Le limitazioni del nuovo Regolamento sulla Privacy

La sezione quinta del nuovo Regolamento è dedicata alle limitazioni che possono essere introdotte dagli Stati Membri per ridurre la portata delle norme. Un paragrafo importante, che sottolinea le differenze tra le Giurisdizioni dei diversi Paesi e che non mancherà di creare disagi interpretativi.


Gianluca Pomante
Avvocato
Esperto in tema di Privacy e IT

Proseguendo nell'analisi del nuovo Regolamento Europeo sulla riservatezza dei dati personali, si incontra la sezione quinta, dedicata alle limitazioni che possono essere introdotte dagli Stati Membri per ridurre la portata delle norme di prossima introduzione.
Si tratta, evidentemente, di un paragrafo importante nell'ottica dell'armonizzazione, poiché è attraverso dette limitazioni che la norma potrebbe essere stravolta e vanificata rispetto alle varie versioni e interpretazioni finora adottate.
L'art. 21 ribadisce sostanzialmente quanto già presente nel D.Lgs. 196/2003 e stabilisce che ogni misura legislativa debba essere necessaria e proporzionata agli obiettivi da perseguire, che vengono distinti tra pubblici e privati.
Sono motivi di giustificata riduzione delle garanzie del cittadino la salvaguardia della pubblica sicurezza, le attività d'indagine, accertamento e repressione dei reati, la tutela di altri interessi pubblici dell'Unione o di uno Stato Membro.
Tra le ragioni di ordine privatistico vengono menzionate le attività volte a prevenire e punire le violazioni della deontologia professionale, le funzioni di controllo e regolamentazione di pubblici poteri, la tutela dell'interessato o di altri soggetti coinvolti.

Chi è e che cosa spetta
al responsabile del trattamento

Il successivo Capo IV tratta delle figure dell'incaricato e del responsabile del trattamento, quest'ultimo, come già detto in precedenza, non nell'accezione finora prevista dalla disciplina italiana (soggetto delegato dal titolare del trattamento a svolgere determinate mansioni con piena autonomia decisionale, ferme restando le disposizioni generali impartite per iscritti) ma come equivalente del titolare del trattamento.
È considerato ora “responsabile del trattamento” il soggetto che “singolarmente o insieme ad altri determina le finalità, le condizioni e i mezzi del trattamento di dati personali”, mentre è indicato come “incaricato del trattamento” il soggetto che “elabora dati personali per conto del responsabile del trattamento”.
Viene, quindi, a mancare la figura interposta dal diritto italiano tra il titolare del trattamento e l'incaricato, che distingueva un delegato con facoltà decisionali rispetto a un mero esecutore
 ale modifica creerà non pochi problemi nella concreta applicazione, sul territorio italiano, della nuova disciplina, poiché sono ormai stratificati, nella memoria e nelle abitudini di professionisti e imprenditori, determinate figure che sarà difficile rielaborare sotto diversa denominazione.
I compiti del nuovo responsabile del trattamento vengono ampiamente delineati dall'art. 22, che anticipa, innanzitutto, la necessità di adottare politiche e misure di sicurezza e di documentarle, al fine di dimostrare di aver operato correttamente.

Impostazione anglosassone
Il regolamento comunitario risente dell'evidente impostazione anglosassone, basata, principalmente, sull'interpretazione giurisprudenziale di pochi principi posti alla base del provvedimento.
La definizione secondo la quale è necessario documentare di aver operato correttamente se, dal punto di vista teorico, potrebbe sembrare una semplificazione, dal punto di vista pratico costituirà un problema da affrontare in sede giudiziaria per stabilire che cosa sarà ritenuto idoneo a tal fine e che cosa, invece, sarà considerato insufficiente o inesistente.
L'obbligo di provvedere all'adozione di misure di sicurezza “adeguate” mal si concilia con una giurisdizione come quella italiana, in cui si è abituati a norme tecniche, che individuano puntualmente le misure di sicurezza da rispettare.
Il concetto di “adeguate” è sicuramente più adatto al settore tecnologico (quello più interessato dai rischi connessi al trattamento) che non una norma tecnica - che soffrirebbe inevitabilmente di una rapidissima obsolescenza - ma, al tempo stesso, risente di una impostazione non matematica che non mancherà di creare disagi interpretativi.
A solo titolo d'esempio è sufficiente rilevare che, in un giudizio oltremodo lento come quello italiano, il concetto di “adeguatezza” utilizzabile nel momento in cui si è manifestato l'illecito sarà certamente diverso da quello del tempo in cui il Giudice, chiamato a decidere della controversia, dovrà redigere la sentenza, con ogni prevedibile conseguenza in ordine alla corretta interpretazione della norma.
Se, da un lato, le misure di garanzia previste dall'art. 22 sembrano poter documentare l'attività del responsabile e dei suoi collaboratori e consentire loro di produrre, in giudizio, materiale a discarico di eventuali responsabilità, al tempo stesso quella documentazione potrà non essere ritenuta sufficiente dal Giudice chiamato a pronunciarsi, stante l'assenza di precisi parametri di riferimento.

Privacy by default e
privacy by design

Di tale problema, del resto, si preoccupa anche il legislatore comunitario, nel momento in cui delega la Commissione all'adozione di atti esecutivi finalizzati a delineare le misure di sicurezza da adottarsi a cura dei responsabili del trattamento.
Entrando nel dettaglio della progettazione e realizzazione del sistema di sicurezza, l'art. 23 specifica che il responsabile del trattamento deve eseguire una valutazione della natura e tipologia di dati da trattare, rispetto alle diverse finalità perseguite.
Tenendo conto anche dei costi e dell'evoluzione tecnologica, dovrà porre in essere le misure e procedure tecniche e organizzative idonee a garantire che “...il trattamento sia conforme al regolamento e assicuri la tutela dei diritti dell'interessato”.
I dati raccolti - e oggetto di trattamento - dovranno essere esclusivamente quelli necessari al raggiungimento degli obiettivi programmati e, anche in relazione all'accesso a tali dati, dovranno essere autorizzati solo i soggetti che hanno un effettiva necessità di consultarli per il raggiungimento degli obiettivi programmati.
Anche la durata della conservazione dei dati dovrà essere calcolata sulla base dell'effettiva necessità di effettuare e continuare il trattamento.
Dall'esame degli articoli sulle misure di sicurezza appare evidente l'intento degli estensori del regolamento di orientare il cittadino - e, in particolare, i responsabili del trattamento - ad accettare il più elaborato e articolato concetto di privacy by design, rispetto a quello finora comunemente utilizzato di privacy by default.
Non un progetto di messa in sicurezza uguale per tutti, com'è avvenuto finora con le check list realizzate dal Garante Privacy e successivamente utilizzate per realizzare i modelli da applicare al trattamento dei dati (che spesso costringeva le aziende a modificare gli ordinari flussi di lavoro per adeguarsi alle regole imposte dalle norme vigenti), ma un progetto realizzato su misura per ogni realtà aziendale, capace di adattarsi alla gestione di dati già esistente e di trarre il massimo dalle misure di sicurezza realizzabili in concreto, senza costrizioni particolari.
L'art. 24 introduce la figura del “corresponsabile del trattamento”, al quale, attraverso accordi interni, possono essere delegate singole mansioni e responsabilità connesse al trattamento dei dati.
Il regolamento cita, in particolare, le procedure e i meccanismi per l'esercizio dei diritti dell'interessato, ma al solo fine di porre in evidenza l'attenzione che deve essere posta alle legittime richieste di accesso e modifica del trattamento.
La figura del “corresponsabile del trattamento” sostituisce quella che il D.Lgs. 196/2003 individuava come “responsabile del trattamento” e persona di fiducia del “titolare”, al quale potevano essere delegate funzioni importanti del trattamento dei dati, con autonomia decisionale.
Con l'art. 26, invece, il regolamento individua gli “incaricati del trattamento” per evidenziarne i compiti e, soprattutto, la mancanza di qualsiasi autonomia nella gestione dei dati.
Il concetto viene rafforzato dalla impossibilità di nominare altri incaricati del trattamento senza autorizzazione del responsabile.

Documentazione da conservare
Il successivo articolo 28 elenca la documentazione che il responsabile del trattamento deve conservare per garantire la liceità della propria attività, specificando le informazioni che devono essere presenti e messe a disposizione dell'Autorità preposta al controllo.
La predisposizione di tale documentazione richiede l'individuazione delle figure del responsabile degli eventuali corresponsabili del trattamento, con l'indicazione specifica, per questi ultimi, delle mansioni e dei compiti loro assegnati.
Attraverso l'individuazione delle finalità del trattamento, il regolamento induce il responsabile a individuare il campo d'azione della propria attività, delle regole adottate (inclusi i termini di conservazione temporale) e dei soggetti ai quali i dati saranno comunicati.
Non sono soggetti all'obbligo di detenere la suddetta documentazione le persone fisiche che non facciano un utilizzo commerciale dei dati e le aziende e organizzazioni con meno di 250 dipendenti che trattino dati personali solo per finalità accessorie alle attività principali.
Il responsabile del trattamento che risiede in paese extra UE ha l'obbligo di individuare un responsabile del trattamento nel territorio dell'Unione, salvo che la Commissione non abbia stabilito che il paese terzo garantisce un livello di tutela adeguato, che l'impresa del responsabile abbia meno di 250 dipendenti, che il trattamento sia operato da autorità pubbliche o da organismi pubblici, che il trattamento di dati di cittadini dell'Unione sia solo occasionale.
Nella comunicazione con l'Autorità di controllo, l'onere di fornire informazioni e cooperare è posto a carico del responsabile, dei corresponsabili e di ogni incaricato e ciascuno di essi ha l'obbligo di rispondere, per quanto di sua competenza o comunque qualora non lo facciano gli altri, entro un termine ragionevole fissato dall'Autorità stessa.
La risposta a eventuali osservazioni formulate dall'Autorità dovrà, comunque, contenere una descrizione delle misure di sicurezza adottate e dei risultati raggiunti a seguito di tale adeguamento.

Pubblica i tuoi commenti