I riferimenti normativi della disciplina del data breach nel Regolamento Europeo 2016/679 – GDPR sono da individuarsi nelle disposizioni di cui agli artt. 33, 34, rubricati rispettivamente “Notifica di una violazione di dati personali all’autorità di controllo” e “Comunicazione di una violazione dei dati personali all’interessato”, inoltre, deve ritenersi imprescindibile il richiamo ai considerando da 85 a 88 con i quali il Regolamento chiarisce, tra l’altro, cosa deve intendersi per data breach.
Data breach e data breach notification
Sostanzialmente, per data breach deve intendersi qualsiasi “incidente” che possa costituire una violazione dei dati personali trattati dal titolare, sia essa causata da un accesso abusivo ai dati, ovvero da una perdita della disponibilità o dalla modifica dei dati trattati. Dunque, potrà essere qualificato come data breach non soltanto l’accesso abusivo ai dati in un sistema informatico, ma, bensì, qualsiasi accesso ai dati personali che sia illegittimo e rilevante, nonché la distruzione, la perdita o la modifica di dati personali qualora si debba ritenere che ne possa conseguire un rischio di violazione dei dati stessi.
Per violazione dei dati personali deve intendersi qualsiasi trattamento illegittimo dei dati relativi a persone fisiche, per tanto, potrà qualificarsi data breach ogni evento che determini la illegittima divulgazione o modifica oppure la illegittima perdita della disponibilità dei dati personali trattati.
A titolo meramente esemplificativo, possiamo affermare che le cause di un evento data breach possono essere di diversa natura, basti pensare alla violazione di dati costituita dallo smarrimento di un driver portatile contenente dati personali non adeguatamente protetti, oppure al verificarsi di calamità naturali o eventi fortuiti quali inondazioni, allagamenti o incendi che possano determinare la distruzione, il danneggiamento o lo smarrimento di archivi di dati sia cartacei che informatici.
I casi che si verificano nella realtà sono disparati, certamente, l’attacco hacker, o comunque l’intrusione illecita nei sistemi informatici, costituisce una delle principali cause di data breach.
L’art. 33 GDPR prevede che il titolare del trattamento dei dati, qualora si verifichi una violazione dei dati e ne ravvisi l’opportunità con riferimento ad un alto rischio per i diritti e le libertà delle persone fisiche, è sottoposto all’obbligo di rappresentare, mediante notifica, l’accaduto alla competente autorità di controllo ed è previsto espressamente l’obbligo che ciò avvenga, ove possibile, entro 72 ore che decorrono dal momento in cui il titolare è venuto a conoscenza della violazione, in ogni caso senza indebito ritardo.
La notifica va effettuata all’autorità di controllo competente a seconda del luogo in cui sia avvenuta la violazione, in Italia sarà l’Autorità Garante per la protezione dei dati personali che, ad oggi, indica di trasmettere la notifica ad un indirizzo p.e.c. dedicato.
La notifica di data breach all’autorità di controllo deve contenere una dettagliata ricostruzione della violazione avvenuta, corredata dalla rappresentazione delle cause che hanno potuto determinarla, oltre che dalla indicazione delle misure che il titolare stesso aveva adottato per evitare proprio la violazione dei dati.
Inoltre, la notifica deve contenere la stima delle possibili conseguenze pregiudizievoli per gli interessati i cui dati si assumono violati, nonché l’indicazione delle misure adottate per contenere e mitigare tale pregiudizio.
Dunque, in primis, sarà opportuno descrivere sinteticamente l’architettura dei sistemi di trattamento informatici o manuali oggetto della violazione, subito dopo bisognerà rappresentare, per quanto possibile, l’indicazione delle categorie e del numero degli interessati i cui dati si assumono violati e specificare una stima dell’eventuale impatto della violazione sulla riservatezza, sull’integrità o sulla disponibilità dei dati. Qualora, in base alle circostanze del caso concreto, non sarà possibile individuare nell’immediatezza il numero esatto degli interessati coinvolti, l’indicazione completa potrà essere fornita in un secondo tempo con ulteriori comunicazioni aggiuntive.
L’art. 34 GDPR disciplina l’obbligo che incombe in capo al titolare del trattamento dei dati, in caso di data breach, di comunicare agli interessati, senza ingiustificato ritardo, l’avvenuta violazione qualora si ravvisi la sussistenza di un rischio elevato per i diritti e le libertà delle persone fisiche.
Dunque, il titolare, compiute le valutazioni del caso, è tenuto a determinarsi sia per l’eventuale notifica all’autorità di controllo, sia per l’eventuale comunicazione agli interessati i cui dati si assumono violati, nell’ottica di eliminare o, quantomeno, ridurre, per quanto possibile, le conseguenze pregiudizievoli del potenziale illecito trattamento dei dati personali.
Il titolare può essere tenuto a comunicare agli interessati anche la indicazione delle misure di cautela che gli stessi possono adottare, quali, emblematicamente, l’immediato cambio della password qualora si tratti dell’accesso abusivo ad indirizzi e-mail.
La norma, tuttavia, esclude espressamente l’obbligo della comunicazione agli interessati qualora si possa ritenere che, per le misure adottate in precedenza, oppure per le misure poste in essere in conseguenza della violazione, il rischio per i dati violati non sia effettivamente alto.
Al riguardo, ad esempio, nell’ipotesi di dati trafugati mediante attacco hacker, si potrà, eventualmente, ritenere che la misura di sicurezza adottata preventivamente mediante la cifratura dei dati stessi possa essere sufficiente ad escludere la sussistenza di rischi effettivi di illecito trattamento, chiaramente qualora sia possibile comprovare l’effettività della valutazione compiuta.
Allo stesso modo, nella valutazione da compiere circa i rischi, anche soltanto potenziali, del data breach sarà fondamentale soppesare la natura dei dati personali in rilievo, qualora, ad esempio, si tratti di dati sanitari o giudiziari va da sé che il livello di rischio è da qualificarsi alto.
Inoltre, è prevista espressamente l’esclusione dell’obbligo della comunicazione agli interessati qualora si possa ritenere che comporti uno sforzo sproporzionato.
Il GDPR non disciplina espressamente le modalità con cui deve eventualmente avvenire la comunicazione agli interessati, deve ritenersi, anche in base all’approccio sostanzialista della riforma europea della data protection, che sarà consentito al titolare di valutare se la comunicazione potrà avvenire anche mediante strumenti quali e-mail o sms, piuttosto che attraverso la pubblicazione sul proprio sito web.
In ogni caso, l’art. 34 dispone espressamente che la comunicazione agli interessati deve avere un linguaggio “semplice e chiaro”, con ciò dovendosi intendere che sarà opportuno comunicare con un linguaggio scevro da tecnicismi giuridici non indispensabili, effettivamente fruibile a tutti gli interessati.
Ebbene, dalla lettera delle richiamate disposizioni normative, è di tutta evidenza che anche la disciplina del data breach, e di quello che possiamo definire come procedimento di data breach notification, è interamente permeata da quel principio fondamentale e fortemente innovativo che ispira l’intera riforma della protezione dei dati personali a cui guarda il legislatore europeo con il GDPR, ovvero il principio di accountability, chiave di lettura imprescindibile per la corretta comprensione e per la valida applicazione del Regolamento.
Data breach e accountability, la policy.
Il principio di accountability ispira l’intero corpus normativo del GDPR, invero, non vi è norma o istituto del Regolamento che non sia collegato a tale principio, il data breach non fa eccezione, anzi.
Accountabiliy viene tradotto come “responsabilizzazione” da riferirsi al titolare ed ai principali soggetti del trattamento dei dati personali.
In realtà, possiamo affermare che il significato più profondo ed effettivo di tale principio è dato dalla scelta del Legislatore europeo di demandare al titolare del trattamento dei dati la responsabilità della autovalutazione della propria dimensione e della propria realtà di ente, azienda o professionista in riferimento a tutti i trattamenti dei dati personali effettuati per lo svolgimento della propria attività.
Il titolare, invero, dovrà autodeterminare tutte le procedure e misure da porre in essere per garantire che il trattamento dei dati sia effettuato su base legittima ed in maniera conforme alla normativa, idonea a scongiurare, per quanto possibile, la violazione dei dati delle persone fisiche.
Ebbene, soltanto se si assimila il criterio delineato dal principio di accountability si potrà comprendere la portata delle valutazioni che la disciplina prevista dal Regolamento in caso di data breach demanda al titolare del trattamento dei dati.
In caso di violazione dei dati personali, gli obblighi previsti in capo al titolare delineano una sorta di “cartina di tornasole” dell’intero modello organizzativo privacy e data protection preventivamente adottato e costantemente applicato dal titolare.
Soltanto il titolare, che abbia compiuto adeguati impieghi di risorse, predisponendo valide misure di sicurezza, sulla base di valutazioni ispirate da competenza, trasparenza e buona fede, qualora si verifichi una violazione dei dati delle persone fisiche, sarà in grado di cooperare efficacemente con l’autorità di controllo nelle fasi successive al breach.
Invero, all’esito dell’eventuale istruttoria esperita dall’autorità di controllo, un’impresa o ente pubblico potranno essere ritenuti soggetti passivi ed incolpevoli di una violazione dei dati, esenti da provvedimenti e sanzioni, soltanto se, sostanzialmente, sarà “giudicata” adeguata la policy o modello organizzativo privacy adottato in precedenza.
Inoltre, nella dinamica interna ad una azienda o ente con riferimento all’evento data breach, nelle valutazioni da compiere e nelle determinazioni che ne conseguono, un elemento di fondamentale importanza è il fattore tempo, ovvero l’urgenza data dal termine delle 72 ore previsto dalla norma, derogabile soltanto sulla base di adeguate e documentate motivazioni.
Con riguardo al dies a quo di decorrenza di tale termine, le indicazioni fornite nelle “linee guida” dal Working Party 29, Gruppo di lavoro Art. 29, sono nel senso di considerarsi “a conoscenza” di una violazione a partire dal momento in cui si è ragionevolmente certi della compromissione dei dati personali. Quanto alla “flessibilità” del termine sarà bene tenere in considerazione che giustificare i motivi del ritardo può essere un onere di non poco momento, infatti, qualora si sforino le 72 ore, scatta l’ulteriore obbligo di fornire le motivazioni del ritardo, che occorrerà appunto giustificare in maniera dettagliata, offrendo ogni possibile documentazione di supporto, per evitare di incorrere in una procedura per infrazione dei tempi massimi di notifica all’autorità di controllo.
Nella realtà, ad esempio, nell’ipotesi sempre più diffusa dell’azienda che subisce un attacco hacker, può essere molto complesso decidere in un arco temporale molto ristretto se ne possa o meno conseguire un effettivo rischio per la sicurezza dei dati violati e, dunque, se procedere o meno con la notifica del data breach all’autorità di controllo ed, eventualmente, con la comunicazione agli interessati.
Il Legislatore europeo vorrebbe un titolare del trattamento dei dati virtuoso, impegnato ad analizzare, costantemente, la propria organizzazione del trattamento dei dati necessari allo svolgimento della propria attività, anche attraverso, se del caso, gli strumenti innovativi previsti dal GDPR, quali la DPIA ed il registro dei trattamenti. Questi, infatti, sono strumenti dinamici di analisi e monitoraggio costante dei trattamenti di dati personali e della protezione che si è in grado di garantire e consentono, se correttamente adoperati, l’individuazione preventiva dei rischi e delle possibili misure per mitigarne la portata.
Nei contesti aziendali cd. strutturati, nonché negli enti pubblici, deve ritenersi imprescindibile un modello organizzativo di privacy e protezione dei dati validamente predisposto anche per prevedere una ben definita procedura da attivare nell’eventualità in cui si verifichi un data breach, coinvolgendo a diversi livelli i vari soggetti del trattamento dei dati.
Una procedura “interna” di data breach valida ed efficace potrà prevedere, tra l’altro, i criteri guida che saranno utilizzati per svolgere le valutazioni da compiere per l’osservanza degli artt. 33, 34 GDPR.
Il titolare che si determinerà nel senso di occultare la rilevata violazione, non attivandosi per eliminare o mitigare le possibili conseguenze pregiudizievoli ai diritti degli interessati, e non attivando la procedura di notifica con cui, tra l’altro, si richiede la eventuale cooperazione con l’autorità di controllo, sceglie di esporsi sia alle importanti sanzioni per la violazione del GDPR, sia alle eventuali richieste di risarcimento del danno che i singoli interessati potrebbero attivare in conseguenza del data breach.
Allo stesso tempo, non bisogna pensare che qualsiasi violazione dei dati vada necessariamente notificata all’autorità di controllo, in ogni caso, il titolare dovrà, ai sensi dell’art. 33 del GDPR, essere in grado di documentare gli elementi concreti su cui fonda la eventuale valutazione di “archiviare” un data breach, perché in grado di ritenere l’insussistenza di rischi effettivi per i diritti degli interessati, eventualmente per effetto delle misure preventivamente poste in essere.
Invero, vista e considerata la notevole difficoltà delle valutazioni e delle scelte da compiere in caso di data breach, possono adoperarsi strumenti funzionali a delimitarne il campo, ad esempio, l’autorità di controllo britannica ICO ha predisposto uno strumento di self-assessment per agevolare la comprensione di quando notificare una violazione ex art. 33 GDPR, lo strumento è articolato con domande a risposta multipla che consentono di velocizzare le valutazioni da compiere.
In soldoni, in ossequio al principio di accountability, anche con riferimento al verificarsi di una violazione dei dati personali, il titolare del trattamento sarà onerato di comprovare ex post la validità delle valutazioni e delle scelte operate ex ante nella predisposizione ed attuazione del proprio modello organizzativo della data protection.
Sul piano delle conseguenze di un data breach, tra le considerazioni opportune con riferimento alla valida previsione di una policy adeguata ed alla efficace applicazione della stessa, qualora l’evento scongiurato si verifichi, anche lasciando da parte il rischio delle importanti sanzioni, vi è la valutazione delle importanti conseguenze per le aziende anche sul piano della reputazione (in particolar modo se l’azienda svolge la propria attività commerciale mediante vendita di beni o servizi on line); in quest’ottica, la gestione della data protection, di cui la gestione del data breach è parte fondamentale, è da considerarsi per le aziende un elemento di forte rilievo anche sul piano economico/produttivo.
In ogni caso, bisogna tenere presente che, nella disciplina prevista dal GDPR in punto di sanzioni, l’art. 83, rubricato “Condizioni generali per infliggere sanzioni amministrative pecuniarie” dispone una serie di criteri che l’autorità di controllo dovrà osservare nella eventuale applicazione delle sanzioni, tra questi alcuni riguardano la valutazione delle condotte poste in essere in riferimento ad un data breach. Ad esempio, la norma prevede espressamente che l’autorità di controllo dovrà tenere nella debita considerazione la modalità con cui è venuta a conoscenza della violazione, ovvero se in conseguenza della notifica da parte del titolare oppure all’esito di ispezione, ancora tra i criteri vi sono la valutazione del grado di cooperazione con l’autorità di controllo e la possibilità di qualificare il carattere doloso o colposo della violazione.
Per quanto concerne le sanzioni, non va sottaciuto che la violazione dei dati personali, in Italia, può comportare anche l’applicazione di sanzioni penali, invero, il D.lgs. 196/2003 come novellato dal D.lgs. 101/2018, agli art. 167 e seguenti, prevede diverse fattispecie di reato per illecito trattamento di dati, con pene notevolmente inasprite proprio dal predetto D.lgs. 101/2018, con il quale, sostanzialmente, l’Italia ha recepito il GDPR, benché sia un regolamento cd. self-executing ovvero direttamente applicabile in tutti gli stati membri.
Dunque, qualora nella fattispecie concreta di un data breach si possa ravvisare la sussistenza degli elementi costitutivi di una o più fattispecie delittuose previste nel nostro ordinamento, la mancata tutela della sicurezza dei dati trattati può comportare l’applicazione di sanzioni penali che, nei casi più gravi, prevedono un massimo edittale della pena della reclusione fino a sei anni (art. 167-bis). Invero, ai sensi dell’art. 167, comma 5 del D.lgs. 101/2018, è previsto che l’Autorità Garante per la protezione dei dati personali, qualora, nel corso della propria attività di accertamento delle violazioni, ravvisi la sussistenza di elementi che possano far presumere la sussistenza di fattispecie di reato provveda a darne comunicazione al Pubblico Ministero con una relazione motivata.
Il coinvolgimento del DPO nel data breach.
Una violazione all’interno del sistema di trattamento dei dati di aziende strutturate o enti pubblici comporta, inevitabilmente, il coinvolgimento a diversi piani e rilievi dei vari soggetti del trattamento, ognuno con specifici compiti e funzioni con riferimento al trattamento dei dati.
In particolare, qualora l’azienda o ente sia dotata del Data Protection Officer, il responsabile della protezione dei dati dovrà analizzare e valutare l’accaduto e dovrà rappresentare al titolare le proprie determinazioni con riguardo alle azioni da porre in essere, tenuto conto che tra le funzioni espressamente previste dal GDPR nella disciplina dell’istituto del DPO/RDP vi è quella di favorire la cooperazione con l’autorità di controllo.
Inoltre, l’art. 33 del GDPR dispone espressamente che, in caso di notifica di un data breach all’autorità di controllo, questa deve contenere, tra l’altro, l’indicazione del nome e dei dati di contatto del DPO.
Invero, tra le principali innovazioni alla disciplina della privacy e data protection introdotte dal GDPR vi è sicuramente l’istituto del DPO, disciplinato dagli artt. 37, 38, 39 del Regolamento, ove viene chiaramente specificata la funzione di responsabile della protezione dei dati, quale soggetto dotato di adeguate capacità professionali e morali, necessarie a svolgere una funzione particolarmente complessa e delicata che si vuole caratterizzata da autonomia ed indipendenza dal titolare del trattamento dei dati.
Il GDPR nelle norme dedicate alla disciplina del DPO/RDP, delinea una sorta di articolazione filtro tra il titolare del trattamento dei dati e l’autorità di controllo e, allo stesso tempo, attribuisce al DPO la funzione di fornire assistenza agli interessati in caso di data breach.
Dunque, il DPO sarà immancabilmente coinvolto nelle fasi immediatamente successive al verificarsi di una violazione, anche perché tra le sue funzioni, espressamente previste dal Regolamento, vi è quella di supportare il titolare nella corretta gestione del trattamento dei dati, fornendo consulenza con riguardo alla normativa in vigore ed alle misure più opportune da adottare, eventualmente formalizzando le proprie determinazioni circa i rilievi critici individuati ed analizzati con riferimento al trattamento dei dati personali.
Inevitabile, quindi, che il DPO sarà tenuto a supportare il titolare ed indirettamente tutti i principali soggetti del trattamento nelle analisi e valutazioni da compiere in tutte le attività che possono conseguire ad un data breach, in particolare avrà la delicata funzione di supportare il titolare nella scelta di notificare o meno la violazione all’Autorità Garante ed in quella di effettuare la comunicazione agli interessati.
Ed ecco che si comprende facilmente perché il DPO deve possedere comprovati requisiti e capacità professionali, invero, le valutazioni e le attività da compiere necessitano di conoscenza approfondita della normativa in continuo aggiornamento e delle prassi consolidate, accompagnata da un notevole acume giuridico e dalla capacità di analisi dei processi di trattamento dei dati.
Probabilmente, al fine di rendere effettive le funzioni ed i compiti che il legislatore europeo prevede per il DPO, bisognerebbe privilegiare la scelta di nominare un DPO costituito da diversi profili professionali per coadiuvare alla massima protezione dei dati personali trattati.
Ad ogni modo, anche in caso di data breach, non bisogna confondere i piani di responsabilità, infatti, benché il DPO potrà essere valutato per la correttezza e la validità del suo operato, con possibili conseguenze anche in punto di risarcimento danni da responsabilità professionale, il centro di imputazione delle eventuali sanzioni per violazione del GDPR è da individuarsi, in ogni caso, nel titolare del trattamento dei dati, eventualmente ed in solido al responsabile del trattamento dei dati.
Consultazione preventiva
L’istituto della consultazione preventiva è disciplinato all’art. 36 del GDPR che prevede una sorta di adempimento ulteriore che si rende necessario qualora, con riferimento ad uno o più trattamenti di dati personali, l’esito della valutazione d’impatto, ai sensi dell’art. 35 GDPR, faccia emergere delle criticità in termini di rischio elevato per la sicurezza dei dati stessi che, evidentemente, il titolare non è riuscito ad eliminare autonomamente, in tale ipotesi, la norma prevede che il titolare dovrà consultare l’autorità di controllo prima di effettuare il trattamento.
Appare chiaro che non vi sono dei casi “tipici” in cui è previsto l’obbligo della consultazione, bisognerà valutare le specifiche circostanze di ogni singolo caso, sempre in ossequio al principio di accountability.
Tuttavia, anche alla luce delle indicazioni fornite nelle linee guida dal Gruppo di lavoro art. 29, si possono delineare dei criteri di massima, quali l’aspettativa di un potenziale evento di violazione dei dati con carattere di irreversibilità o comunque di notevole entità (a titolo esemplificativo si pensi ad una violazione di dati che possa comportare un pericolo effettivo alla incolumità fisica degli interessati o ad un importante danno finanziario), ovvero l’elevata probabilità che l’evento lesivo possa accadere.
Al riguardo, nella valutazione delle probabilità che l’evento scongiurato si verifichi potrà essere fondamentale la valutazione di eventuali precedenti specifici.
Nella comunicazione del parere preventivo all’Autorità Garante sarà necessario rappresentare tutti gli elementi del trattamento a rischio, ovvero le finalità ed i mezzi del trattamento, le misure adottate per “provare” a garantire la sicurezza dei dati oggetto di quel determinato trattamento, i dati di contatto del DPO, la valutazione d’impatto effettuata ed ogni altra informazione richiesta dall’autorità di controllo.
Orbene, quando, ai sensi dell’art. 36 GDPR, è stata richiesta una valutazione preventiva all’autorità di controllo, il trattamento non può essere iniziato fino a che il procedimento di consultazione preventiva si è concluso con esito positivo.
Quanto ai tempi della procedura, la norma prevede che l’autorità dispone di otto settimane, prorogabili una sola volta di ulteriori sei settimane, per concludere la consultazione.
Nel caso in cui non dovesse pervenire alcuna risposta entro il termine di otto settimane, il silenzio assenso dell’autorità potrà essere interpretato come una implicita conferma che, con riferimento al trattamento per il quale si è richiesta la consultazione, non sono state ravvisate violazioni del GDPR.
Qualora, invece, l’autorità di controllo ravvisi una possibile violazione della normativa, potrà fornire un parere scritto al titolare del trattamento in tal senso.
Appare evidente che l’istituto in parola è strettamente connesso all’istituto della valutazione d’impatto sulla protezione dei dati ex art. 35 GDPR, che costituisce una delle principali innovazioni del regolamento, con la quale, sostanzialmente, si impone al titolare del trattamento dei dati, prima di effettuare un determinato trattamento, di rappresentare in maniera compiuta tutte le valutazioni effettuate con riferimento ai possibili rischi per i diritti degli interessati, in osservanza del principio della accountability.
La DPIA (Data Protection Impact Assessment) è, sostanzialmente, un processo volto a descrivere il trattamento dei dati, uno strumento, una metodologia, di analisi e gestione dei rischi applicati alla data protection.
La DPIA può essere obbligatoria per il corretto adeguamento di aziende, enti o professionisti che, in linea generale, per lo svolgimento della propria attività effettuano trattamenti di dati con significativo impatto in riferimento ai rischi per la protezione dei dati stessi.
Possiamo affermare, sinteticamente, che nella valutazione d’impatto bisognerà applicare una logica costituita da fasi consequenziali:
– mappatura dei trattamenti di dati personali effettuati intesa quale analisi sistematica della base giuridica e delle finalità del trattamento;
– individuazione delle misure organizzative e di sicurezza predisposte per garantire la tutela dei dati trattati;
– individuazione e valutazione dei rischi per i diritti e le libertà degli interessati;
– predisposizione di ulteriori misure organizzative e di sicurezza con cui eliminare o mitigare i rischi;
Importante tenere presente che la DPIA è uno strumento che si vuole dinamico, al fine di consentire un frequente aggiornamento nell’ottica di un monitoraggio costante, ad esempio sarà necessario aggiornare la DPIA qualora nell’ambito della propria attività l’azienda necessiti di effettuare ulteriori trattamenti di dati, magari in conseguenza di un espansione commerciale, oppure valuti di adoperare nuove tecnologie.
In linea generale, si può affermare che sarà opportuno effettuare una valutazione d’impatto anche ogni qual volta si verifichi un cambiamento relativo alle attività di trattamento in termini di finalità del trattamento, modalità di raccolta dei dati, tipologia dei dati trattati, destinatari dei dati, trasferimento dei dati all’estero.
Appare chiaro, inoltre, che una revisione della DPIA si possa rendere necessaria tutte le volte che si è in presenza di mutamenti nel contesto organizzativo o sociale per il trattamento in essere.
L’istituto della consultazione preventiva costituisce, quindi, una sorta di “clausola di salvezza” che, a fronte della forte responsabilizzazione del titolare del trattamento dei dati, delineata nell’intero impianto normativo del GDPR, consente la possibilità di rappresentare la difficoltà nella gestione della sicurezza di un trattamento che, evidentemente, si stima necessario alla propria attività.
Bisogna tenere presente, sul piano concettuale, che il Legislatore europeo con il GDPR impone che i trattamenti di dati personali siano tracciati, analizzati e costantemente monitorati al fine di poterne garantire la migliore sicurezza possibile, tuttavia, allo stesso tempo, si vuole favorire e garantire il diritto alla portabilità dei dati, ovvero il diritto alla libera circolazione dei dati in assenza di barriere tecniche e giuridiche non indispensabili, sia a tutela dell’interessato che potrà prescindere da vincoli che lo legano ad un determinato titolare del trattamento, sia nell’interesse generale di favorire la circolazione di beni e servizi.
Andrea Giandomenico