Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La riflessione

La privacy by design nel rapporto tra titolare e responsabile del trattamento dati: le soluzioni

L’applicazione del principio di privacy by design contemplato dal GDPR in futuro comincerà dalle scelte di produttori e fornitori di servizi e applicazioni, che attraverso la predisposizione di misure idonee alla protezione dei dati personali permetteranno a titolari e responsabili del trattamento di adempiere ai loro obblighi di legge. Ecco come

21 Mar 2019
C
Ernesto Covello

Data Protection designer & Data Protection Specialist


Il principio di privacy by design, contemplato dal GDPR, parte dai produttori di servizi e applicazioni: saranno infatti loro in futuro a permettere a responsabili e titolari del trattamento di adempiere ai loro obblighi in materia di protezione dei dati personali. La privacy by design si presenta come un principio fondamentale e sarà la chiave del futuro non solo in ambito privato, ma assumerà il ruolo di requisito essenziale nell’ambito degli appalti pubblici.

La normativa di riferimento

L’articolo 25 del GDPR letteralmente fa riferimento solo al titolare del trattamento di cui all’articolo 4 par. 7 e mai al responsabile del trattamento di cui all’articolo 28 del GDPR. Stante alla lettera dell’articolo 25, i principi di privacy by design e by default si applicano solo al titolare, ma è necessario creare collegamenti con le altre norme e soprattutto con i considerando.

L’articolo 25 si applica soprattutto ai responsabili del trattamento e questo a parere dello scrivente non è andare contro il significato letterale della norma, ma piuttosto guardare oltre attribuendo all’articolo 25 un significato importante.

Il titolare del trattamento ha la responsabilità di individuare, ai sensi dell’articolo 28 par 1 del GDPR, responsabili “che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti degli interessati”.

Tra le garanzie sufficienti, di sicuro ci sono i requisiti di privacy by design e privacy by default: il titolare avrà l’onere di ricorrere a responsabili che siano in grado di dimostrare l’osservanza del principio di accountability, cioè che i prodotti, i servizi e le applicazioni fornite al titolare siano state progettate tenendo conto della protezione dei dati personali.

Il grado di responsabilità è suddiviso tra titolare del trattamento e responsabile del trattamento, ma in futuro chi saranno i veri responsabili? Come possono titolare e responsabile adempiere ai loro obblighi in materia di protezione dei dati personali?

Il ruolo dei produttori di servizi

I produttori in futuro avranno il manuale operativo privacy by design e by default, avranno bisogno di legali in grado di trovare soluzioni al rispetto dei requisiti previsti dal GDPR.

Il titolare del trattamento può adottare politiche interne per il rispetto dei principi di privacy by design e by default, può adottare misure che soddisfino tali principi, avrà la responsabilità del trattamento, ma come potrà avere il controllo sulla progettazione e sulla protezione dei dati di default se non ha progettato quel bene o quel servizio?

Molto importante per il titolare al momento dell’acquisto di un prodotto, di un servizio, di un’applicazione, chiedere al responsabile del trattamento “garanzie sufficienti” per mettere in atto tali misure. A tal fine il responsabile avrà avuto le apposite garanzie “certificate”, si spera in futuro, dai produttori del prodotto o del servizio. In caso contrario, come potrebbe il responsabile garantire su una progettazione che non ha seguito?

La responsabilità del titolare ai sensi dell’articolo 24 del GDPR è quella di essere in grado di dimostrare che il trattamento è effettuato conformemente al Regolamento.

Come può il titolare essere in grado di dimostrarlo se non ha avuto garanzie sufficienti dal fornitore del prodotto o del servizio o dal responsabile del trattamento? E se il fornitore non ha progettato quel prodotto o quel servizio? Ecco che ritorna la responsabilità del produttore.

Una soluzione per i titolari del trattamento

Quale potrebbe essere una soluzione per i titolari del trattamento? Iniziare a inserire nei bandi di gara, nella scelta dei fornitori il rispetto dei requisiti di privacy by design e by default e la presentazione delle misure tecniche e organizzative adeguate per avere la possibilità di garantire e dimostrare che il trattamento è effettuato conformemente al GDPR.

Il titolare dovrà innanzitutto definire politiche interne e procedure adeguate sui requisiti di privacy by design e privacy by default e sulla base di tali politiche e procedure andare a definire i requisiti che dovranno avere i fornitori di prodotti e di servizi.

A tale fine decideranno a chi affidare le chiavi della propria azienda. Il titolare del trattamento potrà attuare le misure adeguate a soddisfare i principi di protezione dei dati e i principi applicabili al trattamento di cui all’articolo 5, ma per farlo ha bisogno del controllo della catena. A tal fine il legislatore europeo ha previsto al considerando 78 che “è necessario incoraggiare i produttori a tener conto della protezione dei dati al momento dello sviluppo e/o della progettazione di tali prodotti, servizi o applicazioni, “tenuto debito conto dello stato dell’arte”, a far sì che i titolari e i responsabili possano adempiere ai loro obblighi in materia di protezione dei dati personali.

Nello sviluppo o nella progettazione avranno un ruolo importante i principi applicabili al trattamento di cui all’articolo 5 del GDPR, la parte più importante della rivoluzione normativa del legislatore europeo.

Quali misure dovranno essere adottate per soddisfare i principi della protezione dei dati fin dallo sviluppo o della progettazione? Il legislatore non individua le misure necessarie, ma lascia l’onere al titolare e al responsabile di mettere in atto misure tecniche e organizzative “adeguate” per garantire un livello di sicurezza adeguato al rischio.

Il considerando 78, parlando di sviluppo e progettazione, prova a dare delle indicazioni, “tra le altre”, sulle misure per soddisfare il principio di protezione dei dati: “ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati personali, consentire al titolare di creare e migliorare caratteristiche di sicurezza”.

Conclusioni

Sul controllo del trattamento dei dati personali, guardando al futuro 4.0, allo scrivente vengono in mente i produttori e sviluppatori di auto a guida autonoma, che dovranno adottare delle misure tali da permettere all’interessato di controllare il trattamento dei dati personali.

Sempre più importante sarà per il titolare del trattamento avere tutte le informazioni necessarie dal responsabile per dimostrare il rispetto degli obblighi del GDPR e vincolare il responsabile mediante il contratto ex articolo 28 dove il responsabile dovrà fornire al titolare tutte le garanzie sufficienti a dimostrazione del fatto che si è tenuto conto della protezione dei dati sin dallo sviluppo e/o dalla progettazione del prodotto, del servizio o dell’applicazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4