Il principale destinatario del GDPR, a volte sembriamo dimenticarlo, è il TITOLARE del Trattamento dati, ed è questa la figura che deve determinare finalità e mezzi del Trattamento stesso. Grava quindi su di lui la responsabilità delle scelte operative, sulla base del principio di ACCOUNTABILITY, che è fondamento del GDPR. Per quanto possa quindi avvalersi di validi tecnici, collaboratori e personale di supporto, oltre a nominare un DPO competente, è il Titolare il soggetto a cui spettano le scelte definitive. E non perdiamo mai di vista che la responsabilità delle scelte non si esaurisce nel momento iniziale, quello dell’adeguamento alla nuova disciplina europea, ma permane come costante per tutto il successivo svolgimento dell’attività imprenditoriale: il Titolare dovrà anzi rendere conto della bontà delle proprie scelte. In altre parole, oltre a svolgere l’attività preventiva di analisi e la valutazione di ogni possibile rischio, il Titolare dovrà predisporre la documentazione a giustificazione delle proprie scelte in caso di ispezioni, data breach, segnalazioni.

Tutto ciò a fronte della obiettiva circostanza che il GDPR nulla dice in merito alle modalità di esecuzione di detta attività e non fornisce linee operative, salvo richiamare, forse come parametri della ACCOUNTABILITY, i principi di Privacy by Design e Privacy by default, che terminologicamente sono omnicomprensivi e dicono molto, ma nella pratica lasciano spazio a troppe ambiguità e possibilità di interpretazione. In una materia ancora in itinere, ed in contesti tecnici che, ben lo sappiamo, sono mutabili a livello praticamente quotidiano, non è semplice per un imprenditore svolgere al meglio l’attività di previsione che, di fatto, viene imposta all’imprenditore per poi determinare le sue scelte per la protezione e il trattamento dati; e, ricordiamolo, i sensi dell’art. 5, 2) GDPR deve essere in grado di COMPROVARLO.

• Quali possono essere, in tal senso, gli strumenti a disposizione del Titolare?

Il Regolamento parla di “Codici di Condotta” che devono essere messi a disposizione da parte dei legislatori nazionali e ancora da quello europeo; in Italia il D. Lgs. 101/2018 ha adeguato il Codice Privacy (196/2003), e le decisioni del Garante hanno contribuito. Tuttavia mancano ancora strumenti, indicazioni o parametri che permettano di creare un sistema obiettivo di valutazione del rischio o anche solo fornire un elenco degli elementi da prendere in considerazione: anche i codici deontologici, per quanto utili, non possono certo da soli esaurire le problematiche.

Sicuramente l’analisi non può che partire da una attenta valutazione della tipologia dei dati trattati o con i quali un’azienda venga nella disponibilità: è chiaro come un’associazione culturale che dispone solo dei nominativi ed indirizzi dei propri soci possa tenere un livello di protezione più basso rispetto, ad esempio, ad una clinica o a chi disponga anche dei codici IBAN di un cliente. Ma se andiamo a ben vedere, si tratta di considerazioni di carattere generale e di buona diligenza: parametri utili ma non risolutivi.

Per quanto riguarda invece gli aspetti tecnici, pare impossibile prescindere dalle varie regolamentazioni ISO, che offrono parametri sufficientemente standardizzati e che potranno essere considerati in caso di successive valutazioni da parte del Garante.  

In sintesi è comunque possibile indicare alcuni step obbligatori da seguire nel percorso, affinchè questo possa portare alla scelta del miglior sistema, su base soggettiva, per proteggere i dati: non possiamo infatti prescindere da una preventiva analisi di valutazione della quantità e qualità dei dati e dei conseguenti rischi valutando le possibili tipologie di attacco specifico che può subire il Titolare, oltre a quelle generali cui è esposto chiunque. E se le seconde sono connesse ad attacchi e rischi che discendono dal semplice detenere dati (spamming, phishing, hacker, malware e trojan), le prime sono variabili sulla base proprio della tipologia dei dati. Un sito di acquisti, sul quale transitano carte di credito, ha maggiori possibilità di subire attacchi che non il sito di un club di calcio locale. Da qui le valutazioni di natura tecnica e giuridica che porteranno alla creazione di un sistema, appunto, by Design e By Default, che permetta il miglior adeguamento possibile al GDPR e, laddove possibile, creare anche un piano di gestione del rischio e già definire eventuali strategie in caso di data breach.