11 Mag Il processo aziendale e la responsabilità nel trattamento
Il titolare del trattamento è il soggetto chiamato a stabilire i termini e le modalità per attuare un trattamento che rispetti la disciplina. E’ tenuto ad adottare comportamenti proattivi che si esplicano attraverso una specifica analisi dei processi aziendali che ineriscono con il trattamento dei dati. Per tale ragione risulta esclusa un’applicazione standardizzata e seriale del Regolamento, poiché ciascun trattamento invoca misure personalizzate.
Le imprese sono, dunque, chiamate ad analizzare attentamente il processo che attiva il trattamento e la circolazione di dati personali e, sulla base di tale valutazione, devono identificare i possibili rischi per i diritti e le libertà delle persone coinvolte e predisporre un sistema di misure di sicurezza adeguate per porre in essere una reale protezione dei dati ed effettuare un trattamento lecito, sicuro e trasparente.
Il processo di tutela della privacy dovrà esplicarsi per mezzo di una preventiva e approfondita analisi, essere realizzato attraverso una serie di attività peculiari e compiuto in modo tale da permettere ai titolari di dimostrare la correttezza delle determinazioni a tal fine assunte e delle misure di sicurezza predisposte e ritenute adeguate al rischio.
Appare, pertanto, evidente che nella protezione dei dati personali ciascuna attività e realtà professionale deve valutazione i rischi e le possibili strade per arginarli resa sulla base delle specifiche attività svolte e delle tipologie di dati trattati, del contesto di riferimento in cui ciascuna azienda opera e dei soggetti coinvolti.
Al fine di assicurare il rispetto del Regolamento, i titolari ovvero i responsabili sono chiamati a conoscere le disposizioni normative in esame che devono applicare in modo trasversale e complessivo ad ogni ramo e ad ogni settore della propria azienda.
Il legislatore europeo ha tale proposito ha previsto per i titolari una serie di criteri specifici idonei a guidare l’applicazione della disciplina, tra i quali si evidenzia il cd. privacy by default and by design e quello del rischio inerente al trattamento ovvero il rischio di conseguenze negative e della possibilità di mitigarne l’impatto sui diritti degli interessati.
Appare evidente l’ampio margine di libertà riconosciuto dal Regolamento in favore dei titolari in termini di modalità e forme di protezione da porre in essere, libertà che troverà il terreno d’esame nei controlli da parte dell’Autorità Garante resi ex post rispetto alle scelte operate ed al compimento delle operazioni di raccolta ed elaborazione dei dati.