Il principio di trasparenza (transparency), inteso come obbligo di rendere conoscibili “le modalità con cui i dati sono raccolti, utilizzati e consultati grazie ad informazioni e comunicazioni facilmente accessibili e comprensibili, utilizzando un linguaggio semplice e chiaro” (Considerando 37), ha nel GDPR un ruolo fondamentale e potenzialmente molto espansivo. Si tratta di un aspetto molto importante, e non ancora esplorato fino in fondo.
La trasparenza nel trattamento dei dati personali
Per capire bene l’innovazione data dal principio di trasparenza nel trattamento dati con il Gdpr occorre partire dall’art.5, paragrafo 1, lettera a) che, indicando i principi applicabili al trattamento, specifica: “i dati personali devono essere trattati in modo lecito, corretto e trasparente”.
L’art. 6 della Direttiva 95/46 si limitava invece a dire, al paragrafo 1, lettera a), che i dati personali devono essere trattati “lealmente e lecitamente”.
E’ evidente la discontinuità tra il nuovo Regolamento e il sistema precedente, soprattutto perché ora la trasparenza diventa un aspetto generale ed essenziale di ogni trattamento di dati personali. Una condizione dunque che si applica ai trattamenti in quanto tali e durante tutto il loro corso, indipendentemente dal rapporto che possa sussistere tra il titolare e la tutela dei diritti degli interessati i cui dati sono oggetto di trattamento.
Un primo punto assolutamente essenziale nel quadro del nuovo Regolamento è dunque che tanto i titolari (controllers) quanto i responsabili (processors) devono assicurare che i trattamenti o le parti di trattamento da ciascuno posti in essere risponda al principio di trasparenza.
Trasparenza fin dalla progettazione dei trattamenti
Proprio perché riguarda innanzitutto le caratteristiche che il trattamento deve avere, e solo in seconda battuta il rapporto tra il titolare e gli interessati, il principio di trasparenza deve essere garantito fin dalla progettazione dei trattamenti.
In sostanza, la trasparenza, come la correttezza (fairness) e la responsabilità (accountability) fa parte delle caratteristiche intrinseche di ogni trattamento e dunque è un aspetto essenziale della adeguatezza delle modalità organizzative e tecnologiche che, sulla base dell’art.24, il titolare deve adottare per poter dimostrare in qualunque momento di essere compliant al GDPR.
Questo significa che la corretta attuazione del principio di trasparenza rispetto a ciascun trattamento deve essere oggetto anche di una adeguata attenzione nell’ambito della privacy by design e della privacy by default che, come sappiamo, riguardano anche, e soprattutto, la fase della progettazione più che quella della attuazione dei trattamenti.
Gli obblighi in capo al Responsabile del trattamento
L’obbligo di rispettare il principio di trasparenza inoltre si estende anche al responsabile. Esso, infatti, deve essere sempre in grado di dare al titolare la garanzia di poter svolgere i trattamenti a lui affidati “mettendo in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisce la tutela dell’interessato”.
Dunque, l’obbligo di assicurare la trasparenza dei trattamenti grava anche sul responsabile perché anche questo è un requisito che il titolare è tenuto a verificare prima di avvalersi dei suoi servizi, pena rispondere lui, come titolare, della inadeguatezza del responsabile.
Il principio della trasparenza nella regolazione Ue
Come ricorda il WP29 nelle sue Guidelines on transparency under regulation 2016/679, pubblicate in via definitiva l’11 aprile 2018 e fatte proprie dal nuovo EDPB nella prima riunione del 25 maggio 2018, il principio di trasparenza è ampiamente presente nella regolazione dell’Unione, a partire dall’art. 1 del TUE, il quale richiede che le istituzioni dell’Unione mantengano sempre un dialogo aperto, trasparente e continuo, con le associazioni e la società civile e dall’art. 15 del TFUE, che afferma il principio di trasparenza come diritto di accesso dei cittadini a tutti gli atti delle istituzioni, uffici e agenzie dell’Unione.
Il principio della trasparenza nel GDPR
Proprio per la sua ormai generale diffusione nel sistema regolatorio europeo il concetto di “trasparenza” non è precisato specificamente nel GDPR. Tuttavia, a chiarire in mondo inequivoco come esso debba essere applicato nel quadro della nuova regolazione soccorre il Considerando 39 che afferma “qualsiasi trattamento dei dati personali dovrebbe essere lecito e corretto e dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati, o altrimenti trattati, dati personali che le riguardano nonché la misura in cui i dati saranno trattati”. Specifica inoltre il medesimo Considerando che “il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro”.
Sono tutti termini che ritroviamo successivamente anche nell’art. 12, che, rubricato nella sezione “Trasparenza e modalità”, specifica le misure appropriate che il titolare del trattamento deve adottare per fornire all’interessato tutte le informazioni relative ai suoi diritti, di cui agli artt. 13 e 14; le comunicazioni relative all’esercizio di questi come indicati negli artt. da 15 a 22; le comunicazioni da dare all’interessato riguardo a perdita di dati.
Di quanto specificato nell’art. 12 e in generale della trasparenza legata ai rapporti tra titolare e interessato non ci occuperemo in questo articolo. Del resto, lo stesso Considerando implicitamente chiarisce che da un lato la trasparenza è un principio generale che deve informare di sé ogni trattamento, mentre dall’altro esso “riguarda, in particolare, l’informazione degli interessati sull’identità del titolare, le finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che la riguardano”.
La trasparenza come condizione di qualunque trattamento
Qui quello che conta sottolineare è che l’art. 5, paragrafo 1, individua la trasparenza come condizione di qualunque trattamento di dati personali e dunque come un aspetto che deve essere curato dal titolare fin dalla progettazione dei trattamenti e da lui verificato, e richiamato nel contratto, anche rispetto ai responsabili di cui all’art.28, prima di affidare ad essi qualunque incarico di trattamenti di dati personali.
Per essere quanto più possibile chiari: la trasparenza, esattamente come la correttezza e la responsabilità, è un dovere (e un obbligo) inerente al titolare per il fatto stesso di porre in essere (o progettare) un trattamento di dati personali.
Trasparenza e conformità al regolamento
Tanto la trasparenza (transparency) che la correttezza (fairness) e la responsabilità (accountability) concorrono dunque a definire gli obblighi che, ex art.24, incombono sul titolare. Sono principi che devono sempre essere tenuti presenti, al pari della valutazione di rischio e in connessione con questa, per individuare le modalità organizzative e tecnologiche che possono consentire al titolare di dimostrare in qualunque momento che “il trattamento è effettuato conformemente al regolamento”. Non solo: come specifica sempre il primo paragrafo dell’art.24, “dette misure sono riesaminate e aggiornate qualora necessario”. Ne deriva dunque che da un lato anche la trasparenza dei trattamenti deve essere costantemente aggiornata alle nuove tecnologie e modalità usate e, dall’altro, che nel progettare nuove tecnologie o modalità organizzative deve sempre essere sempre assicurata la massima trasparenza, così come definita dal Considerando 39.
Insomma, e per concludere su questo punto: il fatto che la trasparenza incida anche sulle modalità con le quali il titolare deve dare agli interessati le informazioni necessarie rispetto ai trattamenti dei loro dati ex artt.13 e 14, le comunicazioni relative all’esercizio dei loro diritti, ex artt. da 15 a 22 e quella relativa alla perdita di dati, si aggiunge all’obbligo generale che incombe sul titolare in base al combinato disposto tra art. 5 e art. 24 e costituisce solo una specificazione, anche se importantissima, di come l’obbligo di trasparenza operi rispetto al rapporto tra titolare e interessato.
In questo quadro ricostruttivo, che è strettamente legato alla centralità che nel GDPR assumono da un lato la transparency, la fairness e la accountability dei trattamenti e dall’altro gli obblighi ai quali il titolare deve ottemperare nel progettare e realizzare trattamenti di dati personali, la trasparenza è un dovere che il titolare ha non solo verso gli interessati, ma in generale rispetto a tutte le persone fisiche i cui dati possono potenzialmente essere oggetto di trattamenti e, ovviamente e conseguentemente, anche e prima di tutto rispetto all’Autorità di controllo.
Si tratta di un obbligo che il titolare deve assolvere anche prima e indipendentemente dal rapporto specifico con gli interessati i cui dati sono oggetto specifico di quel trattamento. Rispetto agli interessati, infatti, l’obbligo di trasparenza assume profili specifici che sono quelli definiti in modo puntuale dall’art. 12, paragrafo primo, e che riguardano le specifiche informazioni e comunicazioni che devono essere date a questi con riguardano gli articoli citati in quella disposizione.
La trasparenza e la collettività
In via generale, dunque, la trasparenza come intesa dall’art. 5 paragrafo primo, lettera a), e dal Considerando 39, riguarda non solo gli interessati ma tutta la collettività e comporta l’obbligo di rendere le informazioni relative ai trattamenti dei dati facilmente accessibili e comprensibili, utilizzando un linguaggio semplice e chiaro per tutti.
Il titolare può dunque essere chiamato a dover dimostrare in ogni momento di essere in grado di rendere note le modalità relative ai trattamenti che ha posto in essere in modo trasparente, con linguaggio facilmente comprensibile e con informazioni immediatamente accessibili. Un dovere che concorre a definire le misure adeguate, organizzative e tecnologiche che il titolare deve adottare rispetto ai trattamenti che svolge.
La valutazione di rischio nell’obbligo di trasparenza
In questo quadro anche la valutazione di rischio che, ex art. 24, è il parametro sul quale il titolare deve valutare le misure da adottare diventa oggetto dell’obbligo di trasparenza, sia nei confronti degli interessati, ex art. 12, che della collettività e dell’Autorità di controllo ex art. 5, paragrafo primo.
Come specifica il Considerando 39, è opportuno infatti che, sulla base del principio di trasparenza, il titolare sia in qualunque momento in grado di informare anche rispetto al livello di rischio che i trattamenti che progetta, o pone in essere, presentano.
Esso afferma infatti che le persone fisiche devono essere “sensibilizzate ai rischi” che i trattamenti dei dati possono comportare. Un profilo che diventa specifico nei confronti degli interessati nell’ambito dell’applicazione dell’art.12 ma che concorre in via generale a definire cosa significhi e quale sia la portata del principio di trasparenza (transparency) come elemento essenziale del trattamento dei dati personali.
Trasparenza, correttezza e responsabilità
Un elemento, questo della trasparenza anche rispetto ai possibili rischi, che concorre ulteriormente a rafforzare la stretta connessione che l’art. 5 crea tra trasparency, fairness e accountability.
Il termine accountability non può essere tradotto solo come responsabilità in senso giuridico, così come il termine fairness non è solo correttezza intesa come rispetto delle leggi.
I tre termini indicati dall’art.5 in ordine ai principi che devono caratterizzare i trattamenti riguardano tutti, e prima di tutto, l’aspetto della credibilità del titolare e della fiducia che i cittadini possono avere in chi progetta, pone in essere e svolge la sua attività attraverso i trattamenti di dati delle persone fisiche. Una credibilità e una fiducia che non riguarda solo coloro i cui dati sono in concreto trattati, e assumono dunque la veste di “interessati” ma tutti, anche coloro i cui dati potranno essere trattati in futuro.
Nella logica del GDPR, infatti, la tutela specifica degli interessati e dei loro diritti costituisce una parte, sia pure essenziale, della tutela dei dati personali. Questa tutela per così dire “vestita”, che attiene alla concretezza dei diritti specifici che sorgono dal trattamento concreto dei dati personali di coloro che, per questo, assumono la posizione di interessati, si sovrappone la più ampia tutela dei diritti e delle libertà di tutte le persone fisiche nei confronti di trattamenti che in qualunque momento, trattando i loro dati, potrebbero mettere a rischio le loro libertà e i loro diritti.
Il GDPR e la libera circolazione dei dati personali
Per comprendere al meglio il ruolo che l’obbligo di trasparenza dei trattamenti assume nel quadro del GDPR, è opportuno richiamare anche il Considerando 7, nella parte in cui sottolinea che l’evoluzione della società digitale e della sua tecnologia richiedono “un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consenta lo sviluppo dell’economia digitale in tutto il mercato interno”.
Un obiettivo essenziale del GDPR, esplicitamente dichiarato fin dall’art. 1, è infatti rendere più ampia e “robusta” la tutela dei dati personali non solo per attuare a pieno un diritto fondamentale previsto dalla Carta dei diritti dell’Unione europea (art.8), ma anche per incentivare la libera circolazione dei dati personali.
Come chiarisce benissimo il Considerando 7, questo duplice obiettivo trova la sua sintesi nella volontà di rafforzare la fiducia dei cittadini nella società digitale come elemento essenziale per incentivare lo sviluppo dell’economia digitale.
Il principio di trasparenza applicato ai trattamenti dei dati assume in questo quadro un valore particolarmente rilevante.
Trasparenza, l’innovazione del GDPR
Specialmente di fronte a una tecnologia sempre più invasiva non solo della sfera personale degli individui ma anche dei loro sistemi relazionali e del loro stesso modo di vivere, questa innovazione è particolarmente importante.
In sostanza, l’ampliamento delle basi di legittimità dei trattamenti operato dall’art.6, con la conseguente riduzione della centralità del principio del consenso come base principale per i trattamenti di dati personali e la responsabilità del titolare di stabilire esso stesso quali siano le misure organizzative e tecnologiche adeguate a trattamenti che pone in essere, tenendo conto dei rischi che questi presentano per le persone fisiche comportano non solo il rafforzamento dei diritti degli interessati ma anche quello della collettività nel suo complesso a una tutela rafforzata che consiste nell’obbligo imposto dall’art. 24 al titolare di essere in grado di dimostrare in ogni momento la conformità del trattamento al GDPR.
In questo quadro la trasparenza intesa come obbligo di consentire a chiunque e in qualunque momento di comprendere con linguaggio piano, facilmente accessibile a tutti e con strumenti semplici e facilmente attivabili, le modalità di raccolta dei dati, come essi siano trattati, quali siano le finalità perseguite e i potenziali rischi per gli Human Rights, costituisce uno degli aspetti più innovativi e importanti del GDPR.
Trasparenza è conoscenza
L’evoluzione continua e irrefrenabile delle tecnologie pone le nostre società di fronte a sfide sempre più elevate e a decisioni sempre più difficili, che coinvolgono non solo aspetti giuridici ma anche, e prima di tutto, etici.
Per questo, pur in un contesto di forte e indispensabile ampliamento del ruolo delle Autorità di controllo e dell’EDPB, è necessario dare al principio di trasparenza, affermato e riconosciuto dall’art. 5, un valore che va molto oltre la sola tutela degli interessati.
Mai come in questo caso il principio fondamentale della conoscenza come base indispensabile per sapere, capire, discutere e decidere è fondamentale.
Per questo il ruolo della trasparenza è nel GDPR così importante, e per questo deve essere interpretato e applicato nel modo più ampio e efficace possibile. Esattamente come qui si è cercato di fare.
