Il nuovo quadro normativo in materia di protezione dei dati personali è permeato da un approccio risk-based. Mentre la vecchia normativa prevedeva già un primo livello di conformità “pre-confezionato” da parte del legislatore (vd. l’abrogato Allegato B al Codice privacy pre-riforma), oggi la conformità alla normativa presuppone un processo di analisi che è prioritario rispetto a qualsiasi scelta in materia di protezione dei dati.
In particolare, l’art. 24 del Regolamento UE 2016/679 (cd. GDPR) richiede che ciascun titolare del trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, avendo condotto una preventiva analisi dei rischi che impattano sui diritti e le libertà delle persone, metta in atto misure tecniche e organizzative adeguate a garantire e dimostrare la conformità alla normativa.
Questa è l’anima dell’accountability, questo è il procedimento che dovrebbe guidare ogni organizzazione che oggi si appresti ad effettuare una qualche attività che preveda il trattamento di dati personali.
Ma analisi dei rischi e valutazione d’impatto sono due processi distinti o si sovrappongono? Quali aspetti hanno in comune e quali li differenziano?
Indice degli argomenti
L’analisi dei rischi nel GDPR
Oggi la misura del livello di sicurezza di un’organizzazione è valutabile solo calibrando il rischio intrinseco delle attività che questa pone in essere.
L’art. 32 GDPR sul punto è molto chiaro: come posso stabilire quali sono le misure di sicurezza “adeguate” per la mia organizzazione? L’analista oggi non ha più a disposizione una check list più o meno fissa come parametro di riferimento, ma deve svolgere un’attività di analisi preventiva sulla cui base poter parametrare le misure di sicurezza dell’organizzazione.
Com’è risaputo, il rischio è il risultato dell’incertezza sugli obiettivi e, nel contesto della protezione dei dati, il parametro che deve essere preso in considerazione non sono dei generici obiettivi di business (o, meglio, non solo), ma la tutela dei diritti e le libertà delle persone.
L’attività di analisi del rischio, quindi, dovrà essere orientata a questo.
È chiaro, però, che uno stesso evento può comportare conseguenze negative sia per gli interessati al trattamento, sia per l’organizzazione.
Alla luce del GDPR, infatti, oggi una violazione di dati può comportare una responsabilità nei confronti degli interessati, ma può avere serie ricadute anche per l’organizzazione (violazione della reputazione aziendale, perdita di affidabilità, perdite economiche dovute a sanzione da parte dell’Autorità Garante o alle richieste di risarcimento dei danni da parte degli interessati).
Per questi motivi diventa oggi fondamentale, per ogni organizzazione, condurre una preventiva analisi dei rischi che consenta di calcolare il livello di rischio intrinseco dell’attività svolta, valutare i controlli già implementati, calcolare quindi il livello di rischio residuo per l’organizzazione e pianificare il suo piano di trattamento secondo le modalità ritenute più opportune.
La valutazione d’impatto: cosa, come, quando
In questo quadro come si pone la cd. valutazione d’impatto (DPIA)?
L’art. 35 del GDPR dispone che quando un trattamento, considerati una serie di fattori quali la natura, l’oggetto, il contesto e la finalità di trattamento, presenti un rischio elevato per i diritti e le libertà delle persone, l’organizzazione, prima di procedere al trattamento, effettua una valutazione del suo impatto sulla protezione dei dati personali.
Dalla lettura di questa norma, quindi, si evince che, a seguito del procedimento di analisi dei rischi, potrebbe risultare, per una o più attività di trattamento, un livello di rischio elevato e, di conseguenza, la necessità di svolgere anche questo ulteriore adempimento.
L’art. 35 individua, in particolare, tre casi nei quali è richiesta una valutazione d’impatto, ovvero quando vengano effettuati:
- una valutazione sistematica e globale di aspetti relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- il trattamento, su larga scala, di categorie particolari di dati personali di cui all’art. 9, par. 1, o di dati relativi a condanne penali e a reati di cui all’art. 10; o
- la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Su questo argomento vanno, inoltre, prese in considerazione le Linee Guida WP248 del 4 aprile 2017 che prendono in considerazione nove criteri specifici alla luce dei quali, nel caso in cui un’attività di trattamento soddisfi due o più di essi, va eseguita la valutazione d’impatto.
Inoltre, l’11 ottobre 2018 il Garante per la protezione dei dati personali ha predisposto un Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 (pubblicato sulla Gazzetta Ufficiale n. 269 del 19-11-2018; doc web 9058979). L’elenco disciplina dodici tipologie di attività di trattamento che devono essere sottoposte a valutazione d’impatto[1].
Con riguardo ai contenuti, l’art. 35 del GDPR dispone che la valutazione debba almeno contenere: una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento; una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; una valutazione dei rischi per i diritti e le libertà degli interessati; le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
A questo scopo, l’Autorità francese per la protezione dei dati ha messo a disposizione un software di ausilio alle organizzazioni in vista della effettuazione della DPIA.
Questo software, completamente gratuito, offre un percorso guidato alla realizzazione della DPIA. Tuttavia, il Garante italiano, pur avendolo approvato e avendo collaborato per la messa a punto della versione italiana, sottolinea che il software non costituisce un modello al quale fare riferimento in ogni situazione di trattamento, in quanto è stato concepito soprattutto come ausilio metodologico per le Pmi.
Esso offre, in ogni caso, un focus sugli elementi principali di cui si compone la procedura e può, quindi, costituire un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d’impatto che andrà integrata in ragione della singola attività di trattamento che viene esaminata.
Analogie e differenze tra analisi dei rischi e DPIA
Abbiamo detto che il rischio è il risultato dell’incertezza su un obiettivo e che, quando parliamo di GDPR, il rischio che prendiamo in considerazione è il rischio che il trattamento può presentare rispetto ai diritti e alle libertà delle persone.
L’elemento che accomuna i due processi di analisi dei rischi e DPIA, quindi, è proprio il rischio.
Tuttavia, mentre in fase di analisi viene presa in considerazione tutta l’organizzazione del titolare e, quindi, tutte le attività di trattamento che da questa vengono svolte, invece in fase di DPIA vengono presi in considerazione unicamente i trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone.
La distinzione, quindi, ha anche una valenza temporale:
- logicamente prima deve essere svolto il processo di analisi dei rischi mediante il quale l’analista avrà tutti gli elementi per considerare se un trattamento è ad alto rischio;
- successivamente a questo processo, per tutti quei trattamenti che presentino un alto rischio, potrà rendersi necessaria una DPIA.
Dal punto di vista pratico, poi, la DPIA viene normalmente svolta prendendo come base di riferimento il template predisposto dal Garante francese. Per quanto riguarda, invece, l’analisi dei rischi, non esiste uno schema di riferimento valido per tutte le organizzazioni. L’attività viene normalmente condotta scegliendo un framework di riferimento al fine di stabilire il range di vulnerabilità dell’organizzazione stessa.
Alla luce di quanto esposto, quindi, appare evidente che l’analisi dei rischi e la DPIA siano due processi ben distinti. Vi sono taluni elementi in comune dati principalmente dal fatto che, in entrambi i casi, viene comunque analizzato un rischio e pianificato il suo trattamento nel tempo al fine di innalzare i controlli.
Tuttavia, i due processi hanno una scansione temporale ben distinta: il primo viene svolto prioritariamente su tutti i trattamenti svolti dall’organizzazione, mentre il secondo viene svolto successivamente e riguarda solo i trattamenti ad alto rischio. In questi casi è chiaro che, come disposto dall’art. 35 GDPR, il procedimento di analisi del rischio relativo al singolo trattamento verrà inglobato all’interno della valutazione d’impatto.
- Lo stesso Garante, tuttavia, ha successivamente precisato che le espressioni trattamenti “sistematici” e “non occasionali” indicate in questo Elenco (di cui ai punti 6, 11 e 12) vanno ricondotte al criterio della “larga scala” così come espressamente illustrato dal WP29 (“5. trattamento di dati su larga scala: il regolamento generale sulla protezione dei dati non definisce la nozione di “su larga scala”, tuttavia fornisce un orientamento in merito al considerando 91. A ogni modo, il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:a. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
b. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
c. la durata, ovvero la persistenza, dell’attività di trattamento;
d. la portata geografica dell’attività di trattamento”. ↑
