Torniamo a parlare della DPIA, cioè della valutazione di impatto, non solo perché questo è uno degli adempimenti più importanti che un Ente locale dovrà effettuare (tra tutti, sono obbligatoriamente da sottoporre a DPIA i trattamenti di videosorveglianza e di whistleblowing), non solo perché le sanzioni in mancanza sono elevatissime, non solo perché il Regolamento UE 2016/679 (GDPR) prevede l’obbligo per il titolare del trattamento di tenere in considerazione i rischi che i trattamenti di dati possono comportare per i diritti e le libertà delle persone fisiche, ma soprattutto perché si tratta di un adempimento molto complesso.
Per semplificare e rendere concreta questa rubrica, ipotizziamo insieme cinque punti di base per effettuare una DPIA in maniera completa e corretta, sempre tenendo presente che ogni Ente è una realtà a sé e che non esiste una regola valida per tutti, ma che ogni Titolare dovrà effettuare le proprie valutazioni e lavorare secondo le proprie esigenze.
Premessa normativa
L’onere di effettuare una valutazione di impatto discende da due articoli del GDPR:
- l’art. 24, che colloca l’analisi dei rischi insieme alle altre caratteristiche del trattamento dei dati (natura, ambito di applicazione, contesto e finalità) di cui il titolare del trattamento deve tenere conto per mettere in atto le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è conforme al regolamento stesso;
- l’art. 35, che prevede, invece, una specifica procedura di valutazione di impatto (DPIA) che serve a descrivere un trattamento di dati per valutarne la necessità, la proporzionalità e i relativi rischi. Si deve effettuare quando un tipo di trattamento, specie se prevede l’uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il suo scopo è stabilire misure idonee ad affrontare e minimizzare questi rischi elevati.
Quindi la valutazione di impatto è un adempimento obbligatorio che concretizza il principio di accountability, in quanto consente al titolare di dimostrare che un determinato trattamento è stato preventivamente valutato e risulta conforme agli obblighi previsti dal GDPR.
Attenzione: come sempre “obbligatorio” non significa “formale” o meramente “burocratico” perché la DPIA, se condotta correttamente è un efficace strumento di gestione del rischio: valutando prima il livello di rischio di un trattamento dei dati, il titolare del trattamento potrà adottare adeguate misure di sicurezza per mitigarlo.
In conformità ai principi di privacy by design e by default di cui all’art. 25 del Reg. UE 2016/679 nel momento in cui, il titolare del trattamento introduce un nuovo trattamento di dati personali nell’ambito della propria organizzazione deve garantire che lo stesso avvenga nel rispetto alle norme sulla protezione dei dati, prevedendo, sin dalla progettazione, le adeguate misure tecniche o organizzative.
L’ottica è sempre quella dell’approccio basato sul rischio, che non prevede un elenco di adempimenti precisi da effettuare, ma l’analisi dell’organizzazione, in seguito alla conduzione della quale, sarà possibile procedere alla predisposizione di misure tecniche e organizzative su misura, che dovranno essere giustificate sulla base della preventiva analisi dei rischi.
Attenzione: la valutazione di impatto non è sempre necessaria, ma solo quando, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. E nel caso in cui il Titolare decidesse di non svolgere l’attività di valutazione deve essere in grado di comprovare e documentare le ragioni che lo hanno spinto a prendere questa decisione, altrimenti espone l’organizzazione all’irrogazione di sanzioni, anche pesanti, proprio come è accaduto all’azienda ospedaliera di Perugia che è stata sanzionata, con provvedimento n. 134 del 7 aprile 2022, dal Garante Privacy per la violazione delle disposizioni previste dall’art. 35 del GDPR con 40.000,00 euro. perché il trattamento dei dati personali degli interessati è stato effettuato in assenza di una preliminare valutazione d’impatto sulla protezione dei dati.
Ma cosa si intende per “rischio”?
Per rischio si intende «uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità» e la sua valutazione/gestione presuppone un insieme coordinato di attività finalizzate prima a identificare e descrivere i rischi al quale vengono esposti i dati degli interessati e poi a gestirli: cioè a individuare le misure idonee volte a eliminare o, dove non risulti possibile, a mitigare il rischio identificato.
Ogni trattamento comporta in sé un rischio e il grado di rischio relativo ad ogni trattamento si ottiene combinando il rischio connesso alla tipologia di dati trattati (dati comuni, categorie particolari di dati, dati giudiziari…) al rischio insito alle caratteristiche degli strumenti utilizzati per le attività di trattamento (il rischio di guasti degli strumenti informatici, di perdita dei supporti di memorizzazione, rischio di penetrazione nelle reti di comunicazione o errori umani e così via).
Più alto è il grado di rischio associato ad uno specifico trattamento, più le misure di sicurezza applicate, sia a livello tecnico che organizzativo, dovranno essere solide.
Per capire quando si sia in presenza di questo rischio elevato occorre consultare diverse fonti:
- la prima è il GDPR stesso e in particolare l’art. 35 nel quale la valutazione di impatto è richiesta espressamente quando c’è:
- a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
- c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
- La seconda è costituita dalle linee guida dei Garante privacy che per forniscono dei criteri in presenza dei quali è richiesto lo svolgimento della DPIA a causa del loro intrinseco alto rischio:
- trattamenti valutativi o di scoring, compresa la profilazione e attività predittive;
- decisioni automatizzate che producono significativi effetti giuridici;
- monitoraggio sistematico (es: videosorveglianza);
- trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche o sulle condanne penali);
- trattamenti di dati personali su larga scala;
- combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
- dati relativi a soggetti vulnerabili (come i minori che non si ritiene siano in grado di opporsi o acconsentire in consapevole al trattamento dei propri dati personali, anziani, soggetti con patologie psichiatriche, ecc.);
- utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, impronte digitali, ecc.);
- trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
La DPIA è necessaria in presenza di almeno due di questi criteri, ma il titolare può decidere di condurla comunque anche in presenza di uno solo di essi.
Fatta questa premessa (necessaria) passiamo ad analizzare i cinque punti in cui potremmo articolare la nostra ipotetica valutazione di impatto.
- Descrizione del trattamento previsto
In questa prima fase deve essere definito il contesto in cui la valutazione deve essere condotta. Deve essere descritta la tipologia di dati personali trattati, come si sviluppa il trattamento, definendo i tempi di conservazione dei dati e quali sono gli strumenti utilizzati per effettuare il trattamento.
In questa fase il titolare deve stabilire, in sostanza, se, in base al trattamento da svolgere e alle sue caratteristiche, ricorra o meno la necessità stessa di effettuare una valutazione di impatto.
- Valutazione della necessità e della proporzionalità
In questa fase da un lato occorre rappresentare gli scopi del trattamento (sono determinati, espliciti e legittimi?) e se i dati raccolti siano adeguati, pertinenti, e limitati a quanto necessario in relazione alle finalità perseguite.
Dall’altro occorre chiarire come gli interessati siano informati del trattamento dei loro dati e come possano esercitare i propri diritti.
Devono altresì essere stabiliti (in un contratto) gli obblighi dei responsabili del trattamento.
- Gestione, per ciascun trattamento, dei rischi per i diritti e le libertà degli interessati (per dimostrarne la conformità)
Questa fase prevede che vengano determinate l’origine (quindi le possibili fonti), la natura e la gravità dei rischi, per valutare l’impatto che questi potrebbero avere per i diritti e le libertà delle persone fisiche in caso di perdita di riservatezza, integrità e disponibilità dei dati.
Occorre individuare le possibili minacce e la probabilità con le quale queste si possano avverare per determinare le cd. contromisure. Si tratta della fase più complessa e delicata, dove bisogna scendere nel merito e dare risposte concrete, sulla base delle reali condizioni di rischio e di presidio di quel rischio presenti nell’Ente.
- Misure previste per affrontare i rischi
Occorre descrivere quali siano le misure previste dal titolare per affrontare i rischi elevati connessi al trattamento.
Dopo aver valutato l’impatto dei rischi e la di accadimento delle minacce, si potrà valutare globalmente il rischio e, se questo dovesse essere classificato come molto alto, sarà necessario applicare misure tecnico-organizzative adeguate a minimizzare la gravità del rischio e la probabilità di accadimento delle minacce. Minimizzare, non eliminare, ricordando sempre il mantra che il rischio zero non esiste.
- Monitoraggio e riesame
Nel caso il rischio, nonostante le misure adottate, resti elevato, il titolare del trattamento potrà
- valutare la possibilità di una consultazione preventiva con l’Autorità Garante (ex art. 36 GDPR), trasmettendogli una copia della DPIA;
- riprogettare o interrompere il trattamento, consultandosi con il proprio DPO, tra i compiti del quale c’è proprio quello di fornire un parere circa la valutazione di impatto e di monitorarne lo svolgimento.
- eventualmente, raccogliere, ai sensi dell’art. 53 GDPR, le opinioni degli interessati e dei loro rappresentanti sul trattamento previsto. Questa valutazione deve tenere conto della natura, del contesto e delle finalità che il titolare del trattamento persegue ma soprattutto dell’impatto che ne può derivare agli interessati.
Una volta eseguita la valutazione di impatto occorre ricordare che le risultanze di questa e tutta la relativa documentazione, non va chiusa in un cassetto: non è una procedura che si attua una tantum, ma che va periodicamente aggiornata e rivista, in particolare nei casi in cui il rischio preso in considerazione in termini di probabilità o gravità, si modifichi.
Infine ricordiamo che non condurre la DPIA nei casi in cui risulta obbligatorio farlo (quindi in caso di rischio elevato insito nel trattamento) o non svolgere la valutazione in base alle indicazioni contenute nell’art. 35 GDPR o non consultare preventivamente l’autorità garante in caso di rischio elevato persistente possono esporre l’Ente, in quanto violazioni al principio di responsabilizzazione, a sanzioni amministrative pecuniarie (come abbiamo visto nel caso dell’azienda ospedaliera di Perugia).
>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.
L’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.
Scrivi un commento
Accedi per poter inserire un commento