Il ruolo privacy dei produttori di applicazioni, servizi e prodotti basati sul trattamento di dati personali
Nessuna responsabilità in relazione al trattamento dei dati personali è attribuita dalla normativa eurounitaria sulla privacy (GDPR) ai produttori degli strumenti utilizzati da titolari e responsabili per eseguire i trattamenti.
(Nella foto: Giuseppe Alverone, Data Protection Officer dell’Arma dei Carabinieri)
Questa circostanza dovrebbe essere tenuta ben presente da Imprese e Pubbliche Amministrazioni quando si rivolgono al mercato per i necessari approvvigionamenti, anche cogliendo alcune raccomandazioni poste dai Garanti Europei (EDPB) i quali hanno così disegnato un ruolo privacy “attivo” dei produttori, che non possono e non debbono “chiamarsi fuori” dalla partita che ha come “goal” la tutela dei diritti e delle libertà fondamentali delle persone fisiche.
La responsabilità generale del titolare del trattamento - Ogni Impresa o Pubblica Amministrazione chiamata a processare dati personali per realizzare i propri obiettivi di business o istituzionali, se determina le finalità e i mezzi dei trattamenti, assume il ruolo privacy di “titolare del trattamento”.
La normativa eurounitaria sulla privacy (GDPR) attribuisce a tale ruolo la responsabilità generale per tutti i trattamenti di dati personali, sia per quelli eseguiti direttamente - tramite il personale dipendente “Autorizzato al trattamento” - sia per quelli eseguiti tramite le entità esterne all’organizzazione che assumono la veste di “Responsabili del trattamento”.
Da un’attenta lettura della versione in lingua inglese del Considerando 74 del GDPR è agevole indurre che la citata responsabilità del titolare non è solo “generale” ma anche “multidimensionale”, potendo essere declinata in:
- responsabilità operativa (c.d. responsibility);
- responsabilità giuridica (c.d. liability);
- responsabilità intesa come “chiamata a rendere conto delle proprie azioni” (c.d. accountability).
Questa gamma di responsabilità, diversamente da quanto avviene nell’ecosistema della “tutela della salute e della sicurezza nei luoghi di lavoro”, non può essere distribuita tra le entità interne all’Organizzazione, ma rimane sempre e comunque in capo al titolare del trattamento che deve quindi gestirla attraverso:
- l’attuazione di misure che soddisfino in particolare il principio di “privacy by design e by default”;
- lo svolgimento di una valutazione d'impatto sulla protezione dei dati (la c.d. DPIA) qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
L’assenza di responsabilità dei produttori di strumenti utilizzati per il trattamento di dati personali - In questo particolare scenario, nessuna responsabilità in relazione al trattamento dei dati è invece attribuita dalla normativa ai produttori di applicazioni, servizi e prodotti basati sul trattamento di dati personali.
Invero, la normativa pone soltanto una sorta di “moral suasion”, laddove il Considerando 78 del GDPR evidenzia che detti produttori:
- in fase di sviluppo, progettazione e selezione, dovrebbero essere incoraggiati a tenere conto della normativa sulla Privacy allorché sviluppano e progettano le loro applicazioni, i loro servizi ed i loro prodotti;
- dovrebbero tenere in debito conto lo stato dell'arte, e far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati.
La posizione dei Garanti Europei (EDPB) - I Garanti Europei (EDPB), facendo leva sulle predette “considerazioni” del Legislatore Eurounitario, hanno disegnato un ruolo privacy dei produttori/fornitori all’interno di questa “franchigia di responsabilità”.
Così, le Linee Guida WP 248 rev.01 chiariscono che è possibile eseguire una DPIA anche su un prodotto tecnologico (e.g. un prodotto hardware e software) a cura dei produttori.
Certo, in linea con la citata responsabilità generale, resta ovviamente, impregiudicato l’obbligo del titolare di eseguire la propria valutazione di impatto, ma questa sarà comunque agevolata dalla possibilità di utilizzare le informazioni contenute nella DPIA del fornitore del prodotto.
Ancora, gli stessi Garanti Europei, al punto 96 delle Linee guida EDPB 4/2019 stabiliscono che i produttori dovrebbero sforzarsi di dimostrare che la “Privacy by Design e by Default” è parte integrante del ciclo di vita dello sviluppo della loro soluzione per il trattamento, magari anche ricorrendo ad una certificazione che può orientare gli interessati nella loro scelta tra i diversi prodotti e servizi. Peraltro, avere la possibilità di far certificare un trattamento può costituire un vantaggio competitivo per i produttori e può persino accrescere la fiducia degli interessati.
In assenza di certificazione, i titolari del trattamento dovrebbero cercare di avere altre garanzie in merito alla conformità ai requisiti della “Privacy by Design e by Default” da parte dei produttori.
E.g., i produttori dovrebbero svolgere un ruolo attivo nel garantire che siano soddisfatti i criteri relativi allo «stato dell’arte» e notificare ai titolari del trattamento qualunque modifica a tale «stato dell’arte» che possa compromettere l’efficacia delle misure adottate. Invero, i titolari dovrebbero inserire questo requisito fra le clausole contrattuali per assicurarsi un tempestivo aggiornamento.
L’EDPB raccomanda anche ai titolari del trattamento di richiedere che i produttori dimostrino in che modo i loro hardware, software, servizi o sistemi permettano al titolare di adempiere all’obbligo di rispettare il principio di “Privacy by Design” e.g. utilizzando indicatori chiave di prestazione (KPI) per dimostrare l’efficacia delle misure e delle garanzie nell’attuazione dei principi e dei diritti.
I Garanti Europei hanno così disegnato un ruolo privacy “attivo” dei produttori, i quali non possono e non debbono “chiamarsi fuori” dalla partita che ha come “goal” la tutela dei diritti e delle libertà fondamentali delle persone fisiche.
Lo stigma di questo particolare ruolo è costituito dall’invito che l’EDPB pone ai titolari del trattamento, nelle citate Linee Guida, a non scegliere produttori che non offrono sistemi in grado di consentire o facilitare l’adempimento degli obblighi previsti dall’articolo 25 GDPR in capo ai titolari stessi, poiché saranno sempre e solo questi ultimi a rispondere dell’eventuale mancata attuazione.