Con l’entrata in vigore del GDPR, il risk-based thinking, l’approccio basato sul rischio, ha assunto definitivamente un ruolo di rilievo nell’ambito della materia privacy.
Il risk-based thinking nasce dalle norme di nuova generazione sui sistemi di gestione, e consiste nell’utilizzare un approccio sistematico, strutturato e proattivo per la gestione dei rischi in un determinato ambito di applicazione, come può essere la qualità nella ISO 9001, la sicurezza delle informazioni nella ISO/IEC 27001 o l’ambiente nella ISO 14001.
Nel GDPR, l’ambito di applicazione è la privacy, più precisamente la tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali.
Indice degli argomenti
GDPR e risk-based thinking: una corretta interpretazione
L’approccio basato sul rischio permea l’intero regolamento, integrandosi perfettamente con tutti i principi cardine dello stesso.
Si parla infatti di rischi nell’art 24 relativo all’accountability, così come nell’art. 25 che definisce i principi di privacy by design e privacy by default, ma anche negli artt. 33 e 34 che regolamentano la gestione di un data breach.
Ad ogni modo, la manifestazione più evidente di risk-based thinking la troviamo negli artt. 32 e 35 e negli istituti da questi introdotti: valutazione dei rischi e valutazione d’impatto (DPIA). Si tratta di due istituti di sostanziale importanza in ottica compliance GDPR, il cui recepimento è stato tuttavia caratterizzato da continui fraintendimenti riguardo finalità, tempistiche e metodologie di implementazione.
Le cause di tali fraintendimenti sono in buona parte da ricondurre alla scarsa consapevolezza che molti Privacy Officer e DPO hanno del concetto di rischio inteso nella sua accezione più pura, il che ha reso per molti di loro estremamente complicato apprezzarne la contestualizzazione in ambito privacy.
E così, a poco più di un anno dall’effettiva applicazione del regolamento, e nonostante sia l’ex WP29 sia il Garante siano intervenuti sul tema nel tentativo di fare chiarezza, valutazione dei rischi e DPIA continuano ad essere vittime di errate interpretazioni, mentre prosegue inarrestabile il proliferare di metodologie di applicazione sempre più complesse e controverse che sono utili a tutto fuorché a raggiungere la compliance GDPR.
La presente analisi si pone quindi l’obiettivo, partendo dalla definizione generale di rischio e passando per la contestualizzazione del rischio in ambito privacy, di fornire un’interpretazione logica e coerente dell’approccio basato sul rischio che informa il GDPR, con focus finale sugli istituti della valutazione dei rischi ex art. 32 e della DPIA ex art. 35.
Il concetto di rischio
Al giorno d’oggi il rischio è un concetto estremamente diffuso e strumentalizzato. Chiunque, a prescindere dal settore di business di appartenenza, avrà sentito parlare almeno una volta dell’importanza di saper individuare, valutare e gestire in modo opportuno i rischi per i propri prodotti, servizi, progetti o processi. Eppure, ancora in pochi comprendono realmente il significato e la portata di tale concetto.
Cos’è un rischio? E cos’è esattamente una valutazione dei rischi?
Se ponessimo queste semplici domande a tre manager di tre diversi settori, con grandissima probabilità riceveremmo altrettante risposte differenti. E non c’è da meravigliarsi, dal momento che sono moltissimi gli standard e i regolamenti che propongono al loro interno definizioni di rischio specifiche rispetto ad un determinato ambito di applicazione.
Ora, senza voler entrare nel merito di quale di queste definizioni sia la migliore, o la più completa, ne riporterò una che a mio avviso è estremamente chiara e che si rivelerà particolarmente efficace ai fini della presente analisi.
Si tratta della definizione contenuta all’interno della NIST Special Pubblication 800-53, secondo la quale “il rischio è la misura di quanto un soggetto è minacciato da un evento o da una circostanza potenziale, ed è funzione dell’impatto negativo che deriverebbe dall’effettivo verificarsi dell’evento o della circostanza e della probabilità di accadimento di questi ultimi”.
Tale definizione, a differenza di molte altre, ha il grande pregio di cogliere ed enfatizzare i due elementi fondamentali che sono alla base del concetto di rischio: il soggetto di interesse, ovvero qualcuno o qualcosa la cui sicurezza è minacciata, ed il contesto di riferimento, ovvero l’insieme di eventi e di circostanze ai quali il soggetto di interesse è esposto e che potrebbe potenzialmente comprometterne la sicurezza.
Il concetto di rischio trova un senso proprio nella combinazione di questi due elementi. È infatti evidente che, in assenza di qualcuno o qualcosa esposto ad un determinato evento, non avrebbe alcun senso parlare di rischi in relazione a quell’evento.
Allo stesso modo, un qualsiasi soggetto non correrebbe alcun rischio se non si trovasse esposto a determinati eventi o circostanze che potrebbero potenzialmente comprometterne la sicurezza.
Consolidiamo questi concetti con un semplice esempio.
Il fatto che domani molto probabilmente ci sarà burrasca nel tratto di mare di fronte casa mia è un semplice evento, caratterizzato da una certa probabilità di accadimento, ma di per sé privo di rischi per la mia persona.
Se però decidessi di pianificare, per la giornata di domani, un giro in barca proprio in quel tratto di mare, esporrei la mia persona ad un contesto potenzialmente critico e ad una serie di rischi a questo connessi, tra cui, ovviamente, i rischi legati alle particolari condizioni meteorologiche.
Il fatto che domani molto probabilmente ci sarà burrasca, quindi, associato al contesto di una gita in barca e in virtù del fatto che c’è un preciso soggetto esposto a quel contesto, si tramuta da semplice evento a rischio.
Lo stesso vale ovviamente per tutti gli altri eventi e circostanze che, al pari delle condizioni meteorologiche, caratterizzano il contesto di riferimento della gita in barca e che potrebbero comportare dei rischi per la mia persona, come ad esempio le condizioni del tratto di mare interessato (flora, fauna, rocce ecc.), oppure la tipologia e lo stato dell’imbarcazione che utilizzerò per l’uscita.
Ci sarebbero quindi tutti gli estremi per procedere con una valutazione dei rischi.
Ed ecco che riaffiora la seconda domanda che ci eravamo posti ad inizio paragrafo: cos’è esattamente una valutazione dei rischi? Anche in questo caso, per rispondere efficacemente è necessario riferirsi ai due elementi cardine del concetto di rischio: soggetto di interesse e contesto di riferimento.
Effettuare una valutazione dei rischi significa infatti quantificare i rischi che un determinato soggetto corre in conseguenza dell’esposizione ad un determinato contesto di riferimento.
L’oggetto della valutazione dei rischi, in particolare, sarà proprio quel contesto di riferimento, inteso come l’insieme di eventi e di circostanze ai quali il soggetto di interesse è esposto e che abbiano le potenzialità di comprometterne la sicurezza.
Tornando all’esempio della gita in barca, avendo parlato in precedenza dei rischi per la mia persona, potremmo ipotizzare di condurre una valutazione dei rischi che abbia come soggetto di interesse proprio la mia persona.
L’oggetto della valutazione sarà quindi lo specifico contesto di riferimento al quale la mia persona sarà esposta e che, come detto, comprenderà tutta una serie di eventi e di circostanze relativi alle condizioni meteorologiche, al tratto di mare interessato, alle mie capacità natatorie, alla tipologia e allo stato dell’imbarcazione e in generale a qualsiasi altro aspetto relativo al giro in barca che potrebbe avere un impatto sulla sicurezza della mia persona.
In modo del tutto analogo, potremmo invece condurre una differente valutazione dei rischi avente come soggetto di interesse l’imbarcazione che utilizzerò per l’escursione. In questo caso, durante la valutazione considererò sicuramente gli eventi e le circostanze relativi alle mie capacità di pilotare l’imbarcazione, mentre non avrebbe alcun senso continuare a considerare le mie capacità natatorie, del tutto ininfluenti per la sicurezza dell’imbarcazione e quindi prive delle potenzialità di generare dei rischi per quest’ultima.
In definitiva, possiamo affermare che, volendo contestualizzare il rischio in un determinato ambito di applicazione, è innanzitutto imprescindibile identificare in modo puntuale il soggetto di interesse ed il contesto di riferimento.
In ambito privacy, come vedremo, è stata proprio la diffusa incapacità di riuscire a distinguere ed inquadrare correttamente i suddetti elementi ad aver generato moltissima confusione e ad aver di fatto compromesso l’interpretazione del risk-based thinking introdotto dal GDPR.
GDPR e risk-based thinking: contestualizzazione del rischio privacy
Volendo analizzare la contestualizzazione del rischio in ambito privacy introdotta dal GDPR, non possiamo che partire da un’espressione che all’interno del regolamento si ripete decine e decine di volte: rischi per i diritti e le libertà delle persone fisiche con riguardo al trattamento dei dati personali.
All’interno di questa dicitura troviamo infatti espressi entrambi gli elementi cardine del concetto di rischio: il soggetto di interesse, ovvero i diritti e le libertà delle persone fisiche, ed il contesto di riferimento, ovvero il trattamento dei dati personali.
L’intento del regolamento nel contestualizzare il rischio in ambito privacy è quindi chiarissimo, ed è quello di tutelare le persone fisiche da tutti gli aspetti relativi al trattamento dei dati personali che potrebbero in qualsiasi modo comprometterne i diritti e le libertà fondamentali.
Tutto molto chiaro ed intuitivo, verrebbe da dire. E invece no.
Il problema è che tale chiave di lettura, sebbene sia totalmente coerente con le finalità ultime del GDPR e sebbene rappresenti, in via definitiva, l’unica interpretazione ragionevolmente possibile ed accettabile del concetto di rischio introdotto dal regolamento, è sorprendentemente sfuggita alla stragrande maggioranza di tecnici ed esperti del settore.
E così, la tutela delle persone fisiche è stata erroneamente interpretata come tutela degli interessati, mentre la sicurezza del trattamento è stata regolarmente confusa con la sicurezza dei dati personali trattati.
Merita fare chiarezza.
Partiamo con una prima, fondamentale osservazione: persone fisiche ed interessati non sono la stessa cosa.
Risulta infatti evidente come all’interno del regolamento le due espressioni siano utilizzate in modo del tutto distinto ed indipendente, e che quando in particolare il GDPR si riferisce alle persone fisiche lo fa per andare ben oltre il limitato insieme degli interessati e per abbracciare anche coloro che, pur non essendo interessati, potrebbero vedere i propri diritti e le proprie libertà minacciati dal trattamento dei dati personali di questi ultimi.
Tale differenza, seppur apparentemente sottile, comporta in realtà delle implicazioni di enorme portata. Chiariamo il concetto con un esempio.
Prendiamo una struttura sanitaria che tratta dati personali relativi alla salute di pazienti affetti da malattie sessualmente trasmissibili. In questo caso, la DPIA relativa ai trattamenti effettuati su quei dati non potrà e non dovrà ignorare i rischi per i diritti e le libertà dei partner di tali pazienti, così come quelli dei figli di questi ultimi, in particolar modo se minorenni.
Tali persone fisiche, infatti, pur non rientrando nella categoria di interessati (i dati personali trattati non si riferiscono a loro) rischierebbero comunque di vedere violato il proprio diritto alla non discriminazione o alla non emarginazione nel caso in cui quei dati venissero trattati impropriamente (ad esempio se venissero accidentalmente resi pubblici), con evidenti gravi ripercussioni sulle loro vite personali.
Quindi, in relazione ad un generico trattamento di dati personali, il GDPR prevede l’obbligo, per titolari e responsabili del trattamento, di valutare non solo i rischi per gli interessati, ma più in generale per tutte le persone fisiche i cui diritti e le cui libertà fondamentali, direttamente o indirettamente, potrebbero essere minacciati da quel determinato trattamento.
Una seconda precisazione riguarda il concetto di sicurezza del trattamento: dati personali sicuri, ovvero dati per i quali sono garantiti alti livelli di riservatezza, integrità e disponibilità, non garantiscono necessariamente trattamenti sicuri.
La sicurezza del trattamento va infatti ben oltre la sicurezza dei dati trattati, e deve necessariamente considerare tutta una serie di aspetti aggiuntivi quali, a titolo esemplificativo e non esaustivo, le finalità, la proporzionalità e la base giuridica del trattamento stesso.
Per sciogliere ogni dubbio a riguardo, potrebbe essere utile riprendere l’art.1, paragrafo 6 del GDPR, all’interno del quale leggiamo: “Il presente regolamento protegge i diritti e le libertà delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.
Risulta quindi evidente come, benché la sicurezza dei dati personali trattati sia un tassello fondamentale per la tutela dei diritti e delle libertà delle persone fisiche, quest’ultima dipenderà inevitabilmente anche da altri fattori.
Riprendiamo, per comodità, l’esempio precedente relativo alla struttura sanitaria che tratta dati personali relativi a malattie sessualmente trasmissibili. Ipotizziamo, quindi, che tale struttura, a seguito della DPIA svolta sui trattamenti di tali dati, abbia messo in atto tutte le misure tecniche ed organizzative necessarie a garantirne elevatissimi livelli di riservatezza, integrità e disponibilità, e che esclusivamente in virtù di ciò abbia stabilito che i trattamenti possano ritenersi privi di rischi per i diritti e le libertà degli interessati.
Ovviamente, una DPIA così strutturata non è conforme al regolamento, in quanto l’unico diritto che è in grado di tutelare è quello relativo alla protezione dei dati personali.
E se, per esempio, tra i trattamenti svolti dalla struttura ci fosse anche la profilazione dei pazienti in base alla specifica malattia cui sono affetti (HIV, sifilide ecc.)? In questo caso, i dati personali continuerebbero ad essere super sicuri, protetti dalle più efficaci misure tecniche ed organizzative, eppure il trattamento di profilazione potrebbe gravemente violare i diritti e le libertà dei pazienti, ad esempio se la struttura non avesse provveduto a raccogliere presso gli stessi un consenso libero, specifico, informato ed inequivocabile per il trattamento di profilazione.
Appare quindi chiaro come dati personali estremamente sicuri potrebbero comunque essere trattati in modo tale da comportare dei rischi elevati per i diritti e le libertà delle persone fisiche.
In definitiva, in ambito privacy, una gestione del rischio valida e conforme al regolamento richiederebbe a titolari e responsabili di fare tutto il possibile (ed essere in grado di dimostrarlo) per tutelare i diritti e le libertà delle persone fisiche con riguardo al trattamento dei dati personali.
Purtroppo, però, in virtù dei sopra citati fraintendimenti, quella che avrebbe dovuto imporsi come regola è finita per diventare una rara eccezione, e ad oggi la stragrande maggioranza di strumenti e metodologie a supporto della gestione dei rischi privacy continua ad essere non conforme ai requisiti del GDPR.
GDPR e risk-based thinking: valutazione dei rischi e DPIA
Abbiamo visto come l’approccio basato sul rischio che informa il GDPR intenda tutelare i diritti e le libertà delle persone fisiche dai rischi derivanti dal trattamento dei dati personali.
Per supportare il titolare ed il responsabile del trattamento nel perseguimento di tale obiettivo, il regolamento introduce, all’interno della Sezione II – Protezione dei dati personali, due istituti fondamentali quali la valutazione dei rischi ex art.32 e la valutazione d’impatto (DPIA) ex art.35.
Si tratta di due istituti strettamente interconnessi, che se inquadrati all’interno di un processo logico, coerente e strutturato consentono non solo di supportare il titolare ed il responsabile del trattamento nella corretta gestione dei rischi privacy, ma anche di fornire a questi ultimi un potente strumento di accountability.
Tuttavia, a seguito delle criticità abbondantemente affrontate e discusse nella prima parte del presente articolo, il recepimento dei due adempimenti è stato a dir poco problematico.
Moltissimi dubbi sono stati infatti sollevati riguardo alle finalità, ai contenuti e alle differenze delle due Valutazioni, per non parlare delle opinioni contrastanti, anche tra tecnici specializzati nella materia, riguardo le circostanze che richiedano la necessità di procedere con l’una, piuttosto che con l’altra.
Il fenomeno, se ci pensiamo, è ancor più sorprendente dell’errata interpretazione del risk-based thinking che informa il GDPR, e questo perché, oltre a tutte le risposte di per sé contenute negli artt. 32 e 35 e nei relativi considerando, ci sono stati interventi specifici sul tema sia da parte del Garante, in particolare con il Provvedimento n. 467 dell’11 ottobre 2018, che dell’Ex. WP 29 con le Linee-guida concernenti la DPIA.
Riassumiamone quindi i concetti principali.
Sostanzialmente, possiamo considerare valutazione dei rischi ex art. 32 e DPIA ex art. 35 come due adempimenti distinti e consequenziali, appartenenti ad un unico processo di gestione dei rischi privacy.
Tale processo parte sottoponendo un determinato trattamento alla valutazione dei rischi ex art. 32, il cui fine ultimo è quello di determinare se un trattamento possa presentare dei rischi per i diritti e le libertà delle persone fisiche, nonché di valutare quanto effettivamente il livello di sicurezza garantito dalle misure tecniche ed organizzative progettate ed implementate sia adeguato a tali rischi.
Il regolamento stabilisce che la valutazione dei rischi ex art. 32 sia sempre necessaria, e che dovrà quindi essere svolta, da titolari e responsabili, indistintamente su ogni trattamento di dati personali.
Dalla valutazione dei rischi, in particolare, dovranno emergere i trattamenti che presentano rischi elevati per le persone fisiche. Per tali trattamenti, infatti, il titolare del trattamento avrà l’obbligo di procedere con una ulteriore e più approfondita analisi: la valutazione d’impatto ex art. 35, o DPIA.
Di fatto, quindi, la valutazione dei rischi precede concettualmente la DPIA, ed anzi ne determina l’effettiva necessità. I due istituti sono quindi evidentemente ed indissolubilmente legati.
Se, dunque, un determinato trattamento dovesse presentare dei rischi elevati per i diritti e le libertà delle persone fisiche, il titolare procederà con una DPIA su quel trattamento, determinando l’origine, la natura, la particolarità e la gravità dei rischi a questo associato, e definendo al contempo le misure tecniche ed organizzative necessarie ad attenuarli e a garantire un adeguato livello di sicurezza.
Al termine della DPIA possono quindi presentarsi due distinti scenari. Nel primo, il titolare è stato in grado di attenuare il rischio elevato associato al trattamento e di garantirne, di conseguenza, un adeguato livello di sicurezza. La DPIA avrà quindi avuto un esito positivo, ed il titolare potrà procedere con il trattamento. Nel secondo scenario, invece, il titolare non è stato in grado di garantire un livello di sicurezza adeguato al rischio, che rimane quindi elevato. In tal caso, questi dovrà decidere se rinunciare a procedere al trattamento o in alternativa se consultare l’Autorità di controllo, rimettendosi al giudizio di quest’ultima.
L’inquadramento e l’integrazione di valutazione dei rischi e DPIA all’interno di un processo strutturato, logico e coerente come quello appena descritto consente quindi ai titolari ed ai responsabili del trattamento di gestire in modo opportuno il rischio in ambito privacy e di garantire, in definitiva, che i trattamenti dei dati personali siano da essi effettuati nel rispetto dei diritti e delle libertà delle persone fisiche.
È importantissimo, in tal senso, precisare due aspetti fondamentali: il primo è che, coerentemente con i principi di privacy by design e privacy by default, valutazione dei rischi e DPIA devono essere svolti nelle primissime fasi di pianificazione di un trattamento, e quindi prima che questo effettivamente si concretizzi.
Anche perché, come detto, ad una DPIA conclusa con esito negativo potrebbe seguire la rinuncia, da parte del titolare, a procedere con il trattamento.
Il secondo aspetto da chiarire è che valutazione dei rischi e DPIA sono adempimenti dinamici. È indispensabile quindi prevederne un processo di revisione periodica che ne rinnovi i contenuti ogniqualvolta dovessero essere apportate delle modifiche sostanziali al trattamento che potrebbero in qualsiasi modo alterarne il livello di rischio, come ad esempio l’impiego di nuove tecnologie o l’apporto di modifiche alle misure tecniche ed organizzative implementate.
Conclusione
Il risk-based thinking che informa il GDPR è assolutamente coerente con i fini ultimi del regolamento, proponendosi di tutelare i diritti e le libertà delle persone fisiche con riguardo al trattamento dei dati personali.
Il regolamento mette inoltre a disposizione di titolari e responsabili del trattamento tutti gli strumenti necessari per perseguire tale scopo, e quindi per valutare e gestire opportunamente i rischi in ambito privacy.
Pertanto, non sussistono valide scusanti dietro le quali titolari e responsabili del trattamento non ancora a norma potranno trovare riparo in caso di data breach o di eventuale verifica da parte dell’Autorità di controllo che dovessero evidenziare una gestione dei rischi privacy non compliant al regolamento.
