Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Metodologia valutazione del rischio in ambito privacy

Ai sensi dell’articolo 35 del nuovo Regolamento UE (“GDPR”), applicabile dal prossimo 25 maggio, in alcune circostanze i titolari del trattamento dei dati personali hanno l’obbligo di valutare l’impatto del trattamento sulla protezione dei dati dei soggetti che ne sono interessati, prima di avviarlo. 

Questa valutazione, detta appunto “valutazione dell’impatto” (insieme al registro dei trattamenti, una delle maggiori novità introdotte dalla già citata normativa) rappresenta lo strumento mediante il quale le aziende possono dimostrare la compliance agli standard stabiliti dal Regolamento europeo nel settore della privacy, e mostrare di avere adottato le misure più adeguate per assolvere gli obblighi ai quali sono soggetti. 

 

La normativa 

 

Veniamo, ora, al contenuto del sopraccitato articolo.  

Questo recita che: “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali”. 

Tale valutazione d’impatto, nota anche con l’acronimo inglese DPIA (che sta per Data Protection Impact Assessment), è richiesta in casi particolari, quali ad esempio: 

  • una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; 
  • il trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; 
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. 

 

Come già anticipato, questa deve essere condotta prima che il trattamento sia avviato, ma non deve essere considerata come un adempimento una tantum, quanto, piuttosto, una procedura che necessita di una revisione e un aggiornamento continui. 

 

Non sono tenuti a condurla, invece, coloro i quali attuano trattamenti che: 

 

  • per il loro funzionamento non comportano un rischio elevato per i diritti e le libertà delle persone fisiche; 
  • sotto il profilo tecnico (cioè per natura, ambito, contesto e finalità) sono molto simili a quelli per i quali è già stata eseguita una DPIA; 
  • che siano stati sottoposti a eventuali controlli di verifica  da parte dell’Autorità di controllo, prima del maggio 2018, e le cui condizioni non hanno subito alcuna modifica; 
  • compaiono nell’elenco che comprende i trattamenti per i quali non è necessario condurre una DPIA; 
  • fanno riferimento a norme e regolamenti (siano essi comunitari o propri di uno solo degli stati membri) per la cui definizione è già stata eseguita una DPIA. 

 

In questi casi, anche se lo svolgimento della DPIA non è espressamente richiesto dalla legge, è comunque consigliabile valutare la possibilità di investirvi una parte delle risorse aziendali: infatti questa procedura può rappresentare uno strumento utile a gestire il rischio (nel concreto le sanzioni nelle quali si potrebbe incorrere a seguito di una violazione delle norme), dal momento che consente di valutare e dimostrare la conformità alle norme vigenti in materia di protezione dei dati personali. 

 

I soggetti attuatori e requisiti della DPIA 

 

Responsabile della DPIA è il Titolare del trattamento, che può affidarne la conduzione materiale a consulenti interni o esterni all’organizzazione.  

Nella fattispecie, in presenza di un Responsabile della Protezione dei Dati (RPD/DPO), il Titolare del trattamento deve coinvolgere e consultare questa funzione (e laddove sia previsto anche i responsabili del trattamento) nel processo necessario per svolgere la valutazione d’impatto, mantenendo per sé funzioni che attengono alla sua gestione e al suo monitoraggio.  

Si ricorda, inoltre, che è compito dell’Autorità di controllo redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali è necessaria tale valutazione. 

 

Per quanto riguarda la valutazione d’impatto, invece, questa dovrà contenere almeno: 

  • una descrizione sistematica, informativa dei trattamenti previsti e delle finalità del trattamento; 
  • una valutazione della necessità e proporzionalità dei trattamenti; 
  • una valutazione dei rischi per i diritti e le libertà degli interessati; 
  • le misure previste per affrontare i rischi, ovvero le garanzie e le misure di sicurezza per garantire la protezione dei dati personali. 

 

Il concetto di rischio elevato 

 

A questo punto sorge spontanea la domanda: “Che cosa si intende per rischio elevato?”. 

Possiamo rispondere affermando, con le parole utilizzate nel parere del Gruppo di Lavoro Articolo 29, che con il termine rischio si intende “uno scenario descrittivo di un evento e delle relative conseguenze, stimate in termini di gravità e probabilità” per i diritti e le libertà. 

Poiché il concetto è complesso (e, nella forma in cui è espresso, piuttosto generico) occorre precisare, in primo luogo, che il rischio non si riferisce al Titolare del trattamento, bensì ai soggetti interessati (cioè le persone fisiche delle quali vengono trattati i dati personali) e, in secondo luogo, che la sua gravità può essere misurata rifacendosi a specifici criteri o indizi. 

Le tipologie di trattamento che implicano un rischio elevato sono 9: 

  1. i trattamenti valutativi o di scoring su larga scala; 
  1. i trattamenti automatizzati che comportano effetti giuridici (o di natura simile); 
  1. i trattamenti che prevedono l’osservazione, il monitoraggio o il controllo sistematico degli interessati (come le raccolte di dati realizzate attraverso la rete Internet, o attraverso altri canali); 
  1. i trattamenti di dati sensibili o di natura estremamente personale (come ad esempio quelli relativi alla comunicazione tramite e-mail); 
  1. i trattamenti di dati su larga scala; 
  1. i trattamenti che implicano la combinazione o il raffronto di database; 
  1. i trattamenti di dati relativi a soggetti vulnerabili; 
  1. i trattamenti effettuati mediante nuove soluzioni tecnologiche o organizzative (specie nell’ambito dell’informatica) o secondo utilizzi innovativi di quelle preesistenti; 
  1. i trattamenti che per loro natura “impediscono di esercitare un diritto o di avvalersi di un servizio o di un contratto”. 

Non bisogna, comunque, confondere la nozione di rischio con la gestione dei rischi, cioè “l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi”, con il tema delle misure di sicurezza. 

È necessario quindi valutare non solo la sicurezza del trattamento, con riferimento alla disponibilità, all’integrità e alla riservatezza del dato, ma anche i suoi effetti complessivi, quali ad esempio i danni per la reputazione, discriminazione, furto d’identità, perdite finanziarie o altri svantaggi economico-sociali, perdita di controllo dei dati, impossibilità di esercitare diritti. 

Consideriamo, infine, quali sono le misure per la gestione del rischio, ricordando che è compito del Titolare del trattamento prevedere quelle adeguate secondo il principio di “accountability”. 

  • Misure organizzative (ad esempio ruoli, governance, formazione, procedure, audit, strumenti a disposizione degli interessati, contatti); 
  • Misure tecnologiche (ad esempio policy di sicurezza logiche e fisiche, aggiornamenti dei servizi e software test, controllo degli accessi e tracciamento delle operazioni); 
  • Minimizzazione (lett. c articolo 5 GDPR); 
  • Anonimizzazione (rendere un dato non riconducibile a una persona fisica identificata o identificabile); 
  • Cifratura; 
  • Conservazione adeguata ed eventuale cancellazione (con riferimento sia ai supporti sia al periodo temporale); 
  • Qualità dei dati.