Si parla sempre di più del cosiddetto GDPR (General Data Protection Regulation) cioè del nuovo Regolamento europeo n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Ma non abbastanza del nuovo approccio alla sicurezza che caratterizza il Regolamento, ribaltando la precedente concezione.
Come è noto, il Regolamento sarà applicabile dal 25 maggio 2018, data in cui la direttiva 95/46/CE – che dettava il quadro normativo precedente – cesserà di aver effetto. Alla base della spinta riformatrice la volontà (e la necessità) di uniformazione del diritto tra gli Stati membri, nonché l’aspirazione, ancora una volta ribadita, alla creazione di un mercato unico digitale europeo.
Il Regolamento ha innovato l’assetto normativo in materia di protezione dei dati personali, cercando di adeguarsi alle esigenze di una realtà digitale e interconnessa. D’altronde, il modello normativo precedente si è rivelato obsoleto, giacché individuava un’unica tipologia di scambio di dati: dall’interessato al titolare del trattamento. Al contrario, oggi il modello è quello di condivisione e di cogestione di dati e di informazioni e questo ha imposto una revisione del paradigma non solo organizzativo ma, appunto, regolatore.
Trasparenza del trattamento, ripartizione delle responsabilità, maggiori diritti per gli interessati, inasprimento del profilo sanzionatorio (le sanzioni arriveranno fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo): sono questi alcuni punti focali della riformata disciplina in materia di privacy che il Regolamento rende più stringente.
Tuttavia, poco si parla ancora del nuovo approccio alla sicurezza che viene sostanzialmente ribaltato. Il nuovo Regolamento non detta più un elenco di specifiche misure da adottare. In questo ambito, a regole dettagliate e circostanziate il Regolamento preferisce un approccio di largo respiro che ben possa applicarsi anche alle future e innovative misure di sicurezza che gli sviluppi tecnologici in costante evoluzione saranno in grado di realizzare. Per tale ragione, il Regolamento lascia al titolare del trattamento ampia discrezionalità in sede di determinazione di tali misure. Un unico vincolo: la valutazione dei rischi unitamente alla considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento.
In altre parole, il titolare deve procedere all’individuazione delle misure di sicurezza sulla base delle specificità del trattamento che si appresta ad effettuare. Vero è infatti che i rischi cui son esposti i dati sono intrinsecamente correlati alle caratteristiche del trattamento: il trattamento di dati dei dipendenti di una impresa a conduzione familiare non è paragonabile al trattamento sistematico di dati sensibili effettuato da una struttura sanitaria pubblica operante a livello nazionale.
Si tratta, dunque, di una valutazione case-by-case, cui si aggiunge un ulteriore requisito: la valutazione deve essere preliminare rispetto al trattamento stesso. Occorre cioè effettuare in primo luogo un’analisi dei flussi informativi e una valutazione dei rischi che incombono su di essi, per decidere poi quali misure adottare. La scelta delle misure di sicurezza interverrà dunque solo a seguito dell’analisi della tipologia di dati oggetto del trattamento e della valutazione dell’impatto delle operazioni su di essi.
La valutazione dei rischi e la scelta che ne consegue dovranno inoltre essere sottoposte a continuo monitoraggio per determinarne la costante adeguatezza. L’insorgenza di nuovi rischi ovvero la cessazione di situazioni di potenziale pericolo impongono al titolare di procedere a un riesame della valutazione, adeguandola in ragione del nuovo contesto. L’eventuale rivalutazione dovrà tradursi nell’adozione di misure di sicurezza adeguate rispetto alle nuove rilevate situazioni di rischio.
Tutela preventiva e autovalutazione sono dunque le parole d’ordine del nuovo assetto regolatore. Insieme ad analisi, scelta, proceduralizzazione, implementazione, monitoraggio e presidio.
Unitamente all’autovalutazione e alla gestione a carico del titolare, non può mancare una documentazione precisa delle scelte, motivate, e del processo. Il Regolamento riserva particolare attenzione alla tenuta di registri delle attività di trattamento e, in generale, ad ogni altro documento che attesti tanto le operazioni svolte, quanto l’iter decisionale che ha portato ad eseguirle. Tale insieme di documenti assume una duplice valenza: da un lato, fungono da prova della conformità alle disposizioni del Regolamento; dall’altro, costituiscono un prezioso strumento di rendicontazione.
In conclusione, siamo di fronte ad un approccio nuovo basato sulla accountability, che richiede necessariamente competenze integrate: tecnologiche, organizzative e giuridiche. Si tratta dell’ennesima conferma dell’idea, condivisa anche in altri settori, che solo una visione complessiva della sicurezza possa garantire una tutela completa e pervasiva dei dati e delle informazioni.
