Principi generali della protezione dei dati personali: qualità e integrità dei dati

Concludiamo la disamina dei principi generali della protezione dei dati personali focalizzandoci sulla qualità, conservazione, sicurezza e integrità dei dati.

Qualità dei dati e limitazione alla conservazione

L’art. 5 co.1 lett. d prevede che i dati personali siano “esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati”, mentre alla lett. e è previsto che essi siano “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.

Il titolare deve trattare dati personali esatti, aggiornandoli e dotandosi di sistemi in grado di garantire l’accuratezza delle informazioni raccolte. I principi di esattezza e di aggiornamento investono il tema della qualità del dato e sono strettamente connessi ai diritti dell’interessato di cui agli artt. 16 e 18 del Regolamento. L’art. 16 sancisce il diritto di rettifica per l’interessato, laddove i dati personali trattati siano inesatti o non aggiornati; esso va distinto dal diritto alla cancellazione dei dati personali (o diritto all’oblio[1]) di cui all’art. 17, l’esercizio del quale richiede la sussistenza di particolari condizioni elencate dall’articolo stesso. L’art. 18 riguarda la limitazione del trattamento che interviene in particolare nel caso di inesattezza dei dati: il trattamento verrà limitato per tutto il periodo necessario al responsabile per effettuare le opportune verifiche di esattezza ed espletare procedure di aggiornamento.

In base al principio della limitazione della conservazione, i dati possono essere conservati in modo da permettere l’identificazione dell’interessato solo per il periodo di tempo necessario al conseguimento delle finalità predeterminate. Le uniche deroghe a questo principio sono costituite dall’archiviazione per ragioni di pubblico interesse e dalle finalità statistiche o di ricerca scientifica o storica; in questi casi i dati personali potranno essere conservati più a lungo, purché il titolare o responsabile del trattamento adotti adeguate misure tecniche e organizzative.

 

Sicurezza e integrità dei dati


I dati devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche ed organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”, ciò è quanto previsto dall’art. 5 co.1 lett. f.
Il principio di una sicurezza adeguata si attua mediante l’adozione di misure sia tecniche[2] che organizzative[3], affinché siano impediti l’accesso e l’utilizzo non autorizzati ai dati personali e alle attrezzature impiegate per il trattamento.

Il riferimento alla sicurezza interessa sia l’aspetto informatico che quello giuridico e amministrativo. Infatti, oltre alla gestione delle informazioni e alla loro difesa da possibili intrusioni o alterazioni, è necessario gestire il sistema di autorizzazioni relative all’accesso ai dati, le nomine dei responsabili del trattamento, la valutazione d’impatto e tutte le misure organizzative idonee a custodire e controllare i dati.

La garanzia di adeguata sicurezza può essere interpretata non solo come una misura preventiva[4], ma anche come intervento ex post[5], volto a sanare eventuali anomalie riscontrate. In tal senso l’integrità del dato, intesa come salvaguardia dell’esattezza e difesa da manomissioni o intrusioni, è da considerarsi obiettivo fondante della sicurezza. È riscontrabile, altresì, il nesso con la riservatezza, intesa nella sua accezione originaria di privacy: il considerando n. 83 menziona la riservatezza come adeguato livello di sicurezza dei dati, in quanto l’obiettivo del titolare deve essere anche quello di impedire l’accesso o l’utilizzo non autorizzato dei dati personali e dei mezzi impiegati per il trattamento.

Affinché vi sia la garanzia di sicurezza adeguata è necessario che il titolare del trattamento effettui la cd. valutazione d’impatto sulla protezione dei dati personali (Data protection impact assessment – DPIA) di cui all’art. 35 del GDPR, funzionale all’individuazione dei rischi specifici del trattamento e prodromica all’adozione delle adeguate misure richieste dall’art. 5.1.f.

Se dopo aver effettuato la DPIA il trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche, nonostante l’adozione di tutte le garanzie e misure di sicurezza del caso, il titolare dovrà consultare l’autorità di controllo, prima di iniziare le operazioni di trattamento (Prior Consultation).

L’omissione o la non adeguatezza delle misure di sicurezza possono comportare profili di responsabilità penale, secondo quanto stabilito dalla legge penale applicabile negli Stati membri. Il considerando n. 149 riconosce agli Stati membri la facoltà di stabilire disposizioni relative a sanzioni penali per violazione del GDPR. Nel nostro Codice privacy sono già previste delle responsabilità penali per “chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’art. 33”. Bisognerà vedere se e in che misura il legislatore nazionale aggiornerà tale previsione alla luce del GDPR.

Rosanna Celella

[1] Il tema del diritto all’oblio e più specificamente del bilanciamento tra privacy e libertà di stampa, da effettuarsi valutando la sussistenza dell’interesse pubblico alla conoscenza della notizia e il trascorrere del tempo, è stato al centro di numerosi dibattiti, specie dopo la nota sentenza Google Spain che molti considerano consacratrice del diritto all’oblio, ma che in realtà richiama, più correttamente, il diritto alla deindicizzazione della notizia. Cfr. sul punto LORELLA BIANCHI e GIUSEPPE D’ACQUISTO, “Il trattamento dei dati personali effettuato dai motori di ricerca, le esternalità prodotte sugli interessati e il diritto di rettifica. Quali prospettive e limiti dopo la sentenza della Corte di giustizia” – Internet e la tutela della persona. Il caso del motore di ricerca -, a cura di Franco Pizzetti, Passigli Editori, 2015, pp. 67 e ss.: interessante la proposta dei <<15 millimetri di buona memoria>>, ossia lo spazio necessario a ospitare un link (di fianco al ranking, in adiacenza al link che riporta alla notizia di cui si chiede la rettifica o la cancellazione) che consenta al data subject di indicare la URL dove sia reperibile un’altra informazione, connessa alla prima, che lo rappresenti più compiutamente. Per una panoramica completa del tema del diritto all’oblio cfr. anche “Il caso del diritto all’oblio” – I diritti nella “rete” della rete –, a cura di Franco Pizzetti, G. Giappichelli editore.

[2] Ad es. adozione di misure di sicurezza, uso della pseudonomizzazione, privacy by design e by default, cifratura, osservanza di codici di condotta, certificazioni.

[3] Ad es. procedure di autorizzazione per l’accesso ai dati, separazione delle informazioni funzionali alla reidentificazione in caso di pseudonimizzazione.

[4] Tra le garanzie di sicurezza adottate ex ante vi sono tutte quelle previste dall’art. 32, tra cui la pseudonimizzazione, la valutazione dei rischi (data protection impact assessment), l’adozione di codici di condotta e il rispetto delle istruzioni impartite dal titolare del trattamento.

[5] Per il ripristino della sicurezza ex post l’art. 31 prevede la notifica di data breach all’autorità di controllo e parallelamente l’eventuale comunicazione all’interessato ex art. 34.

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *