Prima del 25 maggio, tutte le P.A. devono obbligatoriamente effettuare la valutazione di impatto (DPIA) per i trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, specie allorché il trattamento preveda l’uso di nuove tecnologie.
Tenuto conto dei tempi estremamente ridotti per effettuare l’adempimento, il 27 aprile scorso il Garante ha fornito la notizia che l’Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione della valutazione d’impatto sulla protezione dei dati (DPIA). Nel fornire questa notizia, il Garante ha tuttavia evidenziato, come elemento “IMPORTANTE” da tenere presente, che il software francese NON costituisce un modello al quale fare riferimento in OGNI SITUAZIONE di trattamento, “essendo stato concepito soprattutto come ausilio metodologico per le PMI”.
Ed, invero, la situazione in cui effettuano il trattamento le P.A., compresi gli Enti Locali, è molto diversa dalla situazione in cui effettuano i trattamenti le PMI.
Regolamento Privacy: una puntualizzazione sul software di supporto
Basti pensare che il Codice, oltre a dettare regole valide per tutti trattamenti, contiene una specifica disciplina particolare per i trattamenti effettuati dalle P.A., specie per quanto concerne le materie del trattamento di dati sensibili e giudiziari, della comunicazione e della diffusione dei dati anche in riferimento agli obblighi di trasparenza che vincolano le pubbliche amministrazioni. Si tratta di una disciplina peculiare presidiata da numerose Linee guida tra cui si ricordano le Linee guida sulla diffusione online di documenti e informazioni da parte delle pubbliche amministrazioni, le Linee guida sul pubblico impiego e sulla videosorveglianza,
Proprio in considerazione delle specifiche caratteristiche dei trattamenti effettuati dalle P.A., il software potrebbe costituire, secondo quanto evidenziato anche dal Garante, un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d’impatto, che va integrata in ragione delle tipologie di trattamento esaminate.
La prudenza nei confronti del software in esame, per quanto concerne le P.A., si impone anche perché, pur costituendo il software un percorso guidato alla realizzazione della DPIA, tuttavia non contiene la obbligatoria ricognizione dei trattamenti che, per le P.A. deve essere ricostruita sulla base dei procedimenti e dei processi.
La mappatura dei procedimenti e dei processi che, si ricorda, costituisce un adempimento obbligatorio anche nell’ambito del piano triennale di prevenzione della corruzione, costituisce elemento presupposto e indispensabile per effettuare la ricognizione dei trattamenti richiesta da nuovo GDPR.
In pratica, vanno predeterminate le tipologie di trattamenti, con la formazione dell’Indice dei trattamenti. A ciascun tipo di trattamento ricompreso nell’Indice vanno poi vanno associati i procedimenti e processi, di competenza dell’ente, e che rientrano in ciascuna tipologia di trattamento. Bisogna necessariamente partire dalle tipologie di trattamenti individuate dal Garante il 19 settembre 2005 con l’approvazione dello Schema tipo di regolamento per il trattamento dei dati sensibili e giudiziari dei Comuni. Si tratta di 35 Schede contenenti l’Indice dei trattamenti di procedimenti e processi nei quali sono trattati dati sensibili e giudiziari. La prima scheda, ad esempio, si riferisce al trattamento: “Personale – Gestione del rapporto di lavoro del personale impiegato a vario titolo presso il Comune”. A tale trattamento vanno associati tutti i procedimenti e i processi che, con riferimento alla gestione giuridica ed economica del personale dipendente, rientrano nel trattamento denominato “Personale – Gestione del rapporto di lavoro del personale impiegato a vario titolo presso il Comune” come, ad esempio, i procedimenti/processi di gestione dei permessi sindacali, delle assenze per malattia, dei permessi ex lege n. 104/1992, e di altri istituti di competenza dell’Ufficio personale.
Come in precedenza evidenziato, il software francese non include la mappatura dei procedimenti e dei processi. Non include neppure la associazione dei procedimenti e dei processi allo specifico trattamento, incluso nell’indice dei trattamenti, che a quei processi e procedimenti si riferisce.
La valutazione di impatto sulla protezione dei dati
Risulta evidente allora che, essendo la ricognizione dei trattamenti fondata sulla mappatura dei processi e dei procedimenti, sulla formazione dell’indice dei trattamenti nonché sulla loro associazione, il software che l’Autorità francese per la protezione dei dati ha messo a disposizione potrebbe, anche per questo ulteriore motivo, costituire strumento idoneo per le PMI ma non anche per soddisfare i bisogni delle P.A. tenuto conto, oltretutto, della ristretta tempistica che le P.A. hanno a disposizione per adempiere.
Al riguardo, va sottolineato e ricordato che la valutazione di impatto sulla protezione dei dati, per i trattamenti che possono presentare rischi elevati per i diritti e le libertà delle persone fisiche, costituisce un adempimento particolarmente complesso che deve essere obbligatoriamente effettuato entro il 25 maggio 2018, e che non vi è alcun slittamento o proroga.
In ordine alla complessità dell’adempimento, lo stesso Garante ha evidenziato come “è inoltre bene ricordare che la valutazione d’impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati”.
Ai fini di acquisire una maggiore consapevolezza e informazione in ordine all’importanza e alla complessità della valutazione di impatto sulla protezione dei dati è utile:
– consultare le SLIDES allegate;
– visionare il VIDEO TUTORIAL;
entrambi predisposti dallo stesso Garante, e ai quali si rinvia per un maggiore approfondimento.
Scrivi un commento
Accedi per poter inserire un commento