I princìpi cardine del Gdpr mettono la privacy al centro

• Primo Piano
• Giovedì, 26 Dicembre 2024 23:43

I principi cardine all’interno del Gdpr presuppongono un’attenta analisi di ogni trattamento di dati che titolare o responsabile vogliano implementare con un’analisi ex ante, prima che questi vengano implementati.

(Nella foto: Amedeo Leone, auore del libro "La privacy al centro")

Il principio cardine di privacy by design e by default ai sensi dell’articolo 25 del Regolamentare europeo nasce dalla necessità di configurare il trattamento fin dalla progettazione «al fine di soddisfare i requisiti» del Gdpr e tutelare i diritti degli interessati, tenendo conto del contesto complessivo in cui il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio, il che richiede un'analisi preventiva e un impegno applicativo da parte dei titolari che devono tradursi in una serie di attività specifiche e dimostrabili.

Il principio della centralità dell’utente è cruciale nel “disegnare la privacy”, dal momento che obbliga il titolare del trattamento a una tutela effettiva in modo sostanziale, e non soltanto formale; questo significa che non basta che la progettazione del sistema sia conforme alla norma se poi nella pratica l'utente non è tutelato.

Se, quindi, la privacy by design richiede che ci sia una progettazione a monte, la conseguenza diretta di questa attività è rappresentata dalla privacy by default, facendo sì che entrambi i principi portino a soluzioni che mettano al centro l’utente. L’articolo 25 del Gdpr, paragrafo 2, prevede che di default, ovvero di impostazione predefinita, i dati personali dell’utente debbano essere trattati solo per le finalità previste e il periodo necessario, limitando così l’eccessività dei dati raccolti.

Alto principio cardine del Regolamento è l’accountability, che assegna al titolare del trattamento un ruolo cruciale. Questi infatti è tenuto a rendere conto del processo di trattamento dei dati personali, e ne è responsabile. Oltre all'adempimento delle normative sulla privacy, entra in gioco una nuova consapevolezza. Ed è proprio questo spirito a permeare tutti gli articoli del Gdpr.

Con il principio dell’accountability il titolare è il garante per il rispetto dei principi e allo stesso tempo deve essere in grado di comprovarlo. In questo senso è proprio il testo normativo che lo cita all’art. 5 paragrafo 2: «Il titolare del trattamento è competente […] per il rispetto dei principi e deve essere in grado di comprovarlo».

Il Regolamento, pertanto, pone con forza l'accento sull’accountability dei titolari e responsabili che potrebbe riassumersi, come «l’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento» (artt. 23-25, in particolare, e l'intero capo IV del Regolamento). In questo modo si può dire che viene affidato ai titolari il compito precipuo di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

In termini pratici, è possibile individuare alcune azioni che aiutano a costruire un percorso conforme al principio di accountability, quali ad esempio la mappatura dei trattamenti dei dati personali, nonché delle misure tecniche e organizzative da adottare, la definizione di un organigramma privacy aziendale, la cura degli aspetti di informazione e comunicazione.

Ogni buon consulente, al di là del mero adempimento documentale, deve essere in primis consapevole del principio dell’accountability e della sua importanza, perché è proprio grazie a tale consapevolezza che è possibile trasferire l’importanza di questi concetti al cliente, rendendolo soggetto attivo nella costruzione del castello privacy.

Un’attività strategica volta a corroborare il principio di accountability è l’analisi del rischio, inerente al lato privacy o protezione del dato, che va inteso come uno strumento da attuare su permanente, ma contestualizzandolo e aggiornandolo di volta in volta rispetto a situazioni sempre più dinamiche e in continua evoluzione. In questo modo viene anche assicurata anche la trasparenza delle organizzazioni che, seguendo questo approccio, possono valutare proattivamente i rischi derivanti dall'introduzione di prodotti e servizi, oltre che protocolli durante le fasi di ricerca, implementazione, sviluppo e modifica dei protocolli stessi.

L’approccio basato sul rischio (risk-based approach) trova spazio in diverse normative sul digitale, a partire dalla stessa Unione europea, e non solo riguardo al Gdpr. Va, infatti, ricordato come tale approccio sia evidente anche nel Digital Service Act (DSA) e nell’Artificial Intelligence Act.

L’attività di analisi del rischio è strettamente legata ai concetti di privacy by design e privacy by default, considerato che essa deve essere effettuata prima dell’inizio del trattamento. Inoltre, sempre in linea con il principio dell’accountability, oltre all’analisi dell’esposizione al rischio dei dati personali trattati (risk assessment), è altresì necessario prevedere un monitoraggio continuo volto a verificare, tra le altre cose, l’effettivo stato di implementazione delle misure di sicurezza e la loro efficacia.

È quindi necessario adottare un approccio flessibile alla protezione dei dati, per adattarsi all’evoluzione dei sistemi aziendali e ai costumi sociali dei tempi. Questo importante concetto costituisce l’essenza del Gdpr, ed è fondamentale per un approccio ragionato di valutazione del rischio fin dalle prime analisi consulenziali.