Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

Regolamento ue

GDPR, valutare l’impatto sulla protezione dei dati: focus sul nuovo obbligo

di Gabriele Faggioli, CEO Partners4innovation, Adjunct Professor MIP-Politecnico di Milano, Presidente Clusit (Associazione Italiana per la Sicurezza Informatica)

14 Lug 2017

14 luglio 2017

Ecco cosa cambierà con le nuove disposizioni Ue sulla valutazione d’impatto, uno strumento che aiuta imprese e PA a valutare la necessità e proporzionalità del trattamento e dall’altro a gestire i rischi per i diritti e le libertà delle persone fisiche che siano coinvolte in operazioni di trattamento di dati personali

Il 25 maggio 2018 diventerà applicabile il Regolamento Europeo n° 679/2016 che contiene una serie di importantissime novità in relazione al trattamento dei dati personali.

Fra la privacy by design e il principio dell’accountability, il diritto all’oblio, la portabilità dei dati e le valutazioni di adeguatezza delle misure di sicurezza, una particolare attenzione deve essere posta alla valutazione di impatto sulla protezione dei dati personali, adempimento del tutto nuovo nell’ordinamento giuridico italiano e con cui imprese e pubbliche amministrazioni dovranno necessariamente confrontarsi.

L’art. 35 del Regolamento ha introdotto la valutazione di impatto che si sostanzia in un processo volto, da un lato, a valutare la necessità e proporzionalità del trattamento e dall’altro a gestire i rischi per i diritti e le libertà delle persone fisiche che siano coinvolte in operazioni di trattamento di dati personali.

In pratica, trattasi di uno strumento che serve a valutare le misure di sicurezza da adottare al fine di ridurre al minimo i rischi del trattamento al fine di garantire e dimostrare che le operazioni poste in essere sui dati personali sono conformi alle disposizioni del Regolamento.

L’effettuazione della valutazione d’impatto non è obbligatoria per tutte le operazioni di trattamento di dati personali ma solo qualora il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche (oltre a una serie di ipotesi espressamente previste dall’articolo 35 del Regolamento).

Ogni azienda e pubblica amministrazione ha quindi l’onere di comprendere quando sarà tenuta a svolgere la valutazione di impatto e per questo motivo il 4 aprile 2017 il Gruppo di Lavoro ex art. 29 (WP29) ha una Linea Guida avente ad oggetto specifico la valutazione d’impatto. Le Linee Guida hanno quattro scopi primari:

  • Definire una lista di operazioni di trattamento di dati personali rispetto alle quali l’effettuazione della valutazione d’impatto deve ritenersi obbligatoria;
  • Definire un elenco di operazioni di trattamento rispetto alle quali la valutazione d’impatto non è necessaria;
  • Definire dei criteri comuni aventi ad oggetto la metodologia da adottare per l’effettuazione della valutazione d’impatto;
  • Definire dei criteri comuni nel definire quando è necessario consultare l’Autorità di controllo (necessario quando la valutazione di impatto si conclude comunque con un giudizio di alto rischio in relazione al trattamento).

Trattandosi di una procedura sicuramente onerosa è particolarmente utile che il WP29 abbia adottato la Linea Guida considerando l’importanza di definire quando un trattamento possa presentare «un rischio elevato per i diritti e le libertà delle persone fisiche» e necessiti dunque dell’effettuazione di una valutazione d’impatto. Le interpretazioni sul punto, infatti, sarebbero state le più diverse. Il WP29 ha quindi specificato che la valutazione di impatto deve porsi in essere se sussista almeno uno di una serie di aspetti di cui si riportano di seguito quelli ritenuti maggiormente rilevanti:

  • Esistenza di processo di valutazione dell’interessato, compresa la profilazione, in particolare al fine di analizzare aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, ecc. (per fare un esempio: una banca che dovesse selezionare i propri clienti attingendo le informazioni da banche dati relative al credito concesso si dovrebbe considerare in ambito di valutazione di impatto);
  • Sussistenza di monitoraggio sistematico degli interessati soprattutto perché in tali casi gli interessati potrebbero non essere consapevoli di chi sta trattando i loro dati e delle modalità con le quali il trattamento viene effettuato. Ciò vale, ad esempio, rispetto alle ipotesi nelle quali i dati vengano raccolti in spazi pubblici o aperti al pubblico
  • Effettuazione, su larga scala, di operazioni di trattamento di categorie particolari di dati personali (ad esempio, rispetto ad un ospedale che conserva i dati sanitari dei pazienti;
  • Creazione di set di dati abbinati o combinati tra loro, in quanto originati da due o più operazioni di trattamento, poste in essere per scopi differenti e/o da diversi Titolari del trattamento (facile immaginare l’impatto sui big data);
  • Utilizzo di soluzioni tecnologiche o organizzative di carattere innovativo come ad esempio sistemi di riconoscimento del volto usati per gestire il controllo degli accessi o i sistemi di sicurezza basati sulla mappa magnetica delle persone.

Le casistiche sopra riportate (peraltro non esaustive) rendono evidente come la valutazione di impatto diventerà usuale in tutti i contesti ad alta e innovativa tecnologia nonché in tutti i casi in cui si effettuino trattamenti su larga scala. L’impatto sul mondo del CRM, dei servizi di cloud computing,  sull’IoT, sul mobile sarà quindi rilevantissima e giocherà un ruolo essenziale nei giudizi di adeguatezza delle misure di sicurezza di cui dovranno essere dotati tali prodotti e servizi che quando comporteranno il trattamento di dati personali.

Si deve poi tenere conto che una singola valutazione d’impatto potrà essere effettuata con riferimento a più operazioni di trattamento di dati personali qualora gli stessi risultino simili per quanto attiene ai rischi che presentano. È il caso, ad esempio, dell’operatore ferroviario (unico Titolare del trattamento) che effettua un’unica valutazione d’impatto rispetto agli impianti di videosorveglianza utilizzati in tutte le stazioni ferroviarie.

Una domanda che le aziende e le pubbliche amministrazioni che hanno avviato progetti di adeguamento al Regolamento si stanno spesso facendo è come comportarsi rispetto ai trattamenti già in essere alla data del 25 maggio 2018. Ebbene, formalmente, tali trattamenti non richiederebbero l’effettuazione della valutazione d’impatto tuttavia, il WP29 nelle linee guida sopra citate ha raccomandato fortemente di effettuare la valutazione d’impatto anche rispetto alle operazioni di trattamento già in corso. Inoltre poiché qualora dovessero insorgere variazioni del rischio rappresentato dalle attività relative al trattamento il Titolare dovrà procedere ad un riesame per valutare la conformità alla valutazione di impatto e eventualmente ripeterla (si pensi ad esempio a una società che abbia avviato un trattamento in ambito CRM prima del 25 maggio 2018 e, successivamente, sposti il trattamento su una soluzione di cloud computing) anche per i trattamenti già in corso alla data indicata potrà risultare obbligatorio, successivamente, effettuare la valutazione di impatto qualora venga utilizzata una nuova tecnologia o i dati vengano trattati per finalità differenti.

Emerge da quanto sopra che la valutazione di impatto va dunque vista come un processo di carattere dinamico, soprattutto con riferimento a quei trattamenti soggetti a continui cambiamenti, e non invece come un adempimento statico che una volta effettuato mette al riparo da rischi per un tempo indefinito.

Nella figura che segue si riporta l’ottima immagine contenuta nelle linee guida del WP29 sopra citate e che rendono chiaro il processo di gestione di una valutazione di rischio.

Il Regolamento non fornisce indicazioni in ordine alle modalità con le quali effettuare la valutazione di impatto e sarà dunque onere del Titolare del trattamento stabilire la struttura e la forma che tale valutazione dovrà avere. Ad ogni modo, essa dovrà necessariamente contenere gli elementi indicati dall’articolo 35 del Regolamento.

Per finire si noti che qualora dovessero residuare rischi elevanti, sarà comunque necessario effettuare una consultazione preventiva dell’Autorità di controllo.

Nella vigente normativa per i trattamenti che presentano rischi specifici si può procedere con istanza al Garante per la protezione dei dati personali ai sensi dell’articolo 17 del Codice. Il cambiamento normativo è rilevante: si passa da un obbligo di consultazione a un modello in cui la consultazione dovrebbe essere residuale e, comunque, è demandata al prudente apprezzamento del Titolare del trattamento.

Nel passato, le istanze ex art. 17 del Codice sono state anche usate per ottenere deroghe normative (per esempio per ottenere un allungamento del limite massimo di conservazione e utilizzo dei dati personali inerenti gli acquisti effettuati dagli interessati trattati per finalità di marketing e profilazione). Ci si chiede se venuto meno dall’anno prossimo l’istituto si potrà ancora chiedere deroghe alla normativa utilizzando il sistema della valutazione di impatto con al limite consultazione preventiva all’Autorità di controllo o se invece si dovrà rinunciare. Vedremo nei prossimi mesi se giungeranno indicazioni dal Garante o dal legislatore.

Articoli correlati