parere in questione, rifletteva sul modo in cui il quadro giuridico potesse incoraggiare i titolari del trattamento ad adottare misure che offrissero una protezione reale nella pratica. In altri termini, la forma che avrebbe dovuto assumere l’architettura giuridica dei sistemi basati sulla responsabilità, detti sistemi non modificano né influiscono in alcun modo sui principi sostanziali di protezione dei dati, ma sono intesi a renderli più efficaci, sicuri ed efficienti; mediante, ad esempio, l’attuazione di misure e procedure interne volte a rendere effettivi i principi di protezione dei dati esistenti assicurandone l’efficacia, e ad introdurre l’obbligo di dimostrarne il rispetto qualora le autorità di controllo dei dati ne facciano richiesta. Il tipo di procedure e di meccanismi dovrebbe variare in funzione dei rischi intrinseci al trattamento e alla natura dei dati.
Il principio di accountability si fonda su due elementi principali: (1) la necessità che il titolare del trattamento adotti misure appropriate ed efficaci per attuare i principi di protezione dei dati; (2) la necessità di dimostrare, su richiesta, che sono state adottate misure appropriate ed efficaci. Pertanto, il titolare del trattamento deve fornire la prova di quanto esposto al punto (1).
Il RGPD, facendo propria questa visione, pone l’accento sulla responsabilizzazione dei titolari e dei responsabili, ossia sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione delle disposizioni regolamentari. Viene, quindi, affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati, ovviamente nel rispetto della normativa e dei criteri previsti dal RGPD.
Il primo fra questi criteri è sintetizzato dall’espressione inglese “data protection by default and by design” (art. 25), ossia dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto previsto dall’art. 25 del RGPD) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.
Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel RGPD rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento. Quest’ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati (in particolare, considerando 75-772); tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (si vedano artt. 35-36), c.d. valutazione d’impatto, tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi (al riguardo, di particolare importanza sono le linee-guida in materia di valutazione di impatto sulla protezione dei dati adottate dal Gruppo “Articolo 29). All’esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare i rischi) ovvero consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’autorità non avrà il compito di “autorizzare” il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58, cioè dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.
Il principio di responsabilizzazione impone al titolare l’adozione del registro dei trattamenti (ai sensi dell’art. 30), di approntare misure di sicurezza che debbano “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1); in questo senso, la lista di cui al paragrafo 1 dell’art. 32 è una lista aperta e non esaustiva (“tra le altre, se del caso”). Per lo stesso motivo, non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza, poiché tale valutazione sarà rimessa, caso per caso, al titolare e al responsabile in rapporto ai rischi specificamente individuati come da art. 32 del RGPD. La nuova normativa prevede la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per attestare l’adeguatezza delle misure di sicurezza adottate.
In ogni caso, il Garante per la protezione dei dati personali potrà valutare la definizione di linee-guida o buone prassi sulla base dei risultati positivi conseguiti nel corso di questi anni; inoltre, per alcune tipologie di trattamenti (quelli di cui all’art. 6, paragrafo 1), lettere c) ed e) del RGPD) potranno restare in vigore (in base all’art. 6, paragrafo 2, del RGPD) le misure di sicurezza attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice in materia di protezione dei dati personali), ove questi ultimi contengano disposizioni in materia di sicurezza dei trattamenti.
Tutti i titolari – e non soltanto i fornitori di servizi di comunicazione elettronica accessibili al pubblico, come avviene oggi – dovranno notificare all’autorità di controllo le violazioni di dati personali di cui vengano a conoscenza, entro 72 ore e comunque “senza ingiustificato ritardo”, ma soltanto qualora ritengano probabile che da tale violazione possano derivare rischi per i diritti e le libertà degli interessati (considerando 85). Pertanto, la notifica all’autorità dell’avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. Se la probabilità di tale rischio è elevata, si dovrà informare delle violazione anche gli interessati, sempre “senza ingiustificato ritardo”; fanno eccezione le circostanze indicate al paragrafo 3 dell’art. 34, che coincidono solo in parte con quelle attualmente menzionate nell’art. 32-bis del Codice in materia di protezione dei dati personali. I contenuti della notifica all’autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli artt. 33 e 34 del RGPD. Al riguardo, di particolare rilievo sono le linee-guida in materia di notifica delle violazioni di dati personali del Gruppo “Articolo 29” (Linee guida in materia di notifica delle violazioni di dati personali (data breach notification) – WP250, definite in base alle previsioni del Regolamento (UE) 2016/679, adottate dal Gruppo di lavoro Art. 29 il 3 ottobre 2017
versione emendata e adottata il 6 febbraio 2018). Tutti i titolari di trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati (art. 33, paragrafo 5).
Anche la designazione di un “Responsabile della protezione dati” (RPD, ovvero DPO se si utilizza l’acronimo inglese: Data Protection Officer) riflette l’approccio responsabilizzante che è proprio del RGPD (si veda art. 39), essendo finalizzata a facilitare l’attuazione del regolamento da parte del titolare/del responsabile. Non è un caso, infatti, che fra i compiti del RPD rientrino “la sensibilizzazione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di impatto di cui all’art. 35.
Il RGPD (articolo 5, paragrafo 2) richiede al titolare di rispettare tutti questi principi e di essere “in grado di comprovarlo”. Questo è appunto il principio detto di “responsabilizzazione” (o accountability), il quale richiede la messa in atto da parte del titolare di tutte le misure sopra citate; principio che viene poi esplicitato ulteriormente dall’art. 24, paragrafo 1, del RGPD, dove si afferma che “il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento.”
Alla luce anche del principio di accountability, ogni trattamento di dati personali deve avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679, ossia: liceità, correttezza e trasparenza del trattamento, nei confronti dell’interessato; limitazione della finalità del trattamento, compreso l’obbligo di assicurare che eventuali trattamenti successivi non siano incompatibili con le finalità della raccolta dei dati; minimizzazione dei dati: ossia, i dati devono essere adeguati pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento; esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento; limitazione della conservazione: ossia, è necessario provvedere alla conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento; integrità e riservatezza: occorre garantire la sicurezza adeguata dei dati personali oggetto del trattamento.
Una delle misure più importanti e concrete, nell’ambito del principio di responsabilizzazione, che il titolare del trattamento deve porre in essere riguarda la trasparenza delle attività di trattamento dati che pone in essere.
2. Trasparenza e trattamento dei dati personali
Chi intende effettuare un trattamento di dati personali deve fornire all’interessato alcune informazioni, anche per metterlo nelle condizioni di esercitare i propri diritti, previsti agli artt. 15-22 del RGPD. Il principio di trasparenza3, inteso come obbligo di rendere conoscibili le modalità con cui i dati sono raccolti, utilizzati e consultati grazie a comunicazioni e informazioni facilmente accessibili e comprensibili, utilizzando un linguaggio chiaro e semplice (considerando 39)4, ha nel RGPD un ruolo fondamentale e potenzialmente molto espansivo.
La trasparenza è un obbligo trasversale a norma del RGPD, che si esplica in tre elementi centrali: 1) la fornitura agli interessati d’informazioni relative al trattamento corretto; 2) le modalità con le quali il titolare del trattamento comunica con gli interessati riguardo ai diritti di cui godono ai sensi del regolamento; 3) le modalità con le quali il titolare del trattamento agevola agli interessati l’esercizio dei diritti di cui godono. Il Gruppo di lavoro Articolo 29 ha adottato, al riguardo, le Linee guida sulla trasparenza ai sensi del Regolamento 2016/679, adottate il 29 novembre 2017 ed emendate l’11 aprile 2018.
Dette linee guidano mirano, soprattutto, a consentire ai titolari del trattamento di comprendere, a un livello elevato, come il Gruppo interpreti gli effetti pratici degli obblighi di trasparenza e a indicare l’approccio che, secondo il Gruppo, i titolari del trattamento devono adottare per essere trasparenti, ricomprendendo al contempo correttezza e responsabilizzazione nelle loro misure di trasparenza.
La trasparenza è un aspetto che da tempo si è radicato nel diritto dell’Unione europea. È finalizzata infondere fiducia nei processi che riguardano i cittadini, permettendo loro di comprenderli e, se necessario, di opporvisi. Inoltre, è espressione del principio di correttezza in relazione al trattamento dei dati personali affermato all’art. 8 della Carta dei diritti fondamentali dell’Unione europea. Ai sensi dell’art. 5, paragrafo 1, lettera a), del RGPD, oltre ai requisiti che il trattamento dei dati sia lecito e corretto, la trasparenza è ora inclusa in quanto elemento fondamentale di questi principi, questa, infatti, è intrinsecamente legata alla correttezza e al nuovo principio di responsabilizzazione ai sensi del RGPD. Il titolare del trattamento dev’essere sempre in grado di dimostrare che i dati personali sono trattati in modo trasparente nei confronti dell’interessato (art. 5, paragrafo 2, RGPD). A questo si aggiunge il fatto che il principio di responsabilizzazione impone la trasparenza delle operazioni di trattamento affinché il titolare del trattamento sia in grado di dimostrare il rispetto degli obblighi che il regolamento gli impone.
Secondo il considerando 171 del RGPD, laddove il trattamento fosse stato già in corso prima del 25 maggio 2018, il titolare del trattamento avrebbe dovuto garantirne la conformità agli obblighi di trasparenza alla data del 25 maggio 2018 (così come a tutti gli altri obblighi previsti dal regolamento). Ciò significa che prima del 25 maggio 2018 il titolare del trattamento avrebbe dovuto revisionare tutte le informazioni fornite agli interessati con riferimento al trattamento dei dati personali che li riguardano (ad esempio in dichiarazioni/informative sulla privacy, ecc.), al fine di garantire l’adempimento degli obblighi di trasparenza esaminati nelle citate linee guida.
Quando il titolare del trattamento la rispetta, la trasparenza consente agli interessati di imputare la responsabilità al titolare e al responsabile del trattamento e di esercitare il controllo sui dati personali che li riguardano, ad esempio dando o revocando il consenso informato e attivando i loro diritti di interessati.
Gli obblighi d’informazione sono specificamente indicati negli artt. 12-14 del RGPD. La qualità, l’accessibilità e la comprensibilità delle informazioni sono i requisiti fondamentali in grado di garantire la trasparenza del trattamento e fornire indicazioni concrete circa il principio di finalità alla base di ogni trattamento dati.
Gli obblighi di trasparenza imposti dal regolamento si applicano a prescindere dalla base giuridica del trattamento e per tutto il ciclo di vita dello stesso. Ciò risulta chiaro dall’articolo 12, il quale stabilisce che la trasparenza si applica nelle seguenti fasi del ciclo di trattamento dei dati:
• prima o all’inizio del ciclo di trattamento dei dati, vale a dire quando i dati personali sono raccolti presso l’interessato od ottenuti in altro modo;
• nell’arco dell’intero ciclo di vita del trattamento, ovvero nella comunicazione con gli interessati sui loro diritti;
• in momenti specifici in cui il trattamento è in corso, ad esempio quando si verifica una violazione di dati oppure in caso di modifica rilevante del trattamento.
Il concetto di trasparenza non viene definito all’interno del regolamento. Il considerando 39 del RGPD, come già rilevato, ne illustra il significato e l’effetto nell’ambito del trattamento dei dati.
L’art. 12 del RGPD fissa le regole generali che si applicano alla fornitura delle informazioni agli interessati (ai sensi degli artt. 13 e 14 del RGPD), alla comunicazione con gli interessati riguardo all’esercizio dei loro diritti (ai sensi degli artt. 15-22 del RGPD) e alle comunicazioni relative alle violazioni di dati (art. 34 del RGPD). In particolare, l’articolo 12 impone che le informazioni o le comunicazioni in questione debbano rispettare i criteri seguenti: devono essere concise, trasparenti, intelligibili e facilmente accessibili; devono essere formulate con un linguaggio semplice e chiaro; il requisito di un linguaggio semplice e chiaro è di particolare importanza nel caso d’informazioni destinate ai minor; devono essere fornite per iscritto “o con altri mezzi, anche, se del caso, con mezzi elettronici”; se richiesto dall’interessato, possono essere fornite oralmente; devono essere in genere gratuite.
L’obbligo di fornire agli interessati le informazioni e le comunicazioni in forma “concisa e trasparente” implica che il titolare del trattamento presenti le informazioni/comunicazioni in maniera efficace e succinta al fine di evitare un “subissamento” informativo. Tali informazioni dovrebbero essere differenziate nettamente da altre che non riguardano la vita privata, quali clausole contrattuali o condizioni generali d’uso. Nell’ambiente online l’utilizzo di una dichiarazione/informativa sulla privacy stratificata può consentire all’interessato di consultarne immediatamente la specifica sezione desiderata, senza dover scorrere ampie porzioni di testo alla ricerca di un argomento in particolare.
L’obbligo di fornire informazioni “intelligibili” implica che queste debbano risultare comprensibili a un esponente medio del pubblico cui sono dirette. L’intelligibilità è strettamente connessa all’obbligo di utilizzare un linguaggio semplice e chiaro. Il titolare dei dati responsabilizzato saprà su che tipo di persone raccoglie informazioni e potrà utilizzare tali conoscenze per stabilire che cosa è probabile che il pubblico in questione comprenda.
Un aspetto fondamentale del principio della trasparenza messa in luce nelle linee guida risiede nel fatto che l’interessato dovrebbe essere in grado di determinare in anticipo quali siano la portata del trattamento e le relative conseguenze e non dovrebbe successivamente essere colto di sorpresa dalle modalità di utilizzo dei dati personali che lo riguardano Ciò costituisce un aspetto importante del principio di correttezza di cui all’articolo 5, paragrafo 1, del regolamento ed è altresì connesso al considerando 39, il quale stabilisce che “[è] opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali…”.
L’elemento della “facile accessibilità” implica che l’interessato non sia costretto a cercare le informazioni, ma che anzi gli sia immediatamente chiaro dove e come queste siano accessibili.
L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del RGPD) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato, art. 13 del RGPD).
Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del RGPD), l’informativa deve essere fornita entro un termine ragionevole che non può superare un mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato).
I contenuti dell’informativa sono elencati in modo tassativo negli artt. 13, paragrafo 1, e 14, paragrafo 1, del RGPD e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD (Responsabile della protezione dei dati), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (art. 14 del RGPD), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.
In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
Qualora il trattamento contemplasse processi decisionali automatizzati (anche la profilazione), l’informativa dovrebbe specificarlo e dovrebbe indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: art. 12, paragrafo 1, e considerando 58 del RGPD). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto delle caratteristiche di cui sopra rappresentate (art. 12, paragrafo 1, RGPD).
Il Regolamento ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (art. 12, paragrafo 7); queste icone in futuro dovranno essere uniformate in tutta l’Ue attraverso l’intervento dalla Commissione europea.
In base al Regolamento, si deve porre particolare attenzione alla formulazione dell’informativa, che deve essere soprattutto comprensibile e trasparente per l’interessato, attraverso l’uso di un linguaggio chiaro e semplice. Per quanto riguarda i minori devono essere predisposte idonee informative (Considerando 58)5.
La prospettiva da cui parte la nuova disciplina europea in materia di protezione dei dati personali è quella del “nuovo mondo digitale”, le cui insidie sono rinvenibili non solo nel trattamento dei dati ma anche negli effetti da esso derivanti. In tal senso, si è spesso fatto ricorso proprio ai principi di trasparenza e lealtà del trattamento per chiedere che le informative fornite agli utenti consentissero di comprendere in modo adeguato non solo le modalità di trattamento, ma anche gli effetti ulteriori che, a seguito di questo, potevano verificarsi rispetto agli interessati e agli utenti6.
_
Note
1 C. Colapietro, Il diritto alla protezione dei dati personali in un sistema delle fonti multilivello: il regolamento UE 2016/679 parametro di legittimità della complessiva normativa italiana sulla privacy, in L. Califano, C. Colapietro (a cura di), Innovazione tecnologica e valore della persona: il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Napoli, 2018; G. Comandè, G. Malgieri (a cura di), Manuale per il trattamento dei dati personali: le opportunità e le sfide del nuovo Regolamento europeo sulla Privacy, Milano, 2018; V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019; E. Tosi (a cura di), Privacy digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, Milano, 2019; G. Finocchiaro (a cura di), Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017.
2 Considerando (75) “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”. Considerando (76) “La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato”. Considerando (77) Gli orientamenti per la messa in atto di opportune misure e per dimostrare la conformità da parte del titolare del trattamento o dal responsabile del trattamento in particolare per quanto riguarda l’individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l’individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti in particolare mediante codici di condotta approvati, certificazioni approvate, linee guida fornite dal comitato o indicazioni fornite da un responsabile della protezione dei dati. Il comitato può inoltre pubblicare linee guida sui trattamenti che si ritiene improbabile possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e indicare quali misure possono essere sufficienti in tali casi per far fronte a tale rischio”.
3 M. Dell’Utri, Il principio di trasparenza, in V. Cuffaro, R. D’Orazio, V. Ricciuto (a cura di), I dati personali nel diritto europeo, cit., p. 199; F. Pizzetti, Trasparenza nel trattamento dati, che cambia col GDPR: l’alba di un nuovo valore sociale, in Agenda Digitale (https://www.agendadigitale.eu/sicurezza/trasparenza-nel-trattamento-dati-che-cambia-col-gdpr-lalba-di-un-nuovo-valore-sociale/), 2018.
4 Considerando (39) “Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che le riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che le riguardano. È opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l’accesso o l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento”.
5 Considerando (58) “Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione. Tali informazioni potrebbero essere fornite in formato elettronico, ad esempio, se destinate al pubblico, attraverso un sito web. Ciò è particolarmente utile in situazioni in cui la molteplicità degli operatori coinvolti e la complessità tecnologica dell’operazione fanno sì che sia difficile per l’interessato comprendere se, da chi e per quali finalità sono raccolti dati personali che lo riguardano, quali la pubblicità online. Dato che i minori meritano una protezione specifica, quando il trattamento dati li riguarda, qualsiasi informazione e comunicazione dovrebbe utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente”.
6 F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, I, Torino, 2016; C. Colapietro, I principi ispiratori del Regolamento UE 2016/679 sulla protezione dei dati personali e la loro incidenza sul contesto normativo nazionale, in Federalismi.it, 2018.