Nell’insieme degli adempimenti nuovi o rinnovati che il legislatore europeo ha incluso nel Regolamento generale sulla protezione dei dati, applicabile a tutti i titolari di trattamenti di dati personali a far data dal 25 maggio 2018, spesso sfugge il cambio di passo che si è voluto tracciare con questa normativa. Tuttavia, comprendere lo spirito del legislatore europeo e della generale revisione della data protection che è avvenuta negli ultimi anni in seno all’Ue, può risultare utile per estrarre alcuni criteri interpretativi che, in fase di applicazione della legge, consentano di preservarne gli scopi e di adempiere alle prescrizioni in esso contenute in maniera efficiente e conforme.
Ebbene, tra le principali innovazioni contenute nel Regolamento UE 679/2016 merita sicuramente di essere menzionata la centralità attribuita al concetto di “governo del dato” o data governance.
Con questa espressione riferita al trattamento dei dati personali bisogna intendere l’obbligo, in capo al titolare, di delineare bene compiti e responsabilità all’interno della propria struttura in modo che sia chiaro chi può prendere decisioni, chi deve conformarsi a queste decisioni, quale sia il processo che governa le suddette decisioni dalla fase della progettazione alla fase dell’implementazione e successiva verifica e quali siano, infine, le responsabilità sia in capo a colui che decide sia in capo a colui che deve eseguire le decisioni in caso di non conformità delle stesse.
Il governo del dato quindi si sposa perfettamente con due principi fondamentali che vengono sempre indicati dai commentatori come una delle chiavi di lettura del nuovo Regolamento generale sulla protezione dei dati: l’approccio basato sul rischio e l’accountability del titolare.
L’approccio basato sul rischio, che dovrà ispirare tutte le scelte in relazione al trattamento dei dati personali progettate e implementate dal titolare, trae ispirazione – tra le altre – da una interessante Raccomandazione del 2015 a cura dell’OECD sulla gestione del rischio digitale. Tale Raccomandazione, infatti, recupera e aggiorna le Linee guida del 2002 sulla sicurezza delle reti e dei sistemi informatici redatte sempre dall’OECD, dando una fortissima centralità alla governance del rischio tramite una gestione dinamica dello stesso, che viene suggerita come migliore strada da percorrere per contrastare la crescita dei fenomeni connessi a un’improvvida gestione dei dati e che si possono riassumere nel generale concetto di “data breach” o “violazione dei dati personali”, volendo utilizzare la tassonomia propria del Regolamento.
Tale governance del rischio, secondo l’OECD, dovrà necessariamente passare attraverso un’analisi del rischio che possa aiutare a comprendere l’effettiva idoneità delle misure già adottate nella propria realtà e, in caso tali misure risultino insufficienti, quali siano le misure da implementare per raggiungere un livello sufficiente di contrasto ai rischi ipotizzabili. La gestione del rischio, tuttavia, dovrà sempre essere basata su una ciclicità idonea a testare in maniera continuativa il livello di rischio presente e a prendere le opportune contromisure qualora tale livello si riduca o si innalzi in ragione di alcuni fattori. Infine, dal momento che il rischio per definizione non è mai eliminabile, una governance del suddetto richiederà sempre la predisposizione di un piano di continuità che identifichi le misure volte a prevenire, individuare, reagire e ripristinare i dati e i sistemi sui quali si concentrerà l’analisi.
Tali attività di governance del rischio, che rientrano in un approccio olistico alla gestione delle possibili problematiche di sicurezza, richiederanno la partecipazione di tutti gli attori del processo, non consentendo più una delega totale a determinati soggetti perché studino e implementino le misure di contenimento del rischio stesso, ma richiedendo il coinvolgimento anche di tutte le altre figure, soprattutto apicali, affinché l’approccio al rischio e la gestione dello stesso diventino patrimonio condiviso da tutti.
Un ulteriore campo di applicazione dei principi di data governance è sicuramente da individuarsi in relazione al principio dell’accountability del titolare, che viene da più parti giustamente indicato come un’altra delle chiavi di lettura innovative e fondamentali del Regolamento.
Con tale principio si viene a costituire un vero e proprio meccanismo di responsabilità in capo ai titolari, i quali dovranno intervenire nella definizione dei processi e nell’attuazione delle misure o procedure da adottare e, in più, dovranno anche poter dimostrare il fondamento delle scelte effettuate e la loro implementazione.
Si può quindi ritenere che il primo obiettivo dell’accountability sia la formalizzazione di scelte che sono demandate al titolare affinché questi possa implementare delle procedure di governance ritagliate sulla propria realtà concreta. Questa lettura del principio, tuttavia, ha anche il pregio di trasferire in politiche concrete i principi che sono contenuti nella normativa, personalizzandole sulla realtà nella quale andranno operativamente a ricadere.
L’attuazione di una data governance, quindi, nell’ottica del legislatore europeo, passerà necessariamente attraverso una preliminare fase di studio e individuazione delle caratteristiche tipiche della propria struttura, delineazione dei processi che sovrintendono alla gestione dei dati per tutto il loro ciclo di vita (raccolta, trattamento, trasferimento, messa in sicurezza e distruzione del dato stesso), formalizzazione di tali processi e delle procedure che dovranno verificare la messa in opera degli stessi e, infine, l’adozione di sistemi correttivi nel caso in cui tali processi risultino non aderenti o non idonei rispetto alla realtà di riferimento.
