Il Garante italiano della privacy spiega così questo principio chiave del regolamento: “Adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento”. Ed è una novità assoluta: sono i titolari a poter decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, per assicurare il rispetto della normativa.

Il regolamento indica alcuni criteri specifici, tra cui quello sintetizzato dall’espressione “data protection by default and by design” (art. 25): la necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili al rispetto del regolamento e alla tutela dei diritti degli interessati. Significa che tutto questo deve avvenire prima di procedere al trattamento dei dati vero e proprio, quindi occorrono un’analisi preventiva e una serie di attività dimostrabili.

E’ un altro dei criteri indicati nel regolamento, inteso come rischio di impatti negativi sulle libertà e i diritti degli interessati. Questi impatti devono essere analizzati attraverso un apposito processo di valutazione che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative che il titolare ritiene di dover adottare per mitigare i rischi. Il titolare in questo frangente può decidere in autonomia se iniziare il trattamento adottando misure che crede idonee a mitigare sufficientemente il rischio, oppure può consultare l’autorità di controllo competente, che non ha il compito di autorizzare o meno il trattamento, ma di indicare misure ulteriori da implementare.
Il regolamento introduce infatti il cosiddetto “Privacy Impact Assessment”, cioè l’obbligo di effettuare un’analisi preliminare che racchiude le valutazioni d’impatto sulla protezione dei dati; in sostanza, un documento che specifica e documenta quali dati vengono trattati, modalità e rischi potenziali del trattamento e così via, con indicazioni di risoluzione.

> Qui le linee-guida in materia di valutazione di impatto sulla protezione dei dati pubblicate dal Gruppo “Articolo 29”

Il titolare è tenuto anche a dotarsi di un registro delle operazioni di trattamento (art. 30), fondamentale ai fini dell’eventuale supervisione da parte del Garante e allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico. Il registro è indispensabile per ogni valutazione e analisi del rischio. Deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato all’art. 32, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: pseudonimizzazione e cifratura dei dati personali; capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Per “consenso dell’interessato” viene indicata dal regolamento “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. All’art. 6 viene indicato poi il consenso come una delle condizioni su cui si fonda la liceità del trattamento stesso (“l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità”).

Inoltre, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso. La richiesta scritta di consenso va presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Naturalmente, l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.

E’ una delle novità del regolamento. Il diritto alla portabilità del dato riguarda, in sintesi, il trasferimento dei dati altrove. Ad esempio, considerando il Web, possiamo immaginare il trasferimento da un social ad un altro. Non si applica ai trattamenti non automatizzati (archivi o registri cartacei).

Sono portabili solo i dati che “forniti” dall’interessato al titolare e solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (ad esempio quindi non lo sono i dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare). Fondamentale: il titolare deve essere in grado di trasferire direttamente i dati portabili ad un altro titolare indicato dall’interessato, se tecnicamente possibile.

E’ un altro diritto sancito dal regolamento: la cancellazione di dati in possesso di terzi. Sempre considerando il Web, ad esempio possiamo citare la possibilità di richiedere la cancellazione dei dati detenuti da un social. Si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Se l’interessato inoltra richiesta di cancellazione, il titolare dovrà informare altri titolari che trattano i dati personali cancellati (inclusi quelli a cui si riferiscono le frequenti diciture “qualsiasi link, copia o riproduzione”), qualora i dati siano di fatto pubblici, quindi ad esempio pubblicati su un sito Web.

Entro 72 ore dal momento in cui i titolari del trattamento vengono a conoscenza di una violazione dei dati personali, dovranno notificarlo all’autorità di controllo, ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati. Anche gli interessati vanno informati. Inoltre, i titolari dovranno comunque documentare le violazioni di dati personali subite, anche quelle non notificate all’autorità di controllo né comunicate agli interessati, circostanze, conseguenze e provvedimenti adottati. Inutile dire che violazioni ripetute ai data base contenenti dati personali possono avere ripercussioni enormi sul fronte della reputazione di un’azienda. Il regolamento specifica che il titolare e il responsabile del trattamento e, se applicabile, il loro rappresentante cooperano su richiesta con l’autorità di controllo nell’esecuzione dei suoi compiti (art. 31, 32, 34).

Sostanzialmente, è un sinonimo di “violazione dei dati personali”. Per “data breaches” si intendono le violazioni che comportano la distruzione, la perdita, la modifica, la rivelazione dei dati personali. Il mondo dell’It fornisce uno spettro di cause che vanno dagli attacchi alle applicazioni Web fino al cyber spionaggio.

Ma quando si parla di data breach dobbiamo pensare anche ad accesso illecito a dati personali a causa di azioni banali, come lo smarrimento di documenti o dispositivi che contengono dati (le usb ad esempio, o le buste paga) da parte di un dipendente. Occorrono procedure per gestire queste emergenze. Lo stesso regolamento incoraggia ad adottare meccanismi di certificazione della protezione dei dati, sigilli e marchi di protezione.

Per la prima volta viene introdotta una definizione e alcune linee guida sulla profilazione dei contatti. Profilazione è: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”. Non è profilazione l’attività in cui interviene la mano umana, ma soltanto l’attività automatica, per cui resta il vincolo di un consenso. Risulta evidente l’importanza di una valutazione preliminare dei rischi legati al trattamento di dati.

Sono una delle preoccupazioni maggiori scaturite dopo l’entrata in vigore del decreto. Le sanzioni sono infatti molto severe (art. 83). La normativa nazionale regola gli aspetti penali, mentre il regolamento fissa sanzioni pecuniarie fino a 20 mln di euro o fino al 4% del fatturato mondiale annuo delle aziende in caso di violazioni quali quelle relative al consenso, ai diritti degli interessati o al trasferimento di dati personali verso un destinatario che si trova in un Paese terzo.