In questo ultimo focus, ci concentreremo sulla compilazione del registro per il responsabile del trattamento secondo l’articolo 30 del GDPR, analizzando gli elementi minimi richiesti, il ruolo del sub-responsabile e le misure di sicurezza tecniche e organizzative da adottare per garantire la conformità. Questo articolo fa parte di una serie dedicata alla gestione del Registro delle attività di trattamento ai sensi del GDPR, uno strumento essenziale per garantire la conformità al regolamento europeo sulla protezione dei dati.

Obbligo di tenuta del registro per il responsabile del trattamento

L’art. 30, par. 2 del GDPR prevede l’obbligo per il Responsabile del trattamento di compilare un Registro delle attività di trattamento, distinto da quello del Titolare. Ogni Responsabile, e dove applicabile il suo rappresentante, è tenuto a mantenere un Registro per ciascun trattamento svolto per conto di ogni Titolare.

Elementi minimi del registro del titolare e del responsabile delle attività

Come per il Registro del Titolare, il GDPR specifica gli elementi minimi richiesti per il Registro del Responsabile:

• Estremi identificativi: Nome e dati di contatto del responsabile del trattamento, dei titolari per conto dei quali agisce, del rappresentante e, ove applicabile, del responsabile della protezione dei dati.
• Categorie di trattamenti: Descrizione delle categorie di trattamenti effettuati per conto di ogni titolare.
• Trasferimenti di dati personali: Informazioni sui trasferimenti verso paesi terzi o organizzazioni internazionali, compresa l’identificazione di questi e la documentazione delle garanzie adeguate.
• Misure di sicurezza: Una descrizione generale delle misure di sicurezza tecniche e organizzative adottate, come previsto dall’art. 32, paragrafo 1 del GDPR.

Principio di accountability per il responsabile

Il Responsabile, in omaggio al principio di accountability, deve mettere in atto misure tecniche e organizzative adeguate per garantire e dimostrare la conformità al GDPR. Tra le misure che possono essere adottate ci sono l’adesione a un codice di condotta approvato (art. 40 GDPR) o a un meccanismo di certificazione approvato (art. 42 GDPR), utili per dimostrare la conformità, ma non sufficienti a esonerare il Responsabile dalla responsabilità per eventuali violazioni.

Obblighi e responsabilità del sub-responsabile

L’art. 28, par. 4 del GDPR impone che, quando un responsabile del trattamento ricorre a un sub-responsabile per specifiche attività di trattamento, su quest’ultimo siano imposti gli stessi obblighi di protezione dei dati previsti per il responsabile principale. Se il sub-responsabile non adempie ai propri obblighi, il responsabile iniziale mantiene la piena responsabilità nei confronti del titolare del trattamento.

Sanzioni per la mancata compilazione del registro delle attività di trattamento

Il GDPR prevede sanzioni per la mancata compilazione del Registro del trattamento. Le sanzioni possono arrivare fino a 10.000.000 di euro, o fino al 2% del fatturato totale annuo dell’esercizio precedente, se superiore. L’Autorità di controllo ha il compito di sorvegliare l’applicazione del regolamento, avviare procedimenti di indagine e applicare misure correttive e sanzionatorie (art. 57 e 58 GDPR).

Il titolare del trattamento, il responsabile del trattamento e i loro rappresentanti devono cooperare con l’autorità di controllo su richiesta, mettendo a disposizione il Registro. La mancata cooperazione può comportare ulteriori sanzioni. Il grado di cooperazione è uno dei parametri che l’Autorità considera nella determinazione delle sanzioni (art. 83 GDPR).

Conclusione

Il Registro del trattamento è uno strumento essenziale per garantire la conformità al GDPR. La sua corretta compilazione e tenuta da parte del Responsabile del trattamento, così come la cooperazione con l’Autorità di controllo, sono fondamentali per evitare sanzioni e assicurare la protezione dei dati personali.

Se vuoi approfondire ulteriormente questi temi, ti invitiamo a scaricare il white paper “La compilazione del Registro dei trattamenti nel nuovo quadro normativo del Reg. UE 679/2016″. In questo documento troverai una guida completa e aggiornata sulla corretta gestione del Registro delle attività di trattamento per garantire la piena conformità al GDPR.

Profilo Autore

Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.

https://www.ictsecuritymagazine.com/articoli/titolare-gdpr/

L’Intelligenza Artificiale resta la protagonista indiscussa del dibattito contemporaneo. Dato l’impatto dirompente dell’AI sulla vita pubblica e privata, le relative tecnologie appaiono oggetto di un’intensa attività normativa – sia nazionale, sia internazionale – tesa a disciplinarne principi, conseguenze ed effetti sui cittadini.

Nel solco di questo sforzo regolatorio si colloca anche il Documento di analisi n. 31, intitolato “Intelligenza artificiale: governance, responsabilità e privacy. L’impatto sul quadro normativo dei sistemi che mostrano un comportamento intelligente”, appena diffuso dall’Ufficio Valutazione Impatto (UVI) del Senato della Repubblica Italiana.

Intelligenza Artificiale: Definizioni, impatti e regolamentazione

Il testo parte dalla definizione di Intelligenza Artificiale adottata dalla Commissione europea nella Comunicazione (2018) 237, a norma della quale essa riguarda “sistemi che mostrano un comportamento intelligente, analizzando il proprio ambiente e compiendo azioni, con un certo grado di autonomia, per raggiungere specifici obiettivi”.

A seguire il documento ripercorre l’evoluzione dell’AI dal test di Turing ai Large Language Models (LMM), per arrivare ad analizzarne l’attuale stato di sviluppo e a riconoscerne l’ormai consolidata rilevanza in “tutte le attività dell’uomo, con ricadute non solo sul piano tecnologico ma anche giuridico, economico e sociale”.

Sul piano regolatorio vengono richiamati anzitutto gli atti dell’Unione Europea, come il Libro Bianco sull’intelligenza artificiale del 2020 e l’Artificial Intelligence Act (AIA), elaborato già a partire dall’anno successivo ma approvato nel 2024, che rappresenta il primo atto normativo al mondo teso a disciplinare compiutamente la materia.

Vengono citati anche il principio di trasparenza e l’approccio risk-based previsti dal legislatore comunitario, che sceglie di graduare i livelli di rischio – minimo, alto, inaccettabile – legati all’utilizzo dell’IA, imponendo regole via via più rigorose quanto maggiore sia il livello individuato.

Si menzionano inoltre l’Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence emanato dalla Casa Bianca nel 2023 e le norme adottate al riguardo da altri Paesi quali Cina, Svizzera e UK; nonché le iniziative di organizzazioni sovranazionali come l’ONU e il Consiglio d’Europa.

In particolare si ricorda come quest’ultimo abbia recentemente elaborato la Framework convention on Artificial Intelligence, Human Rights, Democracy and the Rule of Law, che sarà aperta alla firma a partire dal prossimo settembre.

Aspetti critici e responsabilità derivanti dall’uso dell’Intelligenza Artificiale

Il documento passa, poi, ad analizzare le problematiche connesse all’adozione dei sistemi di Intelligenza Artificiale.

La prima difficoltà individuata è l’assenza di una normativa specifica circa la responsabilità per i danni derivanti dai sistemi AI, che secondo un’indagine del 2020 rappresenta uno dei principali ostacoli alla sua adozione da parte delle imprese.

Da qui, l’opportunità di “integrare tale disciplina per poter fornire una maggiore tutela ai consumatori e agli operatori economici in tutto il Mercato comune europeo”.

Nel testo si ricorda che l’Italia è stata “tra i primi Stati membri a introdurre una disposizione sulla responsabilità civile per i veicoli a guida automatica, prevedendo l’obbligo di assicurazione per veicoli dotati «di tecnologie capaci di adottare e attuare comportamenti di guida senza l’intervento attivo del guidatore, in determinati ambiti stradali e condizioni esterne»”.

Fonte: Commissione europea

Vengono poi considerate le questioni relative al diritto d’autore, ricordando che da un lato “l’utilizzo di IA generativa pone delle criticità in relazione al materiale utilizzato per il cosiddetto training dei modelli stessi” e che, dall’altro, “si pone il problema della protezione del prodotto creato tramite strumenti di intelligenza artificiale generativa”.

Citando lo Study on the impact of Artificial Intelligence on the infringement and enforcement of copyright and designs pubblicato dall’European Union Intellectual Property Office (EUIPO) nel 2022, si sottolinea che “l’uso dell’IA è connesso a molteplici opportunità, drivers, limiti e preoccupazioni rispetto al rischio di violazione dei diritti di proprietà intellettuale”; concludendo che “nel disciplinare la protezione giuridica […] dovranno essere considerati fattori come il tipo di contenuto, il grado di intervento umano, la normativa applicabile (anche da un punto di vista di giurisdizione) e gli interessi che entreranno in gioco”.

Intelligenza Artificiale: Profili di Privacy e di Governance

L’ultima parte del documento di analisi si focalizza sugli aspetti legati alla protezione dei dati personali – facendo riferimento anche al complesso tema del Predictive Policing – e alla governance dell’AI.

Sotto il primo profilo si richiama ancora una volta l’AI Act, che contiene “disposizioni precise rispetto agli usi dell’IA ritenuti a rischio inaccettabile” vietando ad esempio “lo scraping non mirato delle immagini facciali, il riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione [e] la categorizzazione biometrica per dedurre dati sensibili, quali l’orientamento sessuale o le convinzioni religiose”.

In attesa della sua piena entrata in vigore si ricorda come abbiano trovato spazio vari interventi delle Autorità di settore, tra cui la limitazione provvisoria del trattamento dei dati degli utenti italiani imposta dal Garante Privacy italiano verso OpenAI.

Rispetto al secondo profilo, si sottolinea come esistano già diversi organismi deputati a coordinare le azioni di governance dell’Intelligenza Artificiale nel contesto comunitario.

Si tratta dell’Ufficio per l’IA e del Comitato europeo per l’IA, oltre alle nuove entità istituite dall’AIA: il “gruppo di esperti indipendenti” incaricato di fornire consulenze tecniche al suddetto Ufficio e il Forum consultivo, composto da una selezione di stakeholder rilevanti per la materia, che rappresenterà “un canale di feedback per la Commissione e il Consiglio, assicurando una rappresentazione bilanciata tra industria, start-up, PMI, società civile e ambiente accademico”.

In conclusione il documento del Senato, richiamando l’attività del legislatore nazionale – in particolare la Strategia Italiana per l’Intelligenza Artificiale 2024-2026, nella quale essa è considerata una “questione di sicurezza nazionale” – restituisce la complessità legata alla regolamentazione dell’Intelligenza Artificiale, ribadendo l’obiettivo di favorire “una trasformazione digitale inclusiva […] che sostenga la crescita economica e lo sviluppo sostenibile, in linea con i valori democratici condivisi e il rispetto dei diritti umani”.

L’Intelligenza Artificiale rappresenta una delle più grandi rivoluzioni tecnologiche della storia. Per coglierne appieno i benefici, minimizzando i rischi, è essenziale un approccio equilibrato che coniughi innovazione, etica e tutela dei diritti fondamentali. Solo attraverso una governance multilivello e un dialogo costante tra istituzioni, esperti e società civile sarà possibile plasmare un futuro in cui l’IA sia davvero al servizio dell’umanità.

AI Impact Assessment: valutare l’impatto dell’Intelligenza Artificiale

L’AI Impact Assessment (AIIA) sta emergendo come strumento cruciale per gestire i rischi e massimizzare i benefici dei sistemi di Intelligenza Artificiale. Questo processo di valutazione sistematica mira a identificare, analizzare e mitigare i potenziali impatti negativi dell’AI sulla società, l’economia e i diritti individuali.

L’Artificial Intelligence Act dell’UE introduce l’obbligo di condurre valutazioni d’impatto per i sistemi AI ad alto rischio. Questo requisito riflette la crescente consapevolezza che l’AI, pur offrendo enormi opportunità, può anche comportare rischi significativi se non adeguatamente regolamentata e monitorata.

Secondo il Joint Research Centre della Commissione Europea, l’AIIA dovrebbe essere concepito come un processo iterativo che accompagni lo sviluppo e l’implementazione dei sistemi AI lungo tutto il loro ciclo di vita.

Nel report “AI WATCH: Artificial Intelligence Impact Assessment”, il JRC sottolinea l’importanza di un approccio multidisciplinare che coinvolga esperti di diverse aree, dai tecnici agli esperti di etica e scienze sociali.

Gli elementi chiave di un AI Impact Assessment includono:

1. Analisi del contesto: valutazione dell’ambiente in cui il sistema AI verrà utilizzato.
2. Identificazione degli stakeholder: mappatura di tutti i soggetti potenzialmente influenzati dal sistema.
3. Valutazione dei rischi: identificazione e quantificazione dei possibili impatti negativi.
4. Misure di mitigazione: sviluppo di strategie per ridurre o eliminare i rischi identificati.
5. Monitoraggio continuo: implementazione di meccanismi per valutare l’impatto del sistema nel tempo.

L’OCSE, nel suo documento “State of implementation of the OECD AI Principles”, evidenzia come diversi paesi stiano già adottando framework specifici per l’AIIA.

Ad esempio il Canada ha sviluppato uno strumento di valutazione dell’impatto algoritmico per le agenzie governative, mentre il Regno Unito ha introdotto delle linee guida per l’uso etico dell’AI nel settore pubblico.

In Italia, il Comitato Nazionale per la Bioetica ha sottolineato l’importanza di integrare le valutazioni d’impatto dell’AI con considerazioni etiche. Nel parere “Intelligenza Artificiale e Medicina: Aspetti Etici”, il Comitato raccomanda che l’AIIA includa una valutazione approfondita delle implicazioni etiche, soprattutto in ambiti sensibili come la sanità.

L’AI Impact Assessment si configura quindi come un elemento chiave nella governance responsabile dell’Intelligenza Artificiale. Esso rappresenta un ponte tra l’innovazione tecnologica e la tutela dei diritti individuali, contribuendo a creare ecosistemi AI che siano non solo avanzati, ma anche etici e sostenibili.

La sfida per il futuro sarà quella di standardizzare le metodologie di AIIA, garantendo al contempo la flessibilità necessaria per adattarsi ai rapidi progressi tecnologici e alle diverse esigenze settoriali. Sarà essenziale, inoltre, promuovere una cultura della valutazione d’impatto tra gli sviluppatori e gli implementatori di sistemi AI, affinché l’AIIA diventi una prassi consolidata e non un mero adempimento normativo.

In conclusione, l’AI Impact Assessment si sta affermando come uno strumento indispensabile per guidare lo sviluppo e l’adozione responsabile dell’Intelligenza Artificiale, contribuendo a plasmare un futuro in cui l’innovazione tecnologica proceda di pari passo con il benessere sociale e la tutela dei diritti fondamentali.

https://www.ictsecuritymagazine.com/notizie/intelligenza-artificiale/

Nel precedente articolo sono state prese in esame la disciplina in materia di trattamento dei dati personali prevista dal GDPR e le figure ad esso deputate.

Tuttavia, dal tenore del nuovo art. 2-quaterdecies del D.lgs 196/2003^[1] risulta evidente come la sola dicotomia titolare-responsabile non sia sufficiente a ricostruire l’intera catena organizzativa nell’ambito di un trattamento, data la pluralità degli attori^[2] presenti.

Il titolare che intenda avvalersi di collaboratori è tenuto, prima di avviare un qualsiasi trattamento, ad individuare, formare e istruire i singoli soggetti autorizzati al trattamento stesso; in tal senso è utile richiamare la disciplina dell’art. 29^[3] del GDPR che, nel richiedere l’adozione di misure organizzative, richiama il principio di accountability.

Come detto i soggetti autorizzati, quali figure di supporto al titolare o al responsabile, per poter essere nominati devono essere destinatari, prima dell’avvio del trattamento dei dati personali, di formazione adeguata nonché di istruzioni differenziate in ragione delle competenze essi attribuite, essendo evidente il divieto per ciascun soggetto di trattare dati sotto l’autorità del titolare in carenza di una designazione espressa e coerente con i compiti o le funzioni ad esso attribuite. Tra i soggetti autorizzati al trattamento rientra la figura dell’amministratore di sistema che seppur non espressamente richiamata nel GDPR viene definita nel provvedimento dell’Autorità Garante^[4]

L’insieme delle misure adottate – nonché di ogni altra informazione richiesta dal GDPR o comunque necessaria in ragione del caso concreto – dev’essere annotato nei registri di trattamento ai sensi dell’art. 30 del GDPR a cura del titolare e del responsabile del trattamento, cui spetta inoltre la loro tenuta.

Il registro dei trattamenti ex art 30 del GDPR è dunque sempre obbligatorio (ad esclusione dei casi previsti dall’art. 30 paragrafo 5 del GDPR^[5]) e rappresenta al tempo stesso uno strumento di accountability e di cooperazione con l’Autorità Garante.

Questa seconda definizione discende dall’essere la prima documentazione che il titolare deve mettere a disposizione dell’Autorità per consentirle di verificare, comprovandola, la coerenza al GDPR dei trattamenti posti in essere.

Il registro deve contenere almeno le informazioni elencate nei paragrafi 1 e 2 e descrivere in forma sintetica tutti i trattamenti effettuati dal titolare e/o dal responsabile; nonché essere costantemente aggiornato ad ogni variazione dei contenuti o integrato con l’inserimento dei nuovi trattamenti, deducendosi quindi il suo carattere dinamico e non statico. La compilazione, inoltre, dovrà avvenire al termine di un censimento dei dati trattati e solo dopo aver effettuato un’attenta e puntuale mappatura dei processi e dei procedimenti (trattamenti), corredata dalle finalità e da ogni altra informazione utile.

Il principio di accountability è anche nella cooperazione del titolare con l’Autorità Garante (munita tra l’altro dei poteri di cui all’art 58 GDPR), anche ribadita nell’art. 30 par. 4 . L’art. 31 contiene dunque un obbligo di carattere generale che implica un controllo non limitato ai soli registri ma a tutte le attività di ispezione e controllo^[6] e tale, da un lato, da attestare la conformità al GDPR e, dall’altro, di consentire un monitoraggio sulle attività svolte. Le attività ispettive sono effettuate a norma del Regolamento deliberato dall’Autorità Garante n. 1 del 2021^[7].

I principi di privacy by design e privacy by default e le conseguenti misure tecniche organizzative si traducono nell’obbligo generale di sicurezza declinato nell’art. 32 (il cui principio è contenuto nell’art 5, par 1 lett. f) GDPR).

Il titolare è tenuto ad applicare il principio di responsabilizzazione enunciato nell’art. 5 par. 1 mediante l’adozione di misure adeguate, che devono essere, se necessario, periodicamente riesaminate e aggiornate, nonché a comprovare il rispetto e l’efficacia delle stesse come prescritto anche dall’art. 24.)

In tale contesto gli artt. 25 e 32 concorrono ad elencare alcune misure tecniche che si differenziano dalle misure organizzative (consistendo queste ultime nella suddivisione delle responsabilità). A titolo esemplificativo ma non esaustivo citiamo la nomina del responsabile, ove necessario; redazione di apposite policy interne; la nomina dei soggetti autorizzati al trattamento con annesse le relative istruzioni; la nomina dell’amministratore di sistema e del Responsabile protezione dei dati; la formazione, etc.

Una violazione dei dati personali^[8] (data breach) può comprometterne la riservatezza, l’integrità o la disponibilità ma rappresenta altresì un indice di funzionalità del sistema di accountability progettato dal titolare, nonché l’opportunità di affrontare con maggior consapevolezza la verifica dei processi di trattamento per individuare i contesti che necessitano di aggiornamenti, così da renderli maggiormente coerenti con il GDPR. Quest’ultimo, dopo aver definito la violazione dei dati personali(art. 4 par. 1 n. 12) agli artt. 33 e 34 regolamenta, rispettivamente, la materia della notifica di una violazione dei dati personali all’autorità di controllo e la comunicazione di una violazione dei dati personali all’interessato.

Il titolare, a norma dell’art. 33 del GDPR, è tenuto a notificare all’Autorità Garante la violazione dei dati personali, a meno che non sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oggetto della tutela non sono infatti i dati personali in sé ma i diritti e le libertà delle persone fisiche a cui fanno riferimento.

La notifica – da trasmettersi, ove possibile, entro 72 ore dall’avvenuta conoscenza – deve evidenziare almeno le seguenti indicazioni: la descrizione dell’evento; il numero approssimativo e le categorie di persone fisiche e dati coinvolti; le informazioni di contatto del Responsabile della protezione dei dati personali o altri contatti presso cui ottenere più informazioni; la descrizione, in termini di probabilità, delle conseguenze dell’incidente e delle misure adottate o di cui si propone l’adozione per attenuare gli effetti negativi, oltre agli elementi richiesti nel modello predisposto dall’Autorità Garante^[9] a cui si rinvia. La notifica, se trasmessa oltre le 72 ore dall’avvenuta conoscenza, deve essere corredata dai motivi del ritardo. Sempre in ottica di accountability, il titolare è tenuto a compilare un apposito registro delle violazioni nel quale dovranno essere annotate sia le violazioni oggetto di notifica sia quelle per cui la notifica non è stata necessaria, corredata dalle motivazioni, al fine di consentire all’Autorità Garante ogni verifica circa la corretta applicazione dell’art. 33 GDPR da parte del titolare.

In presenza di una violazione dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche il titolare è tenuto, a norma dell’art. 34, a notificare l’ accaduto anche all’interessato, senza ingiustificato ritardo e con linguaggio semplice, unitamente alle seguenti informazioni:

1. il nome e i dati del responsabile della protezione dei dati o di altro contatto presso cui ottenere più informazioni;
2. le probabili conseguenze della violazione dei dati personali;
3. le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Medesimo tenore si riscontra nel Considerando n. 85 del GDPR^[10] che, seppur in un’ottica di prevenzione post-violazione, richiama i possibili rischi per gli interessati.

La comunicazione all’interessato deve avvenire in ragione dei livelli di rischio evidenziati nelle linee guida richiamate nella nota n. 15; mentre sempre l’art. 34 individua i casi in cui il titolare è esonerato dall’obbligo di comunicazione e le modalità alternative alla comunicazione diretta al singolo interessato, nonché i poteri dell’Autorità Garante in caso di inerzia del titolare.

Non può dubitarsi che la logica dell’art. 34 GDPR sia quella di una procedimentalizzazione della gestione dell’eventuale rischio connesso al verificarsi del data breach^[11], secondo un modello di notification che in passato era stato utilizzato in maniera eterogenea, tanto in tema di misure applicabili alla notifica delle violazioni di dati personali (a norma della Direttiva 2002/58/CE) quanto, in un altro ambito e con diverse finalità, della Direttiva 31/2000 in materia di responsabilità degli internet service provider.

Gli art. 35 e 36 sono norme generali e procedurali per la gestione del rischio il cui intento deve essere ricercato nell’aumentare l’aderenza del trattamento al GDPR e, in tale ottica, l’analisi del rischio^[12] e le misure adottate dovranno essere comprovate. Nel dubbio, la valutazione d’impatto deve essere sempre eseguita.

Anche l’istituto della valutazione d’impatto è orientato al principio di accountability, afferendo quest’ultima alla fase della progettazione del trattamento, da doversi eseguire nei casi previsti e con le modalità dall’art. 35 paragrafo 1^[13] poiché ciascun trattamento di dati personali implica comunque un rischio ed è onere del titolare mitigarlo con le adeguate misure tecniche e organizzative.

Il successivo par. 3 individua poi, nell’ambito del paragrafo 1, i seguenti casi nei quali la valutazione d’impatto è richiesta:

1. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato(compresa la profilazione) e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
2. il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

L’Autorità Garante, in forza del successivo paragrafo 4, ha redatto una lista di trattamenti^[14] per il quali la valutazione d’impatto è obbligatoria.

Da ultimo, a norma dell’art. 35 par. 11, se necessario il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati, almeno quando insorgano variazioni del rischio rappresentato dalle attività relative al trattamento.

L’art. 36 – rubricato “consultazione preventiva” – regolamenta una fase eventuale e successiva rispetto alla valutazione d’impatto sopra richiamata, la cui finalità è il coinvolgimento dell’Autorità Garante da parte del titolare nell’ipotesi in cui, all’esito dell’analisi del rischio, sia presente un rischio residuale ancora elevato^[15].

La consultazione preventiva è procedimentalizzata nei paragrafi 2 e 3 dell’art. 36: nell’ipotesi di trattamenti non in linea con il GDPR, l’Autorità Garante provvederà a fornire al titolare un parere scritto e non un’autorizzazione, in coerenza con il principio di accountability, in quanto le scelte restano sempre di competenza del titolare. A presidio della mancata applicazione degli artt. 35 e 36, sono previste le sanzioni di cui all’art. 83 par. 4 lett. a) del GDPR.

Sempre in ambito di accountability occorre evidenziare la nuova figura introdotta dal GDPR, il Responsabile della Protezione dei Dati (RPD), la cui disciplina e funzioni sono contenute negli art. 37-39. Per quanto di interesse in questa sede, va sottolineato il ruolo centrale che assume^[16]: titolare e responsabile assicurano infatti il tempestivo e adeguato coinvolgimento dell’RPD in tutte le questioni riguardanti la protezione dei dati personali, potendo questi intervenire nelle fasi sia preliminari che successive dei trattamenti al fine di consentire la corretta applicazione del regolamento. Ma il RPD, come in precedenza evidenziato, è anche punto di contatto e strumento di cooperazione con l’Autorità Garante.

Da ultimo, si rappresenta come l’accountability si componga di almeno tre elementi:

1. la “trasparenza”, come garanzia da parte del titolare circa la completa accessibilità alle informazioni per gli interessati;
2. l’”accountability” vera e propria, ovvero la capacità del titolare di rendere conto di scelte, comportamenti e azioni;
3. la “compliance”, come capacità di rispettare le norme da parte del titolare.

La mancata osservanza da parte del titolare della disciplina vigente in materia di protezione dei dati personali – quindi non solo il GDPR ma anche la disciplina collegata – o l’impossibilità per quest’ultimo di dimostrare la propria accountability lo pone nella condizione di essere destinatario delle sanzioni amministrative previste dal Regolamento, dal codice privacy e da altre disposizioni vigenti in materia, nonché dalle relative norme penali.

L’irrogazione della sanzione da parte dell’Autorità Garante lascia impregiudicata la possibilità dell’interessato di agire civilmente, nei confronti del titolare, per il risarcimento del danno sofferto.

Note

^[1] Art. 29 – Attribuzione di funzioni e compiti a soggetti designati

Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.

Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta.

^[2] La protezione dei dati deve «palesarsi come una catena solida non soltanto nelle sue maglie principali “titolare” e responsabile” (…) ma anche in quelle, gli incaricati che seppure non onerate da compiti e responsabilità specifiche nei confronti degli interessati e autorità di controllo, contribuiscono sensibilmente alla tenuta della protezione dei dati personali». Come è stato correttamente osservato da Nocera, Commento all’art. 2-quaterdecies in Sciaudone, Caravà (a cura di), Il Codice della privacy, Pisa, 2019, p. 171.

^[3] Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento – Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

^[4] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/1577499

^[5] Art. 30 – Registri delle attività di trattamento

[omissis]

Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

^[6] Così pure Cavalcanti, Miele, commento all’art 31 del Regolamento, in D’Agostino, Barlassina, Colarocco (a cura di) Commentario al Regolamento UE 2016/679 e al codice della privacy aggiornato, Milano, 2019, 204.

^[7] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9107633

^[8] Art. 4 par. 1 n. 12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

^[9] https://servizi.gpdp.it/databreach/s/ e https://ec.europa.eu/newsroom/article29/items/612052/en

^[10] “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata”.

^[11] Si esprime in tal senso Montalero, La gestione del rischio, in Finocchiaro, La protezione dei dati personali, Torino, 2019, 520-521.

^[12]https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9254237

^[13] Art. 35 GDPR – Valutazione d’impatto sulla protezione dei dati

1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.
3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
4. a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
5. b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
6. c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
7. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.
8. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.
9. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.
10. La valutazione contiene almeno:
11. a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
12. b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
13. c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
14. d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
15. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.
16. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
17. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.
18. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

^[14] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9058979

^[15] https://ec.europa.eu/newsroom/article29/items/611236/en e https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9059358

^[16] Articolo 39 – Compiti del responsabile della protezione dei dati

1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
2. a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
3. b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
4. c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
5. d) cooperare con l’autorità di controllo;
6. e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
7. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Articolo a cura di Massimo Ippoliti

Profilo Autore

Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.

https://www.ictsecuritymagazine.com/articoli/il-principio-di-accountabilty-nel-nuovo-regolamento-ue-2016-679-seconda-parte/

Con l’entrata in vigore del Regolamento UE 2016/679 (di seguito “GDPR”), il concetto di “dato proprietario” si evolve nel concetto di “controllo del dato”, per agevolare così la libera circolazione dei dati personali. Ne è riprova l’art. 1 del GDPR, che al paragrafo 1 recita: “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati”. Ai sensi del par. 3, la libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Attori e criteri del trattamento dei dati nel GDPR

In questo rinnovato contesto e al fine di proteggere i diritti e le libertà fondamentali delle persone fisiche – in particolare il diritto alla protezione dei dati personali – l’art. 1, par. 2 del GDPR ha introdotto alcune importanti novità nella disciplina del trattamento dei dati personali^[1], la più rilevante delle quali attiene al nuovo approccio al rischio basato sul principio di accountability (responsabilizzazione). Saranno di seguito brevemente esaminati alcuni articoli del GDPR nei quali è riscontrabile il predetto principio, strettamente connesso alla compliance del titolare del trattamento.

Tale principio non rappresenta una novità, anzi: il suo esordio è avvenuto inizialmente con la Convenzione OCSE del 1980, il cui Par. 14 recita: “Il responsabile del trattamento dei dati dovrebbe essere responsabile del rispetto delle misure che rendono effettivi i principi indicati sopra” e successivamente ha trovato collocazione nel Parere n. 3/2010 del gruppo WP 29^[2]. Trattasi dunque di un principio “ampio”, idoneo a permeare le varie fasi nelle quali il trattamento si articola, che richiede un approccio di tipo dinamico e non statico tale da manifestarsi in un modello organizzativo in costante evoluzione.

Figura principale del principio di accountability è il titolare del trattamento^[3] (oppure i contitolari, in presenza di più titolari) che assume tale ruolo non in virtù di una disposizione ma ipso iure quando, “singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” ai sensi dell’art. 4, par. 1 n. 7 del GDPR^[4]. Analogo ragionamento deve essere svolto nell’ipotesi di determinazioni dei mezzi e delle finalità del trattamento dei dati personali tra due o più titolari, quando si rientra nell’istituto della contitolarità ex art 26^[5] del GDPR.

Il regime di contitolarità^[6] non si instaura a seguito di un accordo tra due o più contitolari ma con la presenza degli elementi costitutivi della titolarità; e cioè la determinazione congiunta delle finalità e dei mezzi per uno o più trattamenti.

Esaminati brevemente sia la figura che gli elementi costitutivi del titolare e dei contitolari, occorre evidenziare il rilievo del principio di accountability in alcune fasi del trattamento (che decorre dalla fase di progettazione per giungere alla sua conclusione, ivi inclusa la fase di conservazione e/o eliminazione dei dati personali oggetto del trattamento).

Il titolare oppure i contitolari del trattamento sono tenuti a comprovare che il trattamento dei dati personali sia svolto in coerenza con l’art. 5 del GDPR; in particolare, dopo aver assunto le misure di sicurezza (art. 5 par. 1 lett. f) e verificata l’efficacia delle stesse, sono tenuti, se necessario, a riesaminarle e ad aggiornarle a conferma della dinamicità del principio di accountability.

La protezione dei dati personali fin dalla progettazione di un trattamento, così come la protezione per impostazione predefinita, è un’attività necessaria per poter avviare qualsiasi trattamento: entrambe implicano l’adozione di misure tecniche e organizzative adeguate alla luce delle analisi dei rischi, se necessario della valutazione d’impatto e da ultimo, ricorrendone i presupposti, della consultazione preventiva, così da soddisfare i requisiti ex art. 25 del GDPR.

Con l’avvio del trattamento il titolare è tenuto, ai sensi degli art. 13 e 14, a rendere a ciascun interessato l’informativa per comunicare gli elementi essenziali del trattamento – quali ad esempio il titolare, il responsabile per la per la protezione dei dati, le basi giuridiche, le finalità etc. – nonché per comunicare il procedimento per l’esercizio dei diritti che il Regolamento gli attribuisce.

Tra le basi giuridiche di cui il titolare può avvalersi c’è il consenso dell’interessato che, come da art. 7 paragrafo 1 del GDPR, può essere acquisito secondo il principio della libertà della forma e in aderenza al principio di responsabilizzazione sancito dall’art. 5 paragrafo 2, che recita: “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali”.

Il Considerando n. 32 del GDPR, poi, specifica quanto segue: “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale”.

Il titolare, ricorrendone la necessità, può nominare un Responsabile ex art. 28^[7] del GDPR purché questi sia in possesso dei requisiti previsti dal paragrafo 1 e cioè, nel caso di trattamenti da effettuarsi per suo conto, deve ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato in omaggio, anche nel caso di specie al principio di accountability.

La nomina di un responsabile, infatti, non esime il titolare dall’eventuale culpa in eligendo nel caso sia nominato un responsabile non in possesso di garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, nonché dalla culpa in vigilando dovuta al mancato controllo delle attività delegate al responsabile ex art. 28 del GDPR.

La forma scritta ad substantiam, anche elettronica, richiesta dall’art. 28 rappresenta infatti solo una cornice del contratto o dell’atto giuridico a norma del diritto dello Stato o dell’Unione che disciplinerà e definirà, in dettaglio, gli elementi richiesti a norma del paragrafo 3^[8] non essendo consentito al titolare delegare il controllo nei confronti del responsabile.

La Commissione, con la decisione in nota^[9], ha recentemente approvato le clausole contrattuali tipo che soddisfano i requisiti per i contratti tra titolari e responsabili del trattamento di cui all’articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 e all’articolo 29, paragrafi 3 e 4, del regolamento (UE) 2018/1725.

Al titolare è richiesto un ruolo “produttivo” per documentare quanto previsto nell’art. 28, par. 1 del GDPR così da poter dimostrare l’accountability. Esso può essere esonerato da rivendicazioni di terzi per azioni cagionate e non conformi ai dettati degli accordi con il responsabile esclusivamente nel caso in cui quest’ultimo (fatti salvi gli arti. 82, 83, e 84) violi il GDPR, determinando finalità e mezzi del trattamento tali da essere considerato egli stesso titolare del trattamento in argomento.

Note

^[1]Art. 4, par. 1 n. 1 – «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

^[2] https://www.garanteprivacy.it/documents/10160/10704/Articolo+29+-+WP173+-+Parere+3+2010+sul+principio+di+responsabilità.pdf/006f43b3-7180-4485-903e-bf8b4f367763?version=1.2

^[3]Art. 4, par. 1 n. 7 – «titolare del trattamento» la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali: quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

^[4] La determinazione congiunta delle finalità e dei mezzi e non l’accordo tra le parti rappresenta il fatto costitutivo della contitolarità. L’autonomia privata, pertanto, non può derogare alle disposizioni poste a presidio dei diritti degli interessati

^[5] Articolo 26 – Contitolari del trattamento

1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che (e nella misura in cui) le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.
2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.
3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

^[6]Tale ricostruzione è confermata in EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR adopted 02 September 2020, n. 61, pagg. 19 e 20, che così recita: “Joint controllership also requires that two or more entities have exerted influence over the means of the processing. This does not mean that, for joint controllership to exist, each entity involved needs in all cases to determine all of the means. Indeed, as clarified by the CJEU, different entities may be involved at different stages of that processing and to different degrees. Different joint controllers may therefore define the means of the processing to a different extent, depending on who is effectively in a position to do so.”

Analoga ricostruzione è presente nella sentenza judgment in Fashion ID, C-40/17ECLI: EU:2018:1039, paragraph 74.

^[7]Art. 4, par. 1 n. 8 – «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

^[8]Art. 28 – Responsabile del trattamento

[omissis]

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
4. a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
5. b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
6. c) adotti tutte le misure richieste ai sensi dell’articolo 32;
7. d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
8. e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
9. f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
10. g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
11. h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

[omissis].

^[9] Decisione di esecuzione (UE) 2021/915 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e dell’articolo 29, paragrafo 7, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (Testo rilevante ai fini del SEE) https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32021D0915&from=EN.

Articolo a cura di Massimo Ippoliti

Profilo Autore

Tecnologo presso l’UAIG del CNR.
Abilitato all’esercizio della professione forense.

https://www.ictsecuritymagazine.com/articoli/il-principio-di-accountabilty-nel-nuovo-regolamento-ue-2016-679-prima-parte/

Three North Carolina police officers were fired from their jobs this week after investigators found incredibly racist, troubling conversations, and threats of violence accidentally recorded by the cops’ own dashboard camera.

The dashboard camera in Officer Kevin Piner’s patrol car captured more than 46 minutes of relevant footage from a two-hour recording, Wilmington Police Chief Donny Williams said Wednesday.

According to the department’s report (PDF), Piner’s camera was recording due to “accidental activation.” That activation ended up capturing Piner and two other officers, Jessie Moore and Brian Gilmore—all white—discussing Black members of the force as well as local protesters, using well-known racist slurs. At one point, Moore said a local magistrate, a Black woman, “needed a bullet in her head,” before the three discussed their feelings that a civil war was coming, for which all three claimed to be ready. “We are just gonna go out and start slaughtering them fucking n——s,” Piner added.

The conversations “were brutally offensive and deserved immediate action,” Williams said. “When I first learned of these conversations, I was shocked, saddened, and disgusted. There is no place for this behavior in our agency or our city and it will not be tolerated.”

Williams also added that he was petitioning the court to determine whether the footage could be released publicly, in accordance with North Carolina law.

Proof vs. accountability

Police body or dashboard-mounted cameras are often promoted as a boon to police accountability, and the Wilmington case seems to prove why.

Many state and local governments have rushed to adopt resolutions in recent weeks calling for increased camera usage or funding, in response the ongoing nationwide protest movement against police brutality and in support of Black communities. In New York state, for example, the state Assembly just passed legislation requiring body cameras for all state police. Speaker Carl Heastie said about the measure, “As one of the largest state police agencies in the country, the New York State Police should be one of the first agencies to set an example, to show others how to properly use body cams to deliver transparency and accountability to the public.”

Sometimes the footage does indeed work as intended. In 2017, for example, 34 criminal cases were thrown out in Maryland after footage from body-worn cameras showed police planting drugs near suspects.

But the technology is not in and of itself a panacea. “Police departments large and small are rolling out expensive body-camera programs without consistent answers to the questions or, according to policy experts, convincing evidence that the cameras ensure the level of accountability that the public demands,” The New York Times reported back in 2017, and those questions do not yet seem to have answers.

A study conducted in Washington, DC, in 2017 found no change in police behavior or citizen complaints after police in the nation’s capital began wearing body cameras. In 2019, researchers who published a meta-analysis of 70 studies on police body-worn cameras found that DC was not alone, and cameras did not have “a consistent or significant effect” on officer behavior or complaints overall.

Privacy

Privacy advocates have also warned consistently about the dangers posed by body-worn police cameras, not only when police are speaking with individuals who deserve privacy, but also in situations such as mass protests when demonstrators believe they have anonymity.

“Reform activists should not simply demand hardware,” the American Civil Liberties Union wrote in a blog post today. “They should demand effective body camera programs, which include not just cameras but also strong policies and institutional practices to make those cameras effective.”

https://arstechnica.com/?p=1687433

Take accountability for the situations you end up in, not just to better yourself but to positively impact those around you. https://www.entrepreneur.com/article/320226