Who's Who
Giusella Finocchiaro
Professore ordinario di Diritto privato e Diritto di Internet all’Università di Bologna, Avvocato
È ormai più di un anno che si parla del nuovo GDPR, il Regolamento europeo in materia di protezione dei dati personali, il Reg. (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che dal 25 maggio 2018 andrà a sostituire la direttiva 95/46/CE.
Dottrina ed esperti in materia di privacy, ma anche istituzioni e organismi europei hanno tentato di fornire indicazioni operative agli Stati e agli operatori per facilitare il loro adeguamento alla nuova disciplina. Il Gruppo di lavoro Art. 29, ad esempio, ha adottato una serie di linee guida volte a chiarire alcuni adempimenti del Regolamento che, per via del carattere innovativo ovvero per via della loro onerosità e complessità, hanno attirato sin da subito l’attenzione – e i timori – delle imprese.
Tra questi una delle novità maggiormente discusse è la valutazione d’impatto sulla protezione dei dati. Dal momento che tale adempimento è stato oggetto di innumerevoli commenti, può brevemente ricordarsi che si tratta di una misura preventiva inerente il risk assessment che ciascun titolare del trattamento è tenuto ad effettuare sulla base della natura, dell’oggetto, del contesto e delle finalità del trattamento. Attraverso un’analisi dei flussi informativi la valutazione d’impatto è volta all’individuazione dei rischi derivanti dal trattamento e, quindi, dei mezzi e degli strumenti da adottare per contrastarli.
Con il presente contribuito si intende offrire una guida pratica agli operatori che intendano o debbano procedere alla valutazione d’impatto, alla luce dell’art. 35 del Regolamento e delle Guidelines on Data Protection Impact Assessment (DPIA) adottate il 4 aprile 2017 dal Gruppo Art. 29.
1. Chi è responsabile?
Prima di descrivere le fasi in cui si articola il processo, occorre delineare l’organigramma delle responsabilità. Responsabile della conduzione della valutazione d’impatto è il titolare del trattamento che può decidere di condurre la valutazione all’interno della propria organizzazione ovvero affidarla all’esterno. In ogni caso, è il titolare a rimanere responsabile della conduzione della valutazione d’impatto su cui dunque è chiamato a vigilare attentamente. Come evidenziato anche dal Regolamento, in questo processo è fondamentale la consultazione con il responsabile della protezione dei dati (Data Protection Officer) e con i responsabili del trattamento, tra i cui compiti rientra quello di fornire adeguato ausilio al titolare nell’osservanza di tale adempimento.
2. Obbligatorietà o facoltatività della valutazione d’impatto
La prima fase del processo di valutazione d’impatto concerne l’esame dell’obbligatorietà di condurre la valutazione d’impatto. Il Regolamento offre un elenco di tre ipotesi di trattamento in cui la valutazione è obbligatoria, ma lascia alle autorità di controllo (leggasi: i Garanti di ciascun Stato membro) il compito di redigere un elenco delle tipologie di trattamenti soggetti al requisito. Ai sensi dell’art. 35, 3° comma del Regolamento, la valutazione d’impatto è obbligatoria in presenza di: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato; b) un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; o c) una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
In altre parole, l’estensione e il contesto del trattamento, il numero di soggetti interessati e la natura dei dati oggetto di trattamento costituiscono fattori da tenere in debito conto nel determinare l’obbligatorietà della valutazione d’impatto.
3. Ricognizione sistematica dei trattamenti
Una volta stabilito se procedere alla valutazione d’impatto rappresenta una scelta obbligatoria o facoltativa, occorrerà effettuare una ricognizione sistematica dei trattamenti che presentino un rischio elevato. La valutazione d’impatto non va infatti condotta per tutti i trattamenti di cui un’impresa è titolare, bensì soltanto con riguardo a quei trattamenti che, per via della loro natura, oggetto, finalità, contesto e per l’uso di determinate tecnologie, potrebbero generare un rischio elevato per i diritti e le libertà fondamentali dei soggetti interessati. Per ciascun trattamento (o, appunto, categoria di trattamento) andranno quindi raccolte informazioni circa:
1. la natura, la finalità e il contesto del trattamento (incluse le fonti presso cui i dati vengono raccolti, l’estensione del trattamento, il coinvolgimento di terze parti all’interno o al di fuori del territorio europeo, e così via),
2. le categorie di dati (personali e sensibili) oggetto di trattamento, i soggetti interessati a cui si riferiscono e il periodo di conservazione dei dati,
3. i flussi informativi (ipotesi di comunicazione, diffusione, cessione, trasferimento dei dati con l’indicazione specifica dei soggetti destinatari dei dati interni o esterni all’organizzazione del titolare del trattamento),
4. una descrizione funzionale delle operazioni di trattamento,
5. le modalità (cartacee e automatizzate) e gli strumenti con cui viene effettuato il trattamento (comprensive dell’impiego di tecnologie, tra cui ad esempio hardware e software, e dell’indicazione dei canali e dei network attraverso cui passano i dati),
6. i soggetti che potranno accedere ai dati unitamente alle finalità o alle motivazioni sottese all’accesso.
4. Valutazione della necessità e della proporzionalità del trattamento
Successivamente alla rassegna sistematica dei trattamenti, il titolare del trattamento (o il soggetto incaricato di effettuare la valutazione) dovrà valutare se il trattamento sia necessario e proporzionale in relazione alle finalità e alle misure di sicurezza adottate. Per ciascun trattamento (o categoria di trattamento) andranno quindi verificate le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento. In particolare, occorrerà descrivere:
1. le condizioni che assicurano la liceità del trattamento e, dunque, la sua necessità e proporzionalità:
a) l’indicazione di finalità determinate, esplicite e legittime,
b) l’impiego di dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità e le modalità con cui il titolare assicura l’accuratezza dei dati,
c) la limitazione della conservazione ad un arco di tempo non superiore al conseguimento delle finalità,
d) il presupposto di legittimità del trattamento (es: consenso, obbligo legale, legittimo interesse del titolare e così via);
2. le condizioni e le misure tese ad assicurare il corretto esercizio dei diritti degli interessati:
a) la fornitura ai soggetti interessati di informazioni chiare, complete e comprensibili circa il trattamento dei loro dati, in cui siano indicati in particolare i soggetti a cui possono rivolgersi per ottenere ulteriori informazioni ovvero per esercitare i propri diritti,
b) le procedure elaborate per garantire il diritto e l’effettiva possibilità di procedere all’accesso, alla portabilità, alla cancellazione, alla rettifica e all’aggiornamento dei dati, nonché all’opposizione e alla limitazione del trattamento,
c) in caso di trasferimenti all’estero, le garanzie che legittimano il trasferimento di dati verso un Paese terzo extra-europeo (decisioni di adeguatezza, clausole contrattuali standard, e così via);
3. le garanzie e le misure di sicurezza sinora adottate a protezione dei dati personali:
d) garanzie (es: adozione di tecniche di pseudonimizzazione e di cifratura, minimizzazione, implementazione della privacy by design e by default, previsione di procedure volte a testare, verificare e valutare l’efficacia delle garanzie e misure adottate),
e) misure di sicurezza organizzative (es: norme e procedure che disciplinano l’aspetto organizzativo della sicurezza),
f) misure di sicurezze fisiche (es: misure di protezione di aree, apparecchiature, dati),
g) misure di sicurezza logiche (es: backup, piano di continuità operativa, piano di disaster recovery, ecc.) sia in relazione al corretto utilizzo degli strumenti elettronici, sia in relazione alla loro gestione e manutenzione,
h) adozione, se prevista, di codici di condotta e/o meccanismi di certificazione.
5. Consultazioni
A questo punto del processo di valutazione d’impatto sarebbe opportuno prevedere una fase di consultazione con le parti interessate, affinché possa essere garantita una visione complessiva del processo conferendo altresì trasparenza alle modalità di svolgimento di tale attività. Le consultazioni dovrebbero avvenire non solo all’interno dell’organizzazione del titolare, ma – auspicabilmente – anche all’esterno coinvolgendo sia i soggetti direttamente interessati dal trattamento (o i loro rappresentanti) sia le altre organizzazioni o terze parti con cui il titolare condivide i dati.
Le modalità di consultazione sono lasciate alla discrezionalità del titolare del trattamento che potrà decidere se fornire questionari ovvero organizzare incontri, sessioni e gruppi di lavoro.
6. Identificazione, analisi e gestione dei rischi
Grazie alla documentazione raccolta sino a questa fase e alle opinioni condivise, può procedersi all’identificazione dei rischi a cui sono esposti i dati, analizzandone il ciclo di vita e prendendo in considerazione il loro impiego, le finalità per cui sono utilizzati, le tecnologie impiegate e i soggetti autorizzati a trattarli.
In primo luogo andranno ricercate le possibili fonti di rischio, che potrebbero inerire a comportamenti degli operatori o di terze parti (es: sottrazione delle credenziali, distrazione, comportamenti fraudolenti o sleali), a eventi relativi agli strumenti (es: virus informatici, malfunzionamento, intercettazioni e accessi non autorizzati) oppure a eventi relativi al contesto (es: sottrazione di strumenti contenenti dati, eventi distruttivi naturali o artificiali). In secondo luogo andranno prese in considerazione tutte quelle ipotesi che, in generale, potrebbero implicare una violazione dei dati personali quali accessi non autorizzati, alterazione, perdita o distruzione dei dati. Infine, andranno valutati la probabilità con cui tali rischi potrebbero realizzarsi e l’impatto qualora si realizzino, assegnando per ciascun rischio individuato un livello di probabilità di realizzazione e un grado di potenziale impatto.
Una volta identificati i rischi, occorre provvedere alla gestione dei medesimi e, dunque, scegliere (ove vi sia margine di valutazione) se un determinato rischio vada eliminato, mitigato oppure accettato. Tale valutazione dipenderà chiaramente dal livello di probabilità di realizzazione del rischio e dal grado del potenziale impatto. Tale fase è ordinata altresì alla valutazione dell’adeguatezza delle garanzie e delle misure di sicurezza implementate all’interno dell’organizzazione. Ove risulti opportuno sulla base dell’analisi dei rischi effettuata, occorrerà procedere ad un piano di ammodernamento delle misure adottate ovvero introdurre nuove misure di sicurezza più adeguate in relazione alle eventuali situazioni di rischio emerse.
In alcuni casi può essere che il rischio dipenda da un inesatto o omesso adempimento degli obblighi inerenti alla normativa a protezione dei dati personali (es: incompleta o omessa informativa). In tali circostanze, sarà sufficiente soddisfare i requisiti previsti dalla legge per portare a conformità la situazione di potenziale pericolo, il cui carattere di rischio cesserà di esistere per effetto dell’osservanza della normativa.
7. Redazione del report finale
Il processo di valutazione d’impatto si arricchisce, da ultimo, con la redazione di un report finale che rappresenta il momento di rendicontazione delle attività svolte, in cui le informazioni precedentemente raccolte e analizzate vengono presentate in maniera sistematica e funzionale unitamente alle misure e ai rimedi elaborati e da implementare per contrastare i rischi emersi.
Oltre alle informazioni raccolte nelle precedenti fasi relative al trattamento e alle operazioni di trattamento, al privacy assessment (cioè alla verifica che i principi fondamentali di trattamento siano rispettati, che siano presenti le condizioni di legittimità dello stesso e alla valutazione delle garanzie e delle misure adottate), all’identificazione, all’analisi e alla gestione dei rischi, il report dovrà altresì recare l’indicazione specifica de:
1. l’organizzazione o il progetto per cui la valutazione d’impatto è stata condotta;
2. i soggetti o il team che ha svolto la valutazione d’impatto unitamente ai dati di contatto di un referente;
3. i soggetti consultati e l’esito delle consultazioni;
4. le misure e i rimedi volti a mitigare i rischi individuati.
Tuttavia, il processo di valutazione d’impatto non si conclude con la redazione del report finale. Sebbene non sia obbligatoria a norma del Regolamento, il Gruppo di lavoro Art. 29 raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni.
8. Riesame e aggiornamento della valutazione d’impatto
La valutazione d’impatto rappresenta un “processo continuo” da riesaminare periodicamente ovvero ogniqualvolta vi sia un mutamento significativo circa la natura, la finalità o le modalità del trattamento, ivi compresa l’introduzione di nuove tecnologie. Le attività di riesame e aggiornamento sono dunque momenti rilevanti nel processo di valutazione d’impatto, poiché sono volti ad evitare che eventuali mutamenti incidano sull’osservanza della disciplina, garantendo così la costante conformità al Regolamento.
9. Risultato della valutazione d’impatto
Ove sulla base della valutazione d’impatto il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. In caso contrario, cioè qualora la situazione di rischio non sia stata mitigata e il trattamento riveli pertanto un rischio ancora elevato per i diritti e le libertà fondamentali dei soggetti interessati, occorrerà rivolgersi all’autorità di controllo (nel caso di specie, l’Autorità Garante italiana per la protezione dei dati personali) al fine di avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.