Interessati vulnerabili: quali misure di garanzia all’interno della valutazione d’impatto - Cyber Security 360

GUIDA NORMATIVA

Interessati vulnerabili: quali misure di garanzia all’interno della valutazione d’impatto

Un’attività di trattamento di dati personali che riguarda interessati vulnerabili richiede il più delle volte lo svolgimento di una DPIA sulla protezione dei dati: ecco come definire su quali passaggi focalizzare gli approfondimenti a garanzia dell’effettività delle tutele di protezione richieste dalla norma

25 Ott 2021
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

Nella casistica dei trattamenti che coinvolgono soggetti interessati vulnerabili, una valutazione d’impatto (DPIA) ai sensi dell’art. 35 GDPR è l’obbligo maggiormente ricorrente e comunque il suo svolgimento viene consigliata dall’Autorità Garante per la protezione dei dati personali.

In ragione della peculiarità di tale categoria di interessati, fra gli elementi fondamentali e caratterizzanti di cui dover tenere conto rientrano le misure di garanzia.

Interessati vulnerabili e obbligo di DPIA

Gli interessati vulnerabili sono una categoria di soggetti eterogenea cui la normativa in materia di protezione dei dati personali destina particolari tutele e garanzie in ragione della loro particolare condizione di suscettibilità al rischio inerente alle attività di trattamento svolte dal titolare.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Il termine si può riscontrare all’interno del considerando n. 75 GDPR che fa riferimento ad un parametro per la valutazione dei rischi per i diritti e le libertà delle persone fisiche da valutare per l’attuazione del principio di privacy by design.

Il termine viene poi richiamato e definito in modo più chiaro all’interno delle linee guida dell’EDPB sulla valutazione d’impatto[1], in cui viene indicato come uno dei criteri per l’individuazione dei trattamenti che possono presentare un rischio elevato e da cui deriva di conseguenza l’obbligo di svolgimento di una DPIA[2].

La vulnerabilità degli interessati è un fattore individuabile che fa riferimento alla circostanza di squilibrio di potere nei confronti della posizione del titolare del trattamento, elemento caratteristico e distintivo. Il rischio specifico che occorre considerare è che tali soggetti possano non essere in grado di esercitare efficacemente i propri diritti, nonché acconsentire o opporsi deliberatamente e consapevolmente alle attività di trattamento svolte sui propri dati personali.

A livello di esempio vengono citati minori, dipendenti, segmenti vulnerabili della popolazione che richiedono una protezione speciale quali gli infermi di mente, richiedenti asilo, anziani o pazienti.

All’interno dell’elenco delle tipologie di trattamenti soggetti al meccanismo di coerenza da sottoporre a valutazione d’impatto ai sensi dell’art. 35.4 GDPR adottato dal Garante Privacy[3] gli interessati vulnerabili sono considerati come un criterio che fa scattare l’obbligo di DPIA nel momento in cui i trattamenti svolti hanno la caratteristica di essere non occasionali e un volume rispondente al parametro della larga scala.

Anche qui, esemplificativamente, vengono indicati dal Garante minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo.

Nell’ottica di rendicontazione[4] circa la decisione riguardante l’obbligo di svolgimento di una DPIA, tale parametro deve trovare la giusta considerazione dato che se si riscontra ulteriore criterio fra quelli indicati dalle linee guida dell’EDPB ricorre l’ipotesi per cui “un titolare del trattamento può considerare che un trattamento che soddisfi due criteri debba formare oggetto di una valutazione d’impatto sulla protezione dei dati”, mentre se un ulteriore criterio riguarda il volume della larga scala degli interessati coinvolti l’obbligo deriva direttamente dall’elenco pubblicato dal Garante.

Interessati vulnerabili e svolgimento della DPIA.

Quale che sia il metodo scelto per lo svolgimento della valutazione d’impatto, con prevalenza di un’analisi qualitativa o quantitativa, nel momento in cui questa coinvolge interessati vulnerabili è necessario che alcuni punti siano oggetto di approfondimento e specificazione. Il rischio, altrimenti, riguarda l’inconsistenza dell’esito della valutazione e soprattutto l’inefficacia delle misure indicate al suo interno.

Una particolare attenzione deve essere dedicata ai contenuti indicati dall’art. 35.7 lettere c) e d) GDPR, rispettivamente circa la valutazione dei rischi per i diritti e le libertà degli interessati e le conseguenti misure di sicurezza, conformità e garanzia che si intende adottare.

Sebbene le misure di sicurezza certamente rappresentino un nodo focale all’interno di ogni valutazione d’impatto, nell’ipotesi in cui questa sia svolta per l’attività di trattamento su dati di interessati vulnerabili è bene dedicare particolare attenzione ed approfondimento al rispetto dei principi di correttezza e trasparenza, nonché alle corrispondenti misure adottate a garanzia di un efficace esercizio dei diritti da parte degli interessati e colmare così quanto più possibile quel gap di asimmetria e squilibrio che intercorre con il titolare del trattamento.

Per quanto concerne le misure di sicurezza, occorrerà tenere conto di un rischio intrinseco significativo delle attività di trattamento in ragione dell’impatto determinato secondo i parametri offerti dal considerando n. 75 GDPR, e dunque la suscettibilità di “cagionare un danno fisico, materiale o immateriale” e “se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori”, dovendo però declinare l’analisi su minacce ed impatti specifici.

Qualora, inoltre, da tale valutazione e dall’applicazione delle misure sussista un rischio residuo elevato, è opportuno ricordare che sarà obbligo del titolare consultare preventivamente[5] l’autorità di controllo prima di procedere al trattamento.

Il diaframma applicativo della trasparenza transita necessariamente per le prescrizioni richiamate dall’art. 12 GDPR riguardanti tanto una corretta selezione di una forma “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”, quanto una modalità di efficace somministrazione delle informazioni.

Premesso che la trasparenza costituisce un presupposto ineliminabile per garantire un corretto esercizio dei diritti, l’elemento ulteriore e necessario consiste nella predisposizione di modalità facilmente accessibili per gli interessati affinché possano aver concreto ed effettivo riscontro circa le proprie richieste di esercizio dei diritti.

Un ulteriore punto significativo da affrontare è l’indicazione fornita dall’art. 35.9 GDPR secondo cui “Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.”, metodo attraverso cui è possibile attuare tutti gli interventi orientati a riequilibrare la posizione di svantaggio e asimmetria (il più delle volte: informativa) degli interessati coinvolti.

Chiusura della DPIA e parametri di riesame

Nella fase conclusiva di chiusura della valutazione d’impatto, buona prassi vuole che si definiscano i parametri di individuazione delle variazioni del rischio significative[6] per cui occorre procedere ad un riesame della stessa.

Tali criteri sono il più delle volte riferiti al contesto operativo, ovverosia alla somma delle misure tecniche e organizzative attraverso cui vengono svolte le attività di trattamento e le misure predisposte dal titolare.

L’esigenza di riesame emerge pertanto al ricorrere di quei mutamenti tali da richiedere un aggiornamento dell’analisi dei rischi e l’individuazione di diverse ed ulteriori misure di sicurezza e garanzia.

Nell’ipotesi di una valutazione di impatto che coinvolge interessati vulnerabili un elemento particolarmente significativo consiste nella garanzia di una possibilità per tali soggetti di fornire un feedback circa gli elementi più significativi evidenziati all’interno dell’analisi e dunque la trasparenza e la garanzia dell’efficace esercizio dei diritti.

Il coinvolgimento del DPO all’interno del flusso informativo così definito diventa necessario non solo per adempiere ad un preciso obbligo di legge[7] ma anche per consentire un effettivo e continuo esercizio della funzione di sorveglianza attraverso un più chiaro riscontro dei rischi inerenti al trattamento.

Conclusioni

Dal momento che un’attività di trattamento di dati personali che riguarda interessati vulnerabili richiede il più delle volte lo svolgimento di una valutazione d’impatto sulla protezione dei dati, è bene definire su quali passaggi focalizzare gli approfondimenti a garanzia dell’effettività delle tutele di protezione richieste dalla norma.

La corretta declinazione di ciascuno dei passaggi fondamentali deve conseguentemente comportare una specifica attenzione e valutazione di ciascun elemento riferibile a quello squilibrio di potere che caratterizza il rapporto fra il titolare del trattamento e gli interessati, con il fine specifico di predisporre efficacemente tutte le misure di garanzia più adeguate a colmare e monitorare ciascuno dei gap individuati.

 

NOTE

  1. WP248.

  2. Ai sensi dell’art. 35.1 GDPR.

  3. Provv. Garante Privacy 11 ottobre 2018 n. 467.

  4. Ai sensi del principio di responsabilizzazione di cui all’art. 24 GDPR.

  5. Ai sensi dell’art. 36 GDPR.

  6. Art. 35.11 GDPR.

  7. Art. 38.1 GDPR.

WHITEPAPER
Suggerimenti e strumenti pratica per difendersi dagli attacchi informatici
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5