L’applicazione del GDPR allo stato dell’arte: c’è ancora molto da fare!
In un anno e mezzo di applicazione del GDPR, i giuristi hanno costantemente dovuto rispondere a una domanda: “cosa si deve fare per essere in regola col GDPR?”. Il Garante ha intercettato questa problematica e lo scorso ottobre ha dichiarato che sta sviluppando un software per l’autovalutazione del grado di adempienza al GDPR da parte dei titolari del trattamento (coloro che trattano i dati personali altrui direttamente o per interposta persona, definendo in autonomia la finalità del medesimo: marketing, profilazione, studi scientifici, elaborazioni statistiche etc.).
C’è ancora tanta difficoltà
Perché tanta difficoltà di comprensione del GDPR da parte di chi tratta dati personali?
La risposta, premettendola al ragionamento che seguirà, è: perché il GDPR è impostato del tutto diversamente rispetto al Codice della Privacy; quest’ultimo dava precetti precisi, che indicavano cosa si doveva fare; il GDPR, ora, pone quasi esclusivamente principi generali, senza dire cosa fare per osservarli: ciò, in forza di un ulteriore principio generale “primario”, il principio di accountability che ispira gli altri, posti a presidio del trattamento dei dati personali. “Accountability”, significa “affidabilità”, “responsabilità” e nell’ambito del GDPR, tale concetto è espresso all’articolo 5, comma 2°, ove si prevede che “Il titolare del trattamento” deve rispettare i principi elencati appena prima (comma 1°) dalla medesima norma, in quanto essi costituiscono i cardini e i requisiti del trattamento lecito dei dati personali, alla luce del GDPR. Nel fare ciò, per giunta, il titolare del trattamento deve sempre essere in grado di “comprovare” il suo diuturno sforzo e impegno verso la “compliance” al GDPR: tale atteggiamento, nel suo complesso, viene definito “responsabilizzazione”; vale a dire: “accountability”.
Un’impostazione che non aiuta il titolare del trattamento
Tale principio generale è recepito in altri passaggi del Regolamento della protezione dei dati (articoli 24 e 25). I precetti espressi da quelle norme ne sottolineano aspetti importanti. Ci dicono, per esempio, che sulla base della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, e in considerazione dei rischi per i diritti e le libertà delle persone fisiche (caratterizzati da gravità e probabilità differenti in funzione del trattamento), il titolare del trattamento deve porre in essere misure tecniche e organizzative “adeguate”, così da “dimostrare” che il medesimo trattamento sia “compliant”; con la precisazione che tutto questo deve essere riesaminato e aggiornato “qualora necessario”.
Si impone pertanto al titolare del trattamento: una prima valutazione in ordine al contesto nel quale il trattamento avverrà; una seconda valutazione circa i rischi insiti nel trattamento dei dati, con particolare riferimento al grado di probabilità dei medesimi e alla loro gravità; una terza valutazione in ordine alla adeguatezza di misure tecniche e organizzative, che il titolare del trattamento deve predisporre per dimostrare che i dati vengono trattati conformemente agli altri principi generali posti dal Regolamento (sui quali si rifletterà tra poco).
Si precisa inoltre che tutte queste valutazioni generali sono rivedibili in corso di tempo, laddove “necessario” (e il perimetro di tale necessarietà è, di nuovo, lasciato alle valutazioni del titolare del trattamento).
Il titolare del trattamento, nel predisporre (sulla base delle valutazioni appena richiamate) il complesso di procedure, strumenti organizzativi e misure tecniche che il GDPR gli impone di adottare senza dirgli cosa e come fare; ciò deve fare mediante una progettazione e una impostazione mentale che considerino il trattamento dei dati e le sue implicazioni “a priori” rispetto a ogni singolo concreto caso (art. 25). I principi generali che permeano tutto il GDPR impongono dunque al titolare del trattamento complesse valutazioni giuridiche e tecniche, senza guidarlo e abbandonandolo a se stesso, attribuendogli una discrezionalità apparentemente amplissima; gli impongono di adottare procedure organizzative e strumenti tecnici coerenti con i “principi di protezione dei dati”, quindi con altri concetti generali e astratti non con linee guida/istruzioni precise e definite; lo obbligano a progettare la propria attività “a priori”, prima di iniziare una qualsiasi categoria di trattamenti (per esempio: marketing mediante invio seriale di email commerciali). Vediamo allora, quali sono i principi generali “di protezione dei dati”, che secondo il GDPR, ove concretamente implementati nel trattamento, rendono “compliant” lo stesso, e “accountable” il titolare del trattamento che li pratica.
Il comma 1° dell’art. 5 a tale riguardo prevede che i dati personali siano: trattati lecitamente (il trattamento deve avere una copertura giuridica), correttamente (secondo correttezza e buona fede appunto) e in modo trasparente nei confronti dell’interessato” (principi di liceità, correttezza e trasparenza); raccolti per finalità chiaramente individuate, indicate esplicitamente, legittime, e poi trattati in modo compatibile con tali finalità (principio di limitazione della finalità del trattamento); selezionati in modo che per qualità e numero siano solo quelli necessari, coerenti e pertinenti con/alla finalità del trattamento (principio di minimizzazione dei dati); esatti e sempre aggiornati rispetto a ogni loro variazione successiva alla loro acquisizione (principio di esattezza dei dati); immagazzinati in formati e con modalità tali da consentire la loro conservazione “per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”, per poi essere immediatamente e completamente cancellati (principio di limitazione della conservazione dei dati); protetti mediante adeguate misure tecniche da trattamenti non autorizzati/illegittimi, dalla loro cancellazione accidentale o malevola e/o dal loro accidentale o malevolo danneggiamento (tutti fenomeni oggi raggruppati sotto l’espressione “data breach”; principio di integrità e riservatezza dei dati).
“Cosa fare per essere in regola con il GDPR” non è la domanda corretta da porsi
All’evidenza, si tratta di principi criptici per un titolare del trattamento profano di tutela della privacy, e spesso costituiti da clausole generali, che dal punto di vista esecutivo si risolvono in veri e propri inviti ad arrangiarsi: i dati non devono essere trattati incompatibilmente con le finalità del trattamento (cosa si debba fare per evitare tale incompatibilità è un mistero); è difficile comprendere cosa significhi l’adeguatezza, la pertinenza e la limitazione dei dati “a quanto necessario rispetto alle finalità per le quali sono trattati”; è spiazzante il dover comprendere la portata dell’obbligo di aggiornamento dei dati, ove agganciato alla espressione “se necessario”; è difficile essere certi della “adeguata sicurezza dei dati personali” oggetto di trattamento, piuttosto che della “adeguatezza” delle “misure tecniche e organizzative” da implementare per la protezione dei dati. Ed è questo un primo dato rilevante: poiché sono venute meno prescrizioni precise, sostituite da principi generali assai vaghi, la domanda “cosa si deve fare per essere in regola col GDPR?” non era e non è corretta. La domanda corretta dal 25 maggio 2018 in avanti avrebbe dovuto, dovrebbe e dovrà essere: “come ci si deve porre rispetto al trattamento dei dati personali delle persone fisiche per adempiere ai principi generali posti dal GDPR?”.
In altre parole, si dovrebbe cambiare l’approccio alla normativa, come conseguenza ineludibile della sua nuova e diversa impostazione, adottando una filosofia progettuale ove il trattamento dei dati personali diviene un complesso di procedure, strumenti organizzativi, misure di sicurezza tecnologiche assemblati ad hoc dal titolare del trattamento sulla base delle esigenze specifiche del contesto e dei principi sopra sinteticamente esaminati.
Cercare nel GDPR indicazioni precise su cosa si debba fare per essere adempienti, a fronte del principio di “accountability”, è ormai impensabile; e significa andare incontro a risposte inappaganti e a sanzioni dolorose, potenzialmente fatali per l’attività del titolare del trattamento.