In Capire la protezione dei dati: il regolamento UE in poche parole, la piena responsabilità dei titolari del trattamento è stata dichiarata come la prima delle diverse misure adottate dal GDPR per limitare il potere ottenuto dal titolare del trattamento attraverso il trattamento e bilanciarlo con il potere degli interessati. Vedi I titolari del trattamento sono pienamente responsabili per maggiori dettagli.
Il GDPR definisce il principio come segue:
Definizione nell’art. 5(2) GDPR:
Il titolare del trattamentoè responsabile ed è in grado di dimostrare il rispetto del paragrafo 1 (“responsabilità”). |
Il paragrafo 1 qui si riferisce ai principi che sono stati discussi nelle sei sezioni precedenti, vale a dire
- Legalità, equità e trasparenza;
- Limitazione dello scopo;
- Minimizzazione dei dati;
- Precisione;
- Limitazione della conservazione; e
- Integrità e riservatezza.
Per riformulare l’art. 5(2), un titolare del trattamentoè pienamente responsabile di due cose:
- Il rispetto di questi sei principi,
- Dimostrare la conformità.
La responsabilità non è quindi un nuovo principio che i titolari del trattamento devono rispettare, ma istruisce i titolari del trattamentosu come i sei principi devono essere applicati.
Si noti che dover essere in grado di dimostrare la conformità è un grande passo avanti rispetto al semplice obbligo di conformità. In particolare, mette “l’onere della prova” sul titolare del trattamento; un titolare del trattamento che non è in grado o non vuole dimostrare la conformità, è in violazione del GDPR.
Cosa significa conformarsi?
Mentre l’art. 5(2) parla solo del rispetto dei sei principi, in realtà questo deve essere esteso a tutto il GDPR. Questo è motivato dal fatto che tutti gli altri articoli sono destinati a fornire dettagli ai principi o a descrivere più in dettaglio come devono essere attuati.
C’è un modo dichiarato in tutto il GDPR su come la conformità deve essere raggiunta; vale a dire, attraverso l’attuazione di misure tecniche o organizzative. Nell’art. 24 che descrive gli obblighi di un titolare del trattamento, il primo paragrafo afferma esplicitamente che questo è il modo in cui i titolari del trattamento si conformano (e dimostrano la conformità) al GDPR; l’Art. 25(1) afferma che la protezione dei dati fin dalla progettazione si riduce all’attuazione di tali misure durante l’intero ciclo di vita dell’attività di trattamento; l’art. 25(2) sottolinea analogamente l’uso di tali misure per la protezione dei dati per impostazione predefinita; l’art. 28(1) afferma che anche i responsabili del trattamento sono tenuti a rispettare le misure organizzative. 28(1) afferma che anche i responsabili del trattamento devono attuare tali misure; l’Art. 32 afferma che anche il rispetto dei requisiti di sicurezza si ottiene attraverso l’attuazione di tali misure; e l’Art. 89(1) afferma che le garanzie necessarie per il “trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici” assicurano che tali misure siano in atto.
Dato che le misure tecniche e organizzative sono così centrali per raggiungere la conformità, la discussione di ognuno dei sei principi di cui sopra è finita con esempi di tali misure.
Il rispetto dei requisiti di protezione dei dati può essere visto come un processo. Seguendo il concetto di protezione dei dati mediante progettazione (cfr. Art. 25(1) GDPR), in ogni fase del ciclo di vita dell’attività di trattamento, vengono valutati i rischi per i diritti e le libertà delle persone fisiche e vengono attuate adeguate misure di mitigazione. Il GDPR usa una definizione molto ampia del termine misure tecniche e organizzative. Include fondamentalmente tutto ciò che un titolare del trattamento fa per conformarsi al GDPR. Pertanto, anche la fase di valutazione di cui sopra può essere considerata una misura in sé.
Cosa significa dimostrare la conformità?
Considerando che la conformità si ottiene attraverso l’attuazione di misure appropriate, non è sorprendente che la dimostrazione di conformità documenti tali misure.
Questo è per esempio evidente dall’Art. 30(1)(g) che obbliga a elencare le misure pertinenti alla sicurezza nei registri di trattamento. È anche centrale nell’Art. 35 sulla valutazione d’impatto sulla protezione dei dati che è probabilmente lo strumento principale previsto dal GDPR per dimostrare la conformità. In particolare, l’Art. 35(7)(d) chiede ai titolari del trattamento di dichiarare le misure che hanno attuato per garantire la protezione dei dati personali e per dimostrare la conformità al GDPR.
Una discussione più dettagliata sulla Documentazione del Trattamentoin generale, e sulle Valutazioni di Impatto sulla Protezione dei Datiin particolare, può essere trovata nei “Principali Strumenti e Azioni”più avanti. Entrambe queste sezioni sottolineano ulteriormente l’importanza delle misure tecniche e organizzative.
Economia di scala per la conformità e la sua dimostrazione
Come argomentato sopra, la conformità si ottiene implementando misure tecniche e organizzative. È evidente dalla discussione di cui sopra che la conformità può richiedere un numero significativo di tali misure. Questo può rendere più difficile valutare l’effettiva protezione offerta da queste misure e se questa protezione è applicata in modo uniforme e coerente.
Per mitigare questa difficoltà, il GDPR offre alcuni tipi di “meccanismi di astrazione” che permettono di considerare un insieme di misure correlate come una singola unità. In particolare, il GDPR prevede due meccanismi di questo tipo nel suo Art. 24 che descrive la “Responsabilità del titolare del trattamento”:
- Politiche di protezione dei dati (cfr. art. 24(2) GDPR), e
- codici di condotta approvati (vedi art. 24(3) e 40).
Una politica di protezione dei dati è un meccanismo per rendere sistematica l’applicazione delle misure. Questo garantisce un insieme uniforme e coerente di misure in situazioni simili. Per esempio, invece di dover valutare quali misure di sicurezza sono appropriate per ciascuno di molti server molto simili, un’unica politica può essere scritta una volta e applicata a tutti i server. Evidentemente, soprattutto in operazioni di elaborazione complesse ed estese, questo porta un’economia di scala potenzialmente molto significativa che può anche estendersi a più attività di elaborazione indipendenti dello stesso titolare del trattamento.
Il meccanismo dei codici di condotta approvati estende questa economia di scala al di là di un singolo titolare del trattamento ad un intero settore di trattamento. Questi codici di condotta sono preparati da associazioni e altri organismi che rappresentano categorie di titolari del trattamento o responsabili del trattamento(vedi art. 40(2) GDPR). Se un codice di condotta non riguarda attività di trattamento in più Stati membri, l’autorità di controllo competente può approvarlo (cfr. art. 40(5) GDPR) e successivamente registrarlo e pubblicarlo (vedi Art. 40(6) GDPR). Se un progetto di codice di condotta si riferisce ad attività di trattamento in più Stati membri, viene utilizzato un processo simile che coinvolge il comitato europeo per la protezione dei dati (cfr. art. 40(7) GDPR). 40(7) GDPR). I codici di condotta forniscono evidentemente anche un’economia di scala alle autorità di controllo che devono monitorare il rispetto del GDPR.
Sia i codici di condotta approvati che la certificazione (secondo l’art. 42 GDPR) possono aiutare i titolari del trattamento nella dimostrazione della conformità (vedi art. 24(3) GDPR). 24(3) GDPR).