di Marzia Marconcini – avvocato, consulente privacy
Description: Per principio di accountability il titolare del trattamento può scegliere le misure di sicurezza ma esse devono essere idonee a fornire adeguata protezione
Accountability: le misure tecniche e organizzative adeguate
Il principio di accountability, tradotto in italiano con il termine “responsabilizzazione”, è definito all’art. 24 GDPR e ripetuto al successivo art. 32 con più specifico riguardo alle misure minime di sicurezza che devono essere predisposte dal titolare del trattamento per garantire l’adeguata protezione dei dati personali oggetto di trattamento.
Seguendo un orientamento tutto europeo, ben distinto dalla tendenza sempre più attuale del legislatore italiano di disciplinare puntualmente e dettagliatamente ogni minimo aspetto di una materia, nell’individuare e definire i profili di responsabilità del titolare del trattamento, all’art. 24 GDPR, che apre la Sezione dedicata alla regolamentazione degli obblighi del titolare del trattamento e del responsabile del trattamento, si legge: “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.
Le uniche mitigazioni previste di detto obbligo sono indicate nella premessa e riguardano la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, i rischi per i diritti e le libertà delle persone fisiche.
Sullo stesso principio di accountability, come accennato, si basa anche, più in particolare, il sistema di misure minime di sicurezza e protezione che, sempre tenendo conto dei criteri di mitigazione ora riportati – e ribaditi al successivo art. 32 – devono garantire un livello di sicurezza adeguato al rischio.
Alcuni esempi di misure tecniche e organizzative adeguate
In questo caso, il legislatore europeo fornisce alcuni esempi tipici di misure tecniche e organizzative adeguate:
- la pseudonimizzazione dei dati personali;
- la cifratura dei dati personali;
- la capacità di assicurare costantemente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- l’adozione di procedure finalizzate a testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative adottate.
Ulteriori accorgimenti per valutare l’adeguatezza delle misure
Il legislatore, ancora all’art. 24, avverte che, nella valutazione del livello di adeguatezza, si dovrà tenere conto dei rischi derivanti dalla distruzione, dalla perdita, dalla modifica, dalla distruzione non autorizzata o dall’accesso non autorizzato o accidentale relativamente ai dati personali oggetto di trattamento.
All’art. 24 GDPR, inoltre, si prevede che le misure tecniche ed organizzative devono essere riesaminate ed aggiornate ogni qual volta si renda necessario, come nel caso in cui il titolare del trattamento vari le proprie politiche di salvataggio dei dati o introduca un nuovo e diverso sistema operativo.
Il titolare del trattamento deve dimostrare l’adeguatezza delle misure adottate
Oltre alle indicazioni e i criteri forniti dal legislatore europeo per indirizzare e guidare il titolare del trattamento nella scelta delle misure di sicurezza che intende adottare per proteggere e conservare i dati personali oggetto di trattamento, vi è il primo e più importante ammonimento, che si legge in un inciso nel paragrafo di apertura dell’art. 24 GDPR: il titolare del trattamento deve essere in grado di dimostrare l’adeguatezza delle misure tecniche ed organizzative adottate a garantire la conformità del trattamento alla normativa contenuta nel GDPR.
E questo ammonimento non è privo di conseguenze.
Le sanzioni in caso di inadeguatezza delle misure adottate
All’art. 83 GDPR, che regolamenta le condizioni per l’applicazione di sanzioni amministrative pecuniarie e ne declina il diverso ammontare in ragione dell’altrettanto diversa natura e tipologia di violazioni, al par. 4 lett. b) si prevede l’applicazione di una sanzione pecuniaria con un massimo edittale di 10 milioni di Euro o, se superiore, dell’importo corrispondente al 2% del fatturato mondiale totale annuo dell’esercizio precedente, affinché la sanzione abbia un’effettiva efficacia afflittiva, nel caso in cui l’autorità di vigilanza riscontri una violazione degli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 GDPR.
Gli strumenti che garantiscono l’adeguatezza: privacy by design e by default
Per venire ulteriormente incontro al titolare del trattamento, agevolandolo nell’individuazione dei criteri che gli consentano di effettuare scelte di politiche di sicurezza adeguate, il legislatore europeo, all’art. 25 GDPR, ha introdotto i concetti di c.d. privacy by design e privacy by default.
- a) Privacy by design
Applicando il principio della privacy by design, tradotto con la locuzione “protezione dei dati fin dalla progettazione”, il titolare del trattamento è sensibilizzato ad adottare misure tecniche ed organizzative adeguate, quali la pseudonimizzazione e la minimizzazione, finalizzate a garantire il rispetto della normativa prevista nel GDPR, la protezione dei dati e la tutela dei diritti degli interessati, fin dalla fase di progettazione del trattamento, in cui vengono individuati i mezzi e le modalità con cui questo verrà attuato, tenuto conto dello stato dell’arte e dei costi di attuazione. della natura del trattamento, dell’ambito di applicazione del trattamento, del contesto e delle finalità del medesimo.
- b) Privacy by default
Parallelamente, nel caso in cui il trattamento sia già avviato, il titolare del trattamento che si ponga il problema della compliance al GDPR ha la possibilità di rifarsi al principio della privacy by default, o della “protezione per impostazione predefinita”, in base al quale il titolare del trattamento è tenuto ad adottare le misure tecniche ed organizzative adeguate per garantire che, per impostazione predefinita, siano trattati soltanto i dati personali strettamente necessari al raggiungimento delle finalità per le quali il trattamento è stato avviato, con particolare riguardo alla quantità di dati personali raccolti e al periodo previsto di conservazione degli stessi, alla portata del trattamento e al generale divieto di accessibilità dei dati personali a un numero indefinito di persone fisiche senza la supervisione di una persona fisica.
L’accountability come uno strumento per migliorare il modus operandi del titolare del trattamento
Se anche questo sistema di norme a un primo approccio potrebbe apparire complesso e di attuazione non proprio immediata, a parere di chi scrive l’introduzione del principio di accountability in materia di privacy e sicurezza informatica segna un passaggio fondamentale, principalmente in materia di cybersecurity, perché, seppur con la minaccia di una sanzione pecuniaria potenzialmente anche piuttosto ingente e con il rischio di incorrere anche in obbligo di risarcimento del danno, qualora ve ne siano i presupposti, offre al titolare del trattamento l’opportunità di rivedere in maniera efficace tutte le misure di sicurezza al momento attuate e di verificarne l’adeguatezza, non soltanto a GDPR inteso come un sistema astratto di norme, ma alla protezione concreta dei dati personali trattati.
Ed in una realtà, quale quella attuale, in cui il processo di digitalizzazione in atto ha reso il dato personale un bene suscettibile di avere un valore economico anche piuttosto elevato e i processi informatici gli strumenti con cui questo è prevalentemente trattato, l’introduzione di misure efficaci per prevenire o comunque neutralizzare efficacemente gli effetti negativi di cyber-attacchi o di data breach viene a costituire una marcia in più ed un valore aggiunto per tutti quei titolari del trattamento che abbiano raggiunto la compliance al GDPR.