Della DPIA, cioè della valutazione di impatto, abbiamo già parlato in diversi articoli, spiegando come sia obbligatorio sottoporvi alcun tra i trattamenti più delicati (tra tutti, sono obbligatoriamente da sottoporre a DPIA i trattamenti di videosorveglianza e di whistleblowing), e quali siano i punti fondamentali da prendere in considerazione. Vediamo dunque come svolgere una DPIA in pratica, perché si tratta di un adempimento molto compresso e spesso viene confuso con la valutazione dei rischi.
Ecco, valutazione di impatto e valutazione del rischio NON sono la stessa cosa. Entrambi, certamente, dovranno essere presi in considerazione, ma la differenza è fondamentale. La valutazione del rischio è certamente uno degli elementi della valutazione di impatto. Si valutano i rischi presenti relativi a un certo trattamento (quello che si sta sottoponendo a DPIA), si valuta l’impatto che questo trattamento può avere nei confronti dei diritti e delle libertà fondamentali degli interessati e dal combinato di questi due elementi si avrà il livello di pericolosità di un certo trattamento. A questo punto avremo un livello di impatto che deve essere mitigato, minimizzato, fino a renderlo il più basso possibile (il rischio zero non esiste, così come anche l’impatto zero: qualsiasi trattamento avrà un impatto sui diritti e sulle libertà fondamentali degli interessati, anche il più “innocuo” e semplice. Se non si vuole impattare, non si devono trattare dati, il che per un Ente locale è impossibile).
>> LEGGI ANCHE Cinque punti per una DPIA facile.
Quindi se un impatto ed un rischio sono alti, ma le misure per la minimizzazione (cioè il livello di presidio) sono altrettanto alti, il rischio relativo (e quindi l’impatto) alla fine della nostra DPIA risulterà basso: semaforo verde, quel trattamento si può fare. Viceversa, se a rischio e impatto alti corrisponde un basso livello di presidio, il rischio finale resterà alto e quindi il semaforo rimarrà rosso. Il trattamento non si può fare così come è stato proposto e dunque l’Ente locale avrà tre scelte a disposizione: rinunciare a svolgere il trattamento, incrementare le misure di presidio e poi svolgere una seconda DPIA per vedere se il rischio si è abbassato, oppure chiedere un parere al Garante della Privacy.
Ma la vera difficoltà della valutazione di impatto sta nel principio fondante del GDPR, ossia nell’accountability. È “colpa” dell’accountability se non esiste uno standard applicabile a tutte le DPIA. Il titolare, in sostanza, se la canta e se la suona e decise in autonomia se il livello di presidio è sufficiente o meno. Certo, ci sono linee guida e un grande aiuto ci viene dai principi generali del Regolamento, ma la verità è che ente che vai, DPIA che trovi. Tenendo a mente questi presupposti, e avendo sempre ben presente l’approccio basato sul rischio, proviamo a svolgere insieme una DPIA, ad esempio per un impianto di videosorveglianza che il nostro ente vuole installare sul territorio.
1. Descrizione del trattamento previsto
In questa prima fase deve essere definito il contesto in cui la valutazione deve essere condotta. Descriviamo il tipo di trattamento che vogliamo effettuare, nel nostro esempio l’installazione dell’impianto di videosorveglianza. Andremo quindi a spiegare che tipo di impianto vogliamo installare, quante videocamere ci saranno, chi le fornisce (il fornitore DEVE essere nominato responsabile esterno, su questo punto il Garante ha già erogato pesanti sanzioni!), quale tipo di registrazione si effettua, qual è il ciclo dei dati, quanto tempo vengono conservate le immagini, chi ha la possibilità di vederle e gestirle. Si tratta di una fase descrittiva, a cui si possono allegare documenti, contratti, ad esempio il regolamento della videosorveglianza, le informative redatte e le varie nomine, al fine di renderla ancora più esaustiva
2. Descrizione dei criteri di impatto
Esistono dodici criteri di impatto predefiniti, in presenza di quali l’impatto del trattamento per interessati è da considerarsi a livello di allerta. Di questi, undici sono considerati ad alto impatto ed uno (il trattamento su larga scala) è da considerarsi ad impatto medio. Quando effettuiamo la valutazione di impatto sulla videosorveglianza, dunque, valutiamo se questi criteri sono o meno applicabili al nostro trattamento. Se la risposta è sì per almeno due di essi, l’impatto verrà considerato critico.
I criteri di impatto sono i seguenti:
- trattamenti valutativi o di scoring, compresa la profilazione e attività predittive;
- decisioni automatizzate che producono significativi effetti giuridici;
- monitoraggio regolare e sistematico degli interessati (es: videosorveglianza);
- trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche o sulle condanne penali);
- trattamenti di dati personali su larga scala;
- combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
- dati relativi a soggetti vulnerabili (come i minori che non si ritiene siano in grado di opporsi o acconsentire in consapevole al trattamento dei propri dati personali, anziani, soggetti con patologie psichiatriche, ecc.);
- utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, impronte digitali, ecc.);
- trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento);
- trasferimenti dei dati in Paesi al di fuori dell’Unione Europea;
- caratteristiche degli interessati (ad esempio persone politicamente esposte);
- identificabilità diretta degli interessati.
La DPIA è necessaria in presenza di almeno due di questi criteri, ma il titolare può decidere di condurla comunque anche in presenza di uno solo di essi.
3) Valutazione dei rischi
Per rischio si intende «uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità» e la sua valutazione/gestione presuppone un insieme coordinato di attività finalizzate prima a identificare e descrivere i rischi al quale vengono esposti i dati degli interessati e poi a gestirli: cioè a individuare le misure idonee volte a eliminare o, dove non risulti possibile, a mitigare il rischio identificato.
Ogni trattamento comporta in sé un rischio e il grado di rischio relativo ad ogni trattamento si ottiene combinando il rischio connesso alla tipologia di dati trattati (dati comuni, categorie particolari di dati, dati giudiziari…) al rischio insito alle caratteristiche degli strumenti utilizzati per le attività di trattamento (il rischio di guasti degli strumenti informatici, di perdita dei supporti di memorizzazione, rischio di penetrazione nelle reti di comunicazione o errori umani e così via).
Più alto è il grado di rischio associato ad uno specifico trattamento, più le misure di sicurezza applicate, sia a livello tecnico che organizzativo, dovranno essere solide.
Alcuni criteri per valutare il livello di rischio possono (possono, non devono) essere i seguenti:
- trattamenti effettuati interamente o parzialmente su internet;
- trattamenti effettuati da un numero molto elevato di persone;
- trattamenti effettuati da personale non in grado di riconoscere in maniera autonoma le minacce o con scarsa preparazione;
- trattamenti effettuati in ambienti fisici e di rete privi di protezioni di base e accessibili a estranei senza controllo;
- mancanza di disciplinari tecnici per l’utilizzo di macchine e password;
- mancanza di strumenti di protezione hardware e software;
- mancanza di backup di dati relativamente al trattamento considerato (se applicabile; nel caso della videosorveglianza, ad esempio, non si effettua alcun backup delle immagini, che anzi devono essere cancellate dopo il tempo stabilito);
- mancanza dei principi di minimizzazione, dati eccedenti o non pertinenti;
- mancata applicazione dei principi di privacy by design e by default;
- utilizzo di device personali per effettuare il trattamento in analisi;
- altri rischi specifici legati all’ente in particolare.
4) Gestione del livello di presidio
Questa fase prevede che per ciascun rischio specificamente individuato si vadano a evidenziare le misure di sicurezza approntate (on in programma, in questo caso è bene indicare anche quando le misure verranno implementate) per presidiare il rischio e, dunque, ridurre l’impatto.
Il consiglio è quello di valutare singolarmente ogni rischio preso in considerazione e stabilire come le misure possono ridurre gli impatti. Ad esempio, nel caso della video sorveglianza, sicuramente avremo messo come applicabile il criterio di impatto “monitoraggio regolare e sistematico”. Il trattamento viene effettuato integralmente o parzialmente su internet (rischio) quindi le misure che potremmo implementare saranno, ad esempio, avere protocolli di sicurezza per la navigazione, inserire una password forte per la rete, adottare una VPN o software di protezione. Relativamente al rischio “preparazione del personale”, se la risposta data a questo quesito è stata che effettivamente i trattamenti vengono effettuati da personale non preparato, la misura da implementare in urgenza e sicuramente prima di attuare il trattamento (cioè prima di installare un impianto di video sorveglianza degno di Fort Knox) è quella di fornire una preparazione adeguata e specifica. E così via.
Si tratta della fase più complessa e delicata, dove bisogna scendere nel merito e dare risposte concrete, sulla base delle reali condizioni di rischio e di presidio di quel rischio presenti nell’Ente.
5) Monitoraggio e riesame
Nel caso il rischio, nonostante le misure adottate, resti elevato, il titolare del trattamento potrà:
- valutare la possibilità di una consultazione preventiva con l’Autorità Garante (ex art. 36 GDPR), trasmettendogli una copia della DPIA;
- riprogettare o interrompere il trattamento, consultandosi con il proprio DPO, tra i compiti del quale c’è proprio quello di fornire un parere circa la valutazione di impatto e di monitorarne lo svolgimento;
- incrementare le misure di sicurezza e poi effettuare nuovamente la DPIA, valutando se questa volta il risultato sia cambiato, anche eventualmente raccogliendo le opinioni degli interessati sul trattamento previsto. Ad esempio, nel caso della videosorveglianza, informando i cittadini delle intenzioni dell’ente locale di installare l’impianto, per quali finalità, con quali caratteristiche e sentire se la comunità approva o meno (questa valutazione deve tenere conto della natura, del contesto e delle finalità che il titolare del trattamento persegue ma soprattutto dell’impatto che ne può derivare agli interessati).
Una volta eseguita la valutazione di impatto, occorre ricordare che le risultanze di questa e tutta la relativa documentazione non vanno chiusa in un cassetto: non è una procedura che si attua una tantum, ma che va periodicamente aggiornata e rivista, in particolare nei casi in cui il rischio preso in considerazione in termini di probabilità o gravità, si modifichi (ad esempio nel caso in cui si passi da trenta a trecento telecamere).
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento