L’approccio privacy basato sul rischio colma l’intera logica applicativa del GDPR e porta il titolare a dover considerare “rischioso” per l’interessato qualsiasi trattamento di dati personali al quale sia applicabile il Regolamento europeo.
Per tale ragione, la consapevolezza che chi tratta dati personali in qualità di titolare del trattamento espone l’interessato a potenziali rischi, è il punto di partenza per un corretto recepimento dei principi fondanti della normativa.
In questo contesto, la DPIA è uno strumento utile di cui servirsi per una corretta valutazione.
Indice degli argomenti
Il framework normativo di riferimento
Il GDPR, infatti, ha apportato significative modifiche alla disciplina sul trattamento dei dati personali, generando uno scalpore mediatico di notevoli proporzioni, forse, per merito (o colpa) degli importi delle sanzioni applicabili e a distanza di due anni si traggono le prime conclusioni.
In ambito commerciale e aziendale, da un lato, l’effetto di generare la “corsa alla conformità” delle aziende italiane per evitare sanzioni da 10 o 20 milioni di euro, dall’altro, l’effetto di rendere più consapevoli imprenditori e aziende dell’esistenza di tale normativa, spesso trascurata.
Nonostante il giustificato timore suscitato dalle sanzioni, in realtà, l’approccio e la “filosofia” del GDPR – se letti in chiave positiva – non sono più stringenti di quanto non lo fosse la precedente normativa, anzi, si rileva una maggiore apertura in favore della libera circolazione dei dati personali all’interno dell’Unione Europea e una maggiore autonomia per i titolari del trattamento nell’adempimento degli obblighi.
A livello nazionale, soprattutto piccole e medie aziende fanno fatica a scorgere nell’adeguamento al GDPR un’opportunità di crescita e di investimento per le proprie aziende, percependolo invece come un gravoso adempimento obbligatorio, statico e formale.
Tra le barriere che impediscono ai titolari del trattamento di avere una visione “positiva”, va rilevata senz’altro l’elevata complessità della disciplina, dal punto di vista della terminologia, di contenuto e di applicabilità operativa.
Per tali ragioni, un titolare del trattamento che non ha mai curato l’aspetto data protection nell’ambito della propria attività, si trova necessariamente ad affrontare un costo notevole per adeguare la propria azienda/realtà ad una normativa che risulta praticamente impossibile applicare correttamente per i “non addetti ai lavori”.
In quest’ottica risulta fondamentale il ruolo degli operatori della materia, quali consulenti, DPO, società di consulenza, data manager ecc., che assumono l’importante compito di “tradurre” il linguaggio del GDPR e trasmetterne i principi cardine ai titolari del trattamento, in modo tale da ingenerare in loro quella coscienza e sensibilità (oltre alla consapevolezza dei relativi obblighi) che sta alla base del principio di responsabilizzazione (cosiddetta “accountability”) sul quale è costruito l’intero impianto del GDPR.
L’approccio privacy basato sul rischio
Alcuni dei principi del GDPR, quali appunto l’accountability e la privacy by design e by default, non fanno altro che guidare i titolari del trattamento verso l’adozione di misure e cautele che consentono di trattare i dati personali limitando il più possibile i rischi per gli interessati.
L’approccio privacy basato sul rischio può tradursi come l’analisi preventiva del contesto del trattamento, del grado di probabilità e di gravità dei potenziali rischi ai quali è esposto l’interessato e la predisposizione di piani di azione volti a limitare il verificarsi degli eventi a rischio.
Si tratta di un processo di autovalutazione, all’esito del quale il titolare deve adottare le cautele e le misure tecnico organizzative che risultino (e che ritiene) più idonee a mitigare i rischi e proteggere gli interessati e i relativi dati personali.
Il principio di accountability, insieme all’approccio privacy basato sul rischio, determina il superamento del concetto di misure “minime di sicurezza” della precedente disciplina, colpevole di aver ingenerato nei titolari la percezione errata che la conformità alla normativa e la tutela dei dati personali potesse essere conseguita mediante adempimenti meramente formali, scollegati dall’applicazione pratica e quotidiana di trattamento.
Il Modello Organizzativo Privacy è un modello dinamico che segue passo passo l’attività aziendale.
La valutazione di impatto come obbligo e come best practice
Sulla base dei citati principi e dell’approccio basato sul rischio, il GDPR ha previsto un adempimento obbligatorio, la cosiddetta valutazione di impatto (Data Protection Impact Assessment, “DPIA”), finalizzato a tutelare i casi in cui i rischi ai quali si espone l’interessato siano particolarmente elevati e mettano in pericolo i diritti e le libertà delle persone fisiche.
Senza entrare nel merito degli aspetti interpretativi e applicativi della relativa norma (articolo 35 del GDPR), si rileva l’importanza della valutazione di impatto e i suoi benefici, per i titolari del trattamento, in termini di conformità e di adeguatezza nella gestione del rischio.
La valutazione d’impatto altro non è che una specifica valutazione sulla rischiosità del trattamento effettuata considerando tutti gli elementi dello stesso e avendo riguardo anche alle possibili misure per “limitare” il rischio ad esso associato.
Ecco perché la DPIA si pone come successivo adempimento rispetto ad una preventiva e generalizzata valutazione dei rischi connessi ai trattamenti che il titolare è tenuto ad effettuare ai sensi dei considerando 75, 76 e 77 del GDPR in termini di probabilità e gravità del rischio per i diritti e le libertà dell’interessato.
Queste ultime dovrebbero essere valutate tenendo in considerazione l’origine, l’ambito di applicazione, il contesto e le finalità̀ del trattamento.
Il rischio deve essere valutato attraverso considerazioni di carattere oggettivo e occorrerà individuare le migliori misure tecniche e organizzative per attenuarlo.
Il rischio elevato
A questo punto sorge spontanea la domanda: “Che cosa si intende per rischio elevato?”. Possiamo rispondere affermando, con le parole utilizzate nel parere del Gruppo di Lavoro Articolo 29, che con il termine rischio si intende “uno scenario descrittivo di un evento e delle relative conseguenze, stimate in termini di gravità e probabilità” per i diritti e le libertà.
Occorre precisare che il rischio non si riferisce al titolare del trattamento, bensì ai soggetti interessati, cioè le persone fisiche delle quali vengono trattati i dati personali; in secondo luogo, che non bisogna confondere la gestione dei rischi, cioè l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi”, con il tema delle misure di sicurezza.
È necessario quindi valutare non solo la sicurezza del trattamento, con riferimento alla disponibilità, all’integrità e alla riservatezza del dato, ma anche i suoi effetti complessivi, quali ad esempio i danni per la reputazione, discriminazione, furto d’identità, perdite finanziarie o altri svantaggi economico-sociali, perdita di controllo dei dati, impossibilità di esercitare diritti.
Consideriamo quali sono le misure per la gestione del rischio, ricordando che è compito del Titolare del trattamento prevedere quelle adeguate:
- misure organizzative (ad esempio ruoli, governance, formazione, procedure, audit, strumenti a disposizione degli interessati, contatti);
- misure tecnologiche (ad esempio policy di sicurezza logiche e fisiche, aggiornamenti dei servizi e software test, controllo degli accessi e tracciamento delle operazioni);
- minimizzazione;
- anonimizzazione;
- cifratura;
- conservazione adeguata (con riferimento sia ai supporti sia al periodo temporale).
La procedura di valutazione è scandita in fasi, sostanzialmente corrispondenti ai passaggi previsti dalla norma, e ha la funzione di orientare il titolare nell’analisi e nella valutazione di:
- contesto dei trattamenti,
- esposizione ai relativi rischi,
- misure di sicurezza adottate,
- mappatura globale dei rischi,
- piani di azione predisposti per mitigare tali rischi.
Il processo di digitalizzazione consente certamente di alleggerire il compito del titolare nella valutazione d’impatto.
Ed infatti, ciascun trattamento può essere valutato con riferimento alla sua rischiosità e, attraverso tale processo potrà essergli assegnato un certo punteggio numerico, sintesi di una matrice nella quale sono valutati congiuntamente l’impatto negativo (o danno) che un determinato evento potrebbe determinare con la sua probabilità di accadimento.
Mettendo a fattore tali elementi numerici con quelli assegnati alle misure che potrebbero attenuare i fattori di rischio, riusciamo ad assegnare al trattamento un certo valore numerico che può determinarci, in maniera oggettiva, la sua rischiosità.
La valutazione d’impatto svolta attraverso uno strumento digitale consente, peraltro, non solo di avere ben chiaro il trattamento nella sua complessità, ma, anche di collegarlo ad altri trattamenti con cui potrebbe avere delle affinità; in tale maniera potrebbe porsi l’opportunità di svolgere una DPIA congiunta per più trattamenti affini.
Inoltre, un report DPIA svolto con strumenti informatici risulterà chiaro e di facile interpretabilità, frutto dell’utilizzo di indicatori oggettivi.
Da ultimo, occorre ricordare che l’utilizzo di strumenti informatici consente al titolare di aggiornare la valutazione d’impatto ogni qualvolta uno degli elementi del trattamento dovesse modificarsi.
