Previous Page  16 / 53 Next Page
Information
Show Menu
Previous Page 16 / 53 Next Page
Page Background

SPECIALE GDPR

46

dicembre 2017

la quale è individuato, per iscritto, l’ambito del tratta-

mento consentito agli addetti all’unità medesima, per

esempio al personale dell’ufficio del personale, nel qual

caso non è necessaria una nomina individuale; con non

trascurabili semplificazioni nelle strutture organizzative

di grandi dimensioni.

Principio di accountability, privacy by design

e privacy by default

Il GDPR è imperniato sul principio di responsabilizzazione

(accountability) dei titolari e dei responsabili (artt.24-

25 e capo IV) prescrivendo l’adozione di approcci e

politiche che tengano conto costantemente del rischio

che un determinato trattamento di dati personali può

comportare per i diritti e le libertà degli interessati. Il

Regolamento fa propri anche gli esiti del parere del WP

3/2010 sul principio di responsabilità (n.173).

Di fatto, la nuova normativa opera nella prospettiva di

accentuare e specificare la responsabilità del titolare

e del responsabile, da un lato; di definire i rischi e gli

obblighi che essi devono sempre avere presenti, anche

al fine di una verifica costante della adeguatezza delle

modalità di trattamento adottate e delle misure di si-

curezza implementate.

Nell’ottica della accountability, il Regolamento è costan-

temente focalizzato sulla necessità, per il titolare, di adot-

tare e implementare misure di sicurezza appropriate ed

effettive, e sulla capacità di dimostrare, in ogni momento,

la conformità dei propri trattamenti al Regolamento (v.

considerando 74-77).

Elementi rilevanti per una tipizzazione delle “misure

tecniche ed organizzative adeguate” di cui sopra sono:

- la loro natura preventiva e non rimediale;

- le soluzioni tecnologiche ritenute necessarie vanno in-

corporate nella struttura dei sistemi come loro parti

integranti e non aggiunte all’occorrenza.

Le soluzioni accolte già in fase di progettazione e pro-

grammazione si applicano poi durante l’intero tratta-

mento dei dati personali. L’ambiente tecnico e organiz-

zativo così progettato e realizzato dal titolare richiede

la supervisione affidata a soggetti indipendenti: in que-

sto senso, la nomina del Data Protection Officer è una

misura di accountability, poichè risponde all’esigenza di

combinare l’adozione di misure adeguate con la vigilanza

sulla loro adozione.

Privacy by design

Tra le misure di sicurezza che il titolare deve adottare c’è

la ‘privacy by design’, che attua la protezione dei dati fin

dalla fase di ideazione e progettazione di un trattamento

o di un sistema, prevedendo le garanzie indispensabili

per soddisfare i requisiti del Regolamento e tutelare i

diritti degli interessati (art.25).

L’adozione di misure di privacy by design è preceduta da

un’analisi preventiva (valutazione d’impatto, nei casi di

trattamenti che presentino rischi specifici per la prote-

zione dei dati, ai sensi dell’art.35). All’esito della valuta-

zione di cui sopra, il titolare potrà decidere in autonomia

se iniziare il trattamento oppure consultare l’Autorità di

protezione dei dati, per ottenere indicazioni su come

gestire il rischio residuale.

In ogni caso, l’Autorità non ha il compito di ‘autorizzare’

il trattamento, ma di indicare le misure ulteriori che il

titolare deve eventualmente adottare (art.58).

Si spiega, allora, anche il venir meno della notificazione

preventiva regolata dall’art.37, Codice Privacy, che non

sarà più valida a partire dal 25/5/2018 (v. il consideran-

do 89 reg. UE).

Privacy by default

La privacy by default (art.25 par.2) riguarda, invece, il

modo tecnico e organizzativo con cui si opera ai fini dell’u-

tilizzazione, conservazione e protezione dei dati trattati.

Nella privacy by default la preoccupazione del legisla-

tore è quella di limitare il trattamento ai dati necessari

al perseguimento delle finalità del titolare e di assicura-

re la protezione dei dati dal rischio di utilizzazione da

parte di un numero indefinito di soggetti e per finalità

diverse da quelle per le quali sono stati raccolti, tanto

più se perseguite in modo automatizzato e senza l’indi-

viduazione di una chiara responsabilità riconducibile a

un titolare individuato.

© iStock - IvelinRadkov

segue da pagina 43

1 11 12 13 14 15 16 17 18 19 20 21 22 53  FlippingBook