Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La normativa

Trattamento dei dati, l’impatto sui diritti e le libertà delle persone fisiche

Impact Based Approach: un punto focale del GDPR che tiene conto degli impatti del trattamento dei dati sui diritti delle persone fisiche, nell’ottica di proteggerle. Di seguito, un vademecum per l’applicazione armonica della normativa, che approfondisce in particolare il rapporto con il concetto di rischio

27 Mag 2019
T
Fabio Turano

Consulente Privacy e Data Protection Officer


Una delle novità più rilevanti del GDPR è stata l’adozione dell’Impact Based Approach. Il concetto, bisogna osservare, è fin troppo sottovalutato e confuso da molti operatori, e ciò a dispetto di una ricorrente preoccupazione del legislatore comunitario per le conseguenze che il trattamento può avere sui diritti e le libertà delle persone, ravvisabile in ogni sezione del GDPR.

Il proposito delle righe seguenti sarà quello di promuovere un’interpretazione del GDPR attraverso questo punto focale, con lo scopo di giungere ad una più corretta ed armonica applicazione di tutte le norme in esso contenute, in modo da superare la comune e falsa percezione per cui la riforma abbia importato inutili appesantimenti burocratici.

L’intento del GDPR, al contrario, è quello di semplificare il carico di adempimenti posto in capo ai destinatari, i quali devono rapportarsi alle conseguenze che, concretamente, possono seguire alle operazioni di trattamento, e non più ad un astratta e formale serie di osservanze.

La protezione delle persone fisiche

Iniziamo col chiarire che, concettualmente, un certo impatto sui diritti e le libertà personali è conseguenza fisiologica e necessaria di ogni operazione di trattamento, anche quando queste si svolgono in piena legalità ed anche in assenza di breach, per quanto possa essere quantificato come irrisorio (consideriamolo come le scorie di un processo produttivo, le quali consistono in una negatività ma possono essere correttamente gestite e rese inerti).

La chiave di volta dell’intero GDPR sta proprio nella sua costruzione aderente alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, da intendersi quale bene giuridico[1].

La tecnica normativa, a differenza della precedente legislazione, è quella di un generale divieto che trova deroghe solo in precisi contesti, contraddistinti da ben controbilanciate esigenze, e comunque, con precisi vincoli.

Non dobbiamo dimenticare che il primo articolo del GDPR esordisce con “il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”, stabilendola come ratio che deve guidare ogni trattamento, determinando, sempre rispetto alla precedente normativa, uno spostamento dell’attenzione dall’oggetto (i dati) al soggetto (le persone fisiche soggette, in primo luogo l’interessato, ma anche tutte quelle i cui diritti possano subire qualche lesione, anche indirettamente; in questo documento, per semplicità discorsiva, si farà riferimento solo all’interessato).

Un’interpretazione orientata a tale scopo permette di apprezzare l’assoluta coerenza di tutte le norme del GDPR: gli operatori del trattamento, di conseguenza, sono chiamati ad adottare la stessa sensibilità ad ogni genere di conseguenza che possa spiegarsi sull’interessato nelle fasi di disegno e di attuazione delle loro operazioni, e non solo nella fase di redazione della formale DPIA di cui all’art. 35.

Ovviamente, il legislatore non ha voluto porre un’improbabile gabbia alle necessità di trattamento, basilari nel funzionamento della società moderna, ed ha tenuto conto del carattere disponibile del bene giuridico tutelato e della sovrapposizione di distinte esigenze di trattamento, in modo da creare, al contempo, un modello di protezione flessibile e ben lontano da ipotesi paternalistiche.

In tal senso, il GDPR, altro non è che una linea guida sul bilanciamento dei contrapposti interessi, con lo scopo di dare ampia autonomia nell’individuazione dei trattamenti dovuti, ma con una stretta responsabilizzazione in modo che da questi possa determinarsi, per quanto possibile, solo un “giusto impatto”, strettamente correlato alle necessità espresse dalle parti.

Definizione di impatto e il rapporto col rischio

La definizione di impatto non è contenuta, come le altre, nell’art. 4, ma possiamo intenderlo come qualsiasi esposizione a lesione delle libertà e dei diritti dell’interessato derivante dal trattamento.

Il concetto è quindi estremamente ampio e vi rientra qualsiasi nocumento rilevante, anche per tramite di estranei, derivante da una qualsiasi lesione dei parametri di riservatezza, integrità e disponibilità dei dati riferiti all’interessato, consistente in un qualsiasi danno, patrimoniale o non patrimoniale, a tutte le persone fisiche, anche indirettamente, soggette.

Per poter meglio comprendere il concetto (nella pratica molto frainteso), permettetemi di approfondire quanto già accennato, ovvero che un certo impatto è sempre generato da qualsiasi operazione di trattamento, anche quando perfettamente legale ed in assenza di breach.

Astrattamente, il solo fatto che un’operazione di trattamento venga svolta potrebbe determinare una conseguenza sull’interessato: ovviamente, ciò non determina necessariamente una situazione di illegalità in quanto la tutela del bene giuridico viene attenuata dall’esistenza delle condizioni di liceità tipizzate dall’art. 6, al fine di consentire al titolare o allo stesso interessato il perseguimento di determinati fini.

Quanto appena detto, può essere spiegato meglio con un semplice esempio: un sito di incontri permette agli utenti di creare un profilo liberamente accessibile, nel quale lo stesso interessato inserirà foto ed informazioni sulla propria vita e sulle proprie attitudini sentimentali.

È innegabile che questo trattamento possa generare sull’interessato un impatto rilevante, tuttavia, le operazioni sono del tutto lecite (previa corretta acquisizione della condizione di liceità e rilascio di idonea informativa), perché il trattamento si è svolto nel solco del consenso o comunque per una finalità perseguita dallo stesso.

Vi è poi da precisare il rapporto fra impatto e rischio, aspetto che molti operatori tendono a confondere: con impatto, come abbiamo visto, si intendono le conseguenze sull’interessato, attendibili a seguito delle operazioni di trattamento, mentre con rischio intendiamo tanto la probabilità quanto la gravità dell’evento dannoso in rapporto alle misure intraprese per evitarlo e mitigarlo.

Se un trattamento comporta un potenziale impatto rilevante, il titolare deve organizzare le proprie operazioni in modo che il rischio che possano cagionarsi eventi nefasti sia il più remoto possibile, ed in ogni caso che questi siano adeguatamente attenuati.

L’equazione del rischio

La dottrina che si occupa della definizione del rischio, lo determina come la ponderazione di tre fattori: Probabilità (P, equivalente ad un valore booleano ove 0 indica l’impossibilità ed 1 la certezza), Vulnerabilità (V, anche questo un numero booleano, dove 0 indica l’ipotetica inviolabilità ed 1 l’assenza di protezione[2] dell’asset utilizzato per l’operazione) ed appunto l’Impatto (I, corrispondente ad un numero naturale corrispondente al danno stimato o ad un valore in scala corrispondente all’ordine di gravità atteso).

In questa equazione, il valore da assegnare all’Impatto, derivante da un trattamento già minimizzato e rapportato alle necessità del trattamento, non può essere ulteriormente diminuito se non riducendo le stesse operazioni di trattamento, ma ciò significherebbe vanificare i legittimi scopi perseguiti.

I fattori su cui un operatore può agire per tutelare l’interessato da effetti nefasti non dovuti, senza depotenziare il trattamento, sono quindi Probabilità e Vulnerabilità, e deve farlo adottando quelle misure “tecniche ed organizzative” indicate dall’art.32 (che rappresentano un concetto più ampio rispetto alle misure di sicurezza).

Anche questo concetto può essere spiegato meglio con un esempio: un Comune bandisce l’assegnazione di alloggi popolari e, in virtù di un malinteso principio di trasparenza, pubblica la graduatoria dei beneficiari ed i punteggi relativi ai parametri valutati (quali reddito ed eventuali e dati idonei a rivelare un’eventuale situazione di disabilità) sul proprio portale istituzionale.

In questo caso lo scopo del trattamento è stato quello di rendere noto l’avvenuta redazione della graduatoria nonché la valutazione dei requisiti dei richiedenti; la base giuridica per tale operazione risiede in un obbligo di legge, in quanto gli enti pubblici, in tali contesti, sono tenuti ad offrire la più ampia trasparenza sulle loro valutazioni.

Il trattamento di dati quali redditi ed eventuali situazioni di disabilità, comporta sicuramente un impatto rilevante sull’interessato, che tuttavia lo stesso è, in una certa misura, costretto ad accettare al fine del corretto adempimento delle operazioni di assegnazione.

Appare tuttavia evidente che la diffusione di tali dati, completamente in chiaro e su un sito internet istituzionale, sia decisamente sproporzionato agli scopi: l’impatto sugli interessati, in questo caso, a causa di tale diffusione, varca sicuramente la soglia di necessità per raggiungere le finalità preposte, anche per la proponibilità di metodologie idonee a ridurne l’esposizione.

Volendo riportare l’operazione nei termini dell’equazione del rischio, la stima relativa all’impatto attendibile dovrebbe essere moltiplicata per P e per V cui assegnare valori pari o comunque prossimi ad 1: in sostanza il rischio non ha subito alcuna mitigazione e ciò non è sicuramente accettabile.

Il Comune, quale titolare del trattamento, avrebbe potuto e dovuto adempiere al suo obbligo di trasparenza tenendo conto della necessità di minimizzare l’impatto, ad esempio, pseudonimizzando gli assegnatari e/o limitando la diffusione tramite un sistema di autenticazione ed autorizzazione, garantendo la trasparenza, comunque, tramite le modalità di accesso iscritte nella legge 241/1990 a chi ne avesse avuto interesse.

In tal modo i valori di vulnerabilità e probabilità sarebbero stati più prossimi allo 0, o comunque alla soglia di rischio accettabile in relazione alle finalità del trattamento, e di conseguenza, il prodotto dell’equazione del rischio sarebbe risultato correttamente attenuato.

È il caso di precisare che i concetti di impatto e di rischio, tradizionalmente riferiti alla sicurezza delle informazioni differiscono, per quanto intersecabili, da quelli riferibili alle persone fisiche e quindi tutelati dal GDPR.

Il concetto tradizionale fa riferimento all’informazione quale patrimonio aziendale e quindi un bene riferito all’attività produttiva, incorporato in determinati asset, col vantaggio di una certa materialità e valutabilità economica, oltre che di una più concreta individuabilità delle minacce[3]; quando riferiamo questi concetti alle persone fisiche siamo costretti ad addentrarci in un campo rappresentabile solo in astratto.

Condizioni di liceità e il bilanciamento degli interessi

Nonostante la grande tutela offerta al bene giuridico della tutela delle situazioni soggettive dell’interessato, il legislatore comunitario non poteva, non riconoscere un altrettanto importante valore anche alle necessità per cui i trattamenti sono necessari.

La tecnica utilizzata è stata quella di categorizzarle nelle c.d. “condizioni di liceità” elencate dall’art. 6, le quali sono, in sintesi:

  1. il consenso dell’interessato;
  2. la necessità di adempimento ad un negozio giuridico cui l’interessato è parte;
  3. l’adempimento di un obbligo legale cui il titolare è soggetto;
  4. la necessità di salvaguardare di un interesse vitale dell’interessato o di un’altra persona fisica;
  5. la necessità di esecuzione di un compito legato a pubblici interessi o all’esercizio di poteri pubblici riconosciuti al titolare;
  6. il legittimo interesse del titolare non prevalente sui diritti dell’interessato.

Ontologicamente, le condizioni di liceità sono da intendersi come un atto di disposizione di una propria situazione soggettiva, ovvero come il bilanciamento con esigenze legate ad altri beni giuridici.

Parlando delle condizioni di cui alla lett. a) e b), ci riferiamo ad una situazione in cui l’interessato è, in qualche modo, parte. Il solco entro cui il trattamento è accettabile è quindi di definizione abbastanza semplice, previa una corretta attività di copertura del gap informativo, da rendere con particolare attenzione se sono ravvisabili situazioni di particolare vulnerabilità[4].

I principi di necessità e minimizzazione fanno da guida: in caso di consenso l’interessato accetta l’impatto (solo) per come gli è stato proposto secondo le rigide modalità elencate dall’art. 7; la condizione si basa sulla libertà dell’interessato di decidere su un proprio diritto disponibile e di accettare le conseguenze dei propri atti di disposizione.

In caso di adempimento di contratto, l’atto di disposizione è implicito: l’impatto è accettato poiché anche l’interessato persegue un certo fine e le operazioni di trattamento devono pertanto essere ridotte a quanto strettamente necessario all’adempimento del contratto.

Se le finalità che l’interessato ha perseguito col contratto rappresentano un diritto dello stesso, il mancato raggiungimento delle stesse rappresenterebbe parte del perimetro d’impatto[5].

Necessità legate ad interessi di natura pubblica

Nei casi di cui alle lettere c), d) ed e), le operazioni di bilanciamento dei beni giuridici sono poste fra gli interessi delle persone coinvolte e quelli pubblici.

Fra le tante considerazioni in merito (omesse per non divagare), dobbiamo puntualizzare che il titolare, nel determinare le finalità del trattamento, viene coartato dall’interesse pubblico, ed in tal senso esso, come l’interessato è soggetto ad interessi di natura superiori a quelli personali e dell’organizzazione.

Al fine di evitare abusi da parte delle Autorità Pubbliche (non ci si deve dimenticare che il GDPR intende regolare anche le loro attività), le finalità di cui alle lett. c) ed e) devono essere preventivamente previste e concesse da un atto normativo regolato dal Diritto dell’Unione o dello Stato membro cui l’interessato è soggetto, dette “basi giuridiche”.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Le basi giuridiche trovano regola nel par. 3 dello stesso art. 6, ma questo ha una formulazione dalla quale possono derivare alcune ambiguità: non è ad esempio espresso se queste devono avere rango legislativo o è sufficiente una norma di natura regolamentare[6].

Il parere di chi scrive è che queste norme debbano comunque far sempre riferimento ad un atto legislativo, altrimenti la tutela offerta potrebbe essere vanificata da un eccessivo potere conferito all’organo emanante.

Il considerando 41 sembra esprimersi in senso contrario “Qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento”, tuttavia ritengo che questo passo, anche per conformità col successivo considerando 45, faccia riferimento solo agli atti che vanno a prevedere i trattamenti, mentre le pubbliche necessità perseguite debbano essere preventivamente indicate da un atto di rango legislativo.

Il successivo inciso esprime i contenuti che dovrebbero essere indicati dalle basi giuridiche e che dovrebbero vincolare il titolare: anche qui, tuttavia, la formula usa il condizionale “potrebbe (may nel testo in lingua originale) destando ulteriori dubbi interpretativi.

In ogni caso, l’ultimo inciso esprime che le basi giuridiche devono perseguire un obiettivo di interesse pubblico che i trattamenti che ne conseguano sia proporzionato agli obiettivi perseguiti, aprendo la possibilità che questi possano essere sottoposti a giudizio di legittimità.

Infine, per quanto riguarda l’interesse vitale dello stesso interessato o di altre persone fisiche, l’affievolimento del bene giuridico riferito all’interessato, deriva da una sicuramente superiore necessità di diritto naturale, quali la vita o l’integrità del beneficiario.

L’interesse legittimo

La condizione di cui alla lettera f) è sicuramente uno dei temi più controversi dell’intero GDPR. Qui gli interessi contrapposti sono entrambi riferibili a privati, e l’interessato non ha avuto alcun ruolo attivo.

Lo stesso legislatore comunitario ha deciso di non dare alcuna definizione, lasciando tale onere al diritto vivente (se non per gli esempi di cui ai considerando 47-50).

In ogni caso, questa norma ha voluto lasciare la possibilità che si determinassero delle ulteriori situazioni in cui il preteso interesse del titolare potesse superare la rigida tutela ed il generale divieto di trattamento fuori dalle precedenti condizioni.

In questo caso si inverte l’onere di partecipazione della volontà dell’interessato, che viene spostato ad un momento successivo, tramite l’attivazione dello stesso, mediante la proposizione dell’opposizione di cui all’art. 17 e nel quale deve comunque essere in grado di dimostrare la non prevalenza degli interessi del titolare.

L’interesse legittimo non può in ogni caso valere per i dati particolari di cui all’art. 9 e quelli di cui all’art. 10, e comunque, in assenza di qualsivoglia atto di disposizione dell’interessato o di interesse pubblica, non deve coinvolgere informazioni di rilevante impatto (e non può in ogni caso, da solo, valere a giustificare un processo decisionale automatizzato o di profilazione).

Pertanto, grande attenzione deve essere svolta in sede di DPIA, (nella quale gli stessi legittimi interessi devono essere giustificati) ed in caso di dubbio circa il prevalere dei propri interessi, il titolare dovrebbe desistere dall’intenzione di portare avanti il trattamento o consultare il Garante.

Le ipotesi di maggiore lesività presunta

In deroga allo spirito generale del GDPR, per cui la pericolosità dei trattamenti deve esser valutata caso per caso secondo il prudente e responsabile apprezzamento degli operatori, la norma individua alcune operazioni e categorie di dati per i quali è la norma stessa a ravvisare la necessità di tutele rafforzate.

Parliamo, in primo luogo, delle categorie di dati particolari individuati dall’art. 9.

Queste ripropongono le categorie di dati già riconosciuti come sensibili dalla precedente normativa, ovvero quelli idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza  sindacale, e quelli relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona: parliamo quindi di dati contenenti informazioni su sfere della personalità particolarmente delicate.

A questi si sono aggiunti i cosiddetti dati genetici e biometrici, chiaro segno dell’evoluzione dei tempi: con questi si intendono quei dati riferiti alla persona i quali, attraverso l’utilizzo di dispositivi tecnologici, permettono un’identificazione univoca dell’interessato.

Si tratta quindi di una pratica, consentita dalla nuova tecnologia, particolarmente invasiva, che ai più sensibili potrebbe richiamare scenari tipici della lettura distopica, e che pertanto la norma ha inteso limitare, quale segno della cultura giuridica europea.

Nel trattamento di questi dati, il bene giuridico collegato alle libertà ed ai diritti degli interessati assume un valore maggiore rispetto a quello generalmente riconosciuto ai dati comuni, pertanto devono essere controbilanciati da esigenze ugualmente più importanti.

Lo stesso art. 9, al paragrafo due fissa una diversa e più stringente serie di condizioni di liceità (il cui elenco è omesso per ragioni di spazio), e sempre in presenza di garanzie rafforzate.

Fra queste condizioni sono presenti, in qualsiasi senso, i legittimi interessi, sancendo che queste non sono in alcun modo idonee a controbilanciare i diritti dell’interessato per queste categorie di dati.

Oltre al nucleo dei dati particolari, una disciplina speciale e ancor più stringente è imposta anche per il trattamento dati personali relativi alle condanne penali ed ai reati o a connesse misure di sicurezza, il quale può avvenire solo sotto il  controllo dell’autorità  pubblica o secondo autorizzazioni previste dal  diritto dell’Unione o degli  Stati  membri che  preveda  garanzie  appropriate per i diritti e le libertà degli  interessati.

In questo caso, la tutela del bene giuridico è talmente elevato che, in teoria, il trattamento di tale categoria di dati dovrebbe essere appannaggio esclusivo delle autorità pubbliche, se non per determinate eccezioni.

Possiamo notare anche un ulteriore genere di rottura con lo spirito generale del GDPR, infatti la norma abdica alla pretesa di dare una regola uniforme fra tutti gli Stati membri, ed ha lasciato alle attuazioni legislative statale il compito di dettarne le discipline.

Per quanto riguarda il nostro Paese, dobbiamo ricercare le condizioni per cui è possibile autorizzare il trattamento nelle norme di rango legislativo, ed in particolare nell’elenco introdotto, con una formulazione contorta che ha destato non poche incertezze interpretative e critiche, dall’art. 2-octies co. 3 del novellato D.lgs. 196/03.

Infine, un’ulteriore attenzione è dettata per i processi decisionali automatizzati e quelli di profilazione relativi alle persone fisiche: anche in questo caso, il legislatore ha tenuto conto della particolare potere che può derivare dall’uso delle nuove tecnologie e quanto queste possono essere invasive sulle libertà ed i diritti degli interessati, nonché del fatto che, a tali operazioni, si accompagna un naturale tasso d’errore, ponendo una certa incompatibilità col principio di esattezza.

Tramite queste tecnologie, il titolare è in grado di ricostruire informazioni riguardanti l’interessato non fornite dallo stesso, oltreché, più genericamente, perpetuare nuove forme di stereotipi e segregazione sociale.

Il GDPR esprime il diritto dell’interessato a non esservi sottoposto se da queste possono derivare effetti giuridici o significative incidenze sulla sua persona. Questo diritto viene meno:

  • quando le operazioni sono necessarie per la conclusione o l’esecuzione di un contratto: al termine “necessario” in questo caso deve darsi un’interpretazione molto ristretta: per come espresso dalle Linee Guida WP251, non vi rientrano le opportunità di semplificazione e velocizzare le operazioni di trattamento;
  • quando sussiste un obbligo legale o sia autorizzato dal diritto dell’Unione o degli Stati membri (esempio tipico sono le attività di prevenzione delle frodi o al riciclaggio di denaro);
  • quando sussiste il consenso esplicito dell’interessato (o secondo una lettura più armonica, quando l’interessato abbia rinunciato a tale diritto).

Anche in questo caso, la norma raccomanda ulteriori ed adeguate misure di protezione dei diritti e delle libertà degli interessati.

Minimizzare il trattamento per minimizzare l’impatto

Stabilita la rilevanza delle condizioni di liceità delle finalità di un trattamento, dobbiamo determinarne i confini accettabili. In questo compito siamo soccorsi dall’elenco dei principi contenuti nell’art. 5 par. 1.

In tal senso, è accettabile solo l’impatto dovuto alle finalità predeterminate e lecite.

I dati trattati, oltreché le operazioni di trattamento, non devono essere altro che quelli strettamente necessari a dette finalità, e pertanto devono essere limitati nella quantità (non utilizzare più dati di quelli necessari), nella qualità (non utilizzare dati implicanti un impatto più grave, se gli stessi risultati possono essere raggiunti con modalità più inerti) e le operazioni devono essere limitate nel tempo al periodo strettamente necessario alle finalità.

I principi del trattamento diretti ad attenuare il rischio

La realtà della società dell’informazione impone che la protezione dei dati personali non possa esser raggiunta solo tramite la buona volontà degli operatori.

La tutela dei parametri di riservatezza, integrità e disponibilità necessitano di protezione dai breach di origine volontaria o accidentale, dai quali deriverebbero impatti non dovuti e sproporzionati, solo attraverso un sapiente e ben programmato impiego degli strumenti di sicurezza offerti dalla tecnologia e dall’esperienza.

Gli articoli di riferimento nel GDPR sono i 24, 25 e 32, i quali hanno segnato un cambio di rotta rispetto agli art. 31 e 36 del vecchio d. lgs. 196/03: in primo luogo la norma attuale fa riferimento, come già accennato, a misure tecniche ed organizzative, concetto più ampio di quello di misure di sicurezza della vecchia formulazione.

De relato, la vecchia norma esprimeva l’obiettivo di “i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme”, mentre il nuovo Regolamento Europeo lo fissa nell’“attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”, recependo lo spostamento di interesse della norma dall’oggetto (ripetiamo, i dati), al soggetto (l’interessato).

In tal modo, il legislatore europeo, ha consentito la creazione di modelli più flessibili e decisamente più apprezzabili, sia sul piano dell’efficacia, in quanto il vecchio concetto di misure di sicurezza minime non potevano coprire le particolarità di determinati trattamenti, ed al contempo su quello dell’efficienza, permettendo ai titolari di omettere formalismi, quando inutili.

SituazioneCriticitàFattori su cui intervenire
Le operazioni di trattamento sono conformi e necessarie alle leggittime finalità individuate e l’impatto generato corrisponde a quanto perseguitoNessunaNessuno
Il trattamento risulta eccessivo rispetto alle finalità perseguiteIl trattamento non è conforme ai principi di necessità, proporzionalità e minimizzazioneLe operazioni di trattamento devono essere ridotte a quanto strettamente necessario
Il trattamento è necessario e proporzionato rispetto alle finalità perseguite, tuttavia genera un impatto eccessivo, non adeguatamente mitigatoNon sono state adottate le misure tecniche ed organizzative idonee a contenere i rischiIndividuare, per ogni specifica operazione di trattamento, un piano di protezione atto a diminuire l’esposizione del bene giuridico
Le operazioni di trattamento generano un impatto eccessivo nonostante il tentativo di mitigazioneNon è possibile individuare misure tecniche ed organizzative idonee a contenere gli effetti sulle persone interessate entro limiti accettabiliRinunciare al trattamento o consultarsi con l’Autorità Garante

La Valutazione dell’impatto ex art. 35

L’art. 35 ha imposto ad alcuni titolari un nuovo tipo di documento, ovvero la Data Protection Impact Assessment. Occorre premettere che la norma è rivolta solo ai titolari di trattamenti che possono “presentare rischi elevati per i diritti e le libertà per le persone fisiche”[7].

Questa precisazione non deve fuorviare: ogni titolare è chiamato ad effettuare le proprie operazioni in piena consapevolezza dei potenziali impatti sugli interessati, anche solo per determinare la non necessità di questo adempimento.

In sostanza possiamo dire ogni titolare è tenuto ad una valutazione preliminare dell’impatto, e solo quelli che svolgono trattamenti connotati da alto rischio devono adempiere nelle forme previste dallo stesso articolo.

Anche in questo caso dobbiamo preliminarmente richiamare la necessità di non confondere i concetti di rischio e di impatto, anche se nella norma sembrano usati quasi come sinonimi (ricordiamo che l’impatto è il danno ipotetico prevedibile ai diritti e le libertà delle persone, mentre il rischio rappresenta la gravità e la probabilità che potrebbero caratterizzare nel concreto gli eventi nefasti).

Questa confusione potrebbe derivare dal fatto che parte della DPIA è chiaramente ispirata alle procedure di Risk Assessment previste dai più autorevoli standard in tema di sicurezza delle informazioni, i quali, al contrario del GDPR, non sono rivolti agli interessi delle persone fisiche bensì alla tutela dell’informazione intesa come patrimonio aziendale.

Deve comunque osservarsi che, come già accennato, il rischio è un concetto che contiene già la rilevanza dell’impatto rapportato alle misure atte a diminuire probabilità di incidente e vulnerabilità del processo.

Il contenuto minimo del documento previsto dall’art. 35, prevede, in due distinti passi, la descrizione dell’impatto valutato, in relazione con le finalità del trattamento e le conseguenti misure intraprese per mitigarlo con le minacce che ne possono conseguire.

Più nello specifico il par. 7, toccando tutti i temi trattati in questo documento, pone determinati requisiti, che possono così essere interpretati[8], tenendo sempre conto che lo schema non è predeterminato, e la risposta ai requisiti può essere data con l’ordine ritenuto più opportuno:

  • Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento (Parte descrittiva):

Questo requisito può essere interpretato come una descrizione del trattamento immerso nel suo contesto (definito dalla norma ISO 27000 come “l’ambiente in cui l’organizzazione intende raggiungere i propri obiettivi”).

È opportuno che siano ben descritte le operazioni di trattamento, dando inoltre conto dei soggetti intervenienti e le categorie di interessati, il tipo di dati trattati, la durata prevista e gli asset utilizzati.

Deve essere inoltre data giustificazione del legittimo interesse, se il processo si basa su questa base giuridica.

  • Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità (Studio del rapporto fra trattamento, finalità e condizioni di liceità):

in riferimento ai principi già considerati, il titolare è tenuto a dar spiegazione del perché le informazioni trattate sono imprescindibili per le finalità perseguite.

Nei paragrafi precedenti abbiamo parlato del “giusto impatto”, ovvero l’impatto necessario per raggiungere le finalità del trattamento, in relazione alle condizioni di liceità di cui all’art. 6, per come perseguite da titolare, dallo stesso interessato o dall’interesse pubblico.

In tale valutazione, sarebbe opportuno rendere un certo discernimento fra quelle che sono conseguenze attese dalle parti e quelle che invece rappresentano un effetto non dovuto e quindi da minimizzare.

In questo senso, la norma pone una certa attenzione all’ipotesi dell’eventuale perseguimento di un interesse leggittimo da parte del titolare: come già detto in questo caso occorre prestare una grande attenzione in quanto queste finalità fanno riferimento ad un interesse esclusivamente del titolare e, pertanto, il giusto impatto è particolarmente ridimensionato e di labile definizione.

Il giusto impatto deve essere ulteriormente e separatamente valutato quando il trattamento riguarda dati particolari e quelli di cui all’art. 10, oltreché quando il trattamento consiste in trattamenti decisionali automatizzati, secondo le condizioni di liceità e le autorizzazioni rispettivamente previste (più in generale, è opportuno offrire descrizioni più dettagliate per ogni operazione per cui il GDPR locuzioni quali “siano adottate misure adeguate” o “in presenza di garanzie appropriate”).

In questa sezione è opportuno inserire anche una valutazione delle modalità con cui è resa l’informativa all’interessato, al fine di evitare eventuali contestazioni.

  • Una valutazione dei rischi per i diritti e le libertà degli interessati:

questa parte contiene la Valutazione d’Impatto strettamente intesa. È il passo probabilmente più complesso di tutta l’operazione in quanto il redattore è chiamato a svolgere una previsione dei potenziali eventi dannosi per l’interessato derivante dal trattamento e delle loro conseguenze.

L’operazione richiede una grande esperienza e sensibilità, ed è raccomandabile appoggiarsi a linee guida e codici di condotta autorevole. In questa fase è opportuno dare conto delle opinioni espresse dagli interessati, se raccolte, e particolare importanza avrà l’opinione del DPO (anche se non formalmente vincolante).

Quando il trattamento consiste in trattamenti su processi decisionali automatizzati, è il caso di offrire una valutazione in merito alle misure idonee a mitigare gli effetti del naturale tasso di errore.

  • Una descrizione delle misure  previste  per  affrontare  i  rischi,  includendo  le  garanzie,  le  misure  di  sicurezza  e  i meccanismi  per  garantire  la  protezione  dei  dati  personali  e  dimostrare  la  conformità  al  regolamento (Risk Assessment):

Questa è la parte più tecnica ed impone una spiegazione delle misure di sicurezza atte a diminuire le vulnerabilità e verosimiglianza degli eventi nefasti.

È opportuno che queste siano schematicamente precedute da una descrizione delle metodologie indicate, se possibile facendo riferimento ad uno standard o ad un protocollo autorevole, adottate tenendo previsione delle minacce attendibili e che sono dirette a mitigare e la stima della loro efficacia (Risk Assessment).

Le descrizioni delle misure di protezione, sempre in rapporto alle dimensioni dell’organizzazione ed alla lesività del trattamento, dovrebbero essere rese in modo da dimostrare la capacità di adempiere alle 5 funzioni su cui si basano i processi di Sicurezza delle informazioni indicate dal NIST (Identify, Protect, Detect, Respond, Recover[9]), e documentate con parametri connotati da completezza, ripetibilità,  comparabilità e coerenza[10].

L’oggetto della valutazione del rischio nei sistemi di gestione di sicurezza delle informazioni, può vèrtere, seguendo un approccio “classico” proposto dai sistemi di gestione della sicurezza dell’informazione aziendale, su un’analisi diretta delle vulnerabilità degli asset del trattamento.

Tuttavia, in tema di dati personali, questo approccio potrebbe dimostrarsi incoerente o non idoneo rispetto i precedenti requisiti, pertanto mi sentirei di consigliarla solamente dalle organizzazioni minori.

in situazioni di trattamenti più vasti, è opportuno mantenere il focus sull’importanza delle informazioni trattate, facendo pertanto riferimento agli scenari del trattamento, ed ai relativi potenziali eventi nefasti, introducendo gli asset al momento della definizione delle misure di irrobustimento.

La norma prosegue indicando che la descrizione deve essere resa in modo da dimostrare la conformità al regolamento e come queste siano compatibili con i diritti dell’interessato, in particolare quelli contenuti dagli articoli 15 e 22 (ad esempio, in relazione all’accesso, nonostante l’adozione di misure di sicurezza, i documenti contenenti dati personali di interesse devono essere prontamente disponibili).

In ancor più estrema sintesi, la redazione di una corretta DPIA potrebbe riassumersi come una sorta di contabilità della gestione del rischio: occorre in primo luogo determinare la portata del trattamento e rapportarlo alle necessità in modo da individuarne la misura necessaria ed individuare un impatto prevedibile derivante dalla lesione di riservatezza, integrità e riservatezza.

Nella seconda fase occorre individuare le misure approntate per ridurre i valori di Probabilità e Vulnerabilità e le minacce che riescono a mitigare o che comunque importano.

Questi elementi, espressi in modo analitico, dovrebbero condurci ad una stima del rischio residuo (cioè dopo l’adozione delle misure di mitagazione e di sicurezza), dalla quale dovrebbe risultare l’accettabilità o meno  dello stesso trattamento (validazione) e/o l’opportunità di un’eventuale consultazione con il Garante.

Conclusioni

Per concludere, vorrei perorare l’opportunità che le organizzazioni rendano pubblici i risultati della valutazione, magari tramite link nell’informativa, almeno nella parte contenente l’impatto previsto.

Tale tema è già stato affrontato dalle linee guida WP248, che concordano col consigliare tale pubblicazione (senza, però, poter individuare un obbligo): un tale adempimento consentirebbe all’interessato di aver maggiore conoscenza sul rischio attendibile, in modo da ridurre il gap informativo naturalmente presente fra le due parti.

In questo modo il titolare potrà più semplicemente dimostrare, non solo di aver agito conformemente al principio di trasparenza, ma anche dimostrare, in un’eventuale sede disciplinare o giudiziaria, più facilmente la consapevolezza dell’interessato, e quindi la validità dell’atto di disposizione.

Note

[1] Concetto utilizzato soprattutto nel diritto penale, definibile come bene o valore meritevole di protezione da parte dello Stato. Sempre nel diritto penale, il bene giuridico rappresenta la base delle fattispecie incriminatrici, le quali sono costruite con lo scopo di offrirgli la massima protezione da eventuali lesioni o esposizioni a rischio, ma anche l’oggetto di comparazione con gli altri valori parimenti tutelati dall’Ordinamento. Sebbene come definizione sia usata di rado al di fuori dell’ambito penale, appare ben idonea a rappresentare l’oggetto della tutela parimenti offerta dal GDPR.

[2] Spesso si preferisce utilizzare il valore opposto alla Vulnerabilità, ovvero la Resistenza. Il rapporto fra resistenza e vulnerabilità può essere inteso come V=1/R

[3] L’individuazione delle minacce è un passo importante delle procedure di Risk Assessment: esse consistono nei potenziali eventi che possono compromettere gli asset, e più in generale, alle misure tecniche ed organizzative utilizzate per il trattamento, determinando situazioni di breach sui dati in essi contenuti.

[4] La pratica, in realtà, insegna che l’interessato è soggetto a tutte quelle debolezze tipiche del fattore umano, quali inconsapevolezza e disattenzione, pertanto, potrebbe trovarsi ad aver conferito il proprio consenso ad operazioni di trattamento distanti dalle finalità dallo stesso perseguite. La liceità del consenso dipende dalla capacità del titolare di dimostrare che l’atto di disposizione sia stato conferito liberamente ed a seguito del rilascio di opportune informazioni.

[5] Anche questo passo può essere spiegato più facilmente con un esempio: immaginiamo che l’interessato sia un paziente sottoposto a cure da parte di un’azienda sanitaria: un breach, in termini di integrità e di disponibilità, sui dati sanitari dello stesso potrebbe vanificare le finalità perseguite dall’interessato, creandogli un ingiusto e rilevante danno.

[6] In questo caso con Regolamento non si intende l’atto normativo previsto dal diritto comunitario (come il GDPR), ma quello cui fa riferimento l’art. 3 delle Disposizioni Preliminari al Codice Civile, ovvero l’atto normativo la cui potestà è riconosciuta al governo e, nelle rispettive materie di competenza, agli altri organi pubblici, e che hanno rango inferiore agli atti legislativi.

[7] Degli elenchi di riferimento delle tipologie di trattamenti da sottoporre obbligatoriamente a DPIA sono contenuti nelle linee guida WP 248 del 4 ottobre 2017 e nel provvedimento n. 467 del Garante per la Protezione dei Dati Personali dell’11 ottobre 2018

[8] Questa ricostruzione è isprirata al Template di riferimento rilasciato dal CNIL nel febbraio 2018

[9] NIST Cybersecurity Frameword

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

[10] Cesare Gallotti, Sicurezza Delle Informazioni,2014, Cesare Gallotti
Un metodo valido di valutazione del rischio deve avere le seguenti caratteristiche:
completezza: devono essere considerati, al giusto livello di sintesi, tutti gli asset, tutte le minacce e tutte le vulnerabilità;
ripetibilità: valutazioni condotte nello stesso contesto e nelle stesse condizioni devono dare gli stessi risultati;
comparabilità: valutazioni condotte in tempi diversi nello stesso contesto devono permettere di
comprendere se il rischio è cambiato e come;
coerenza: a fronte di valori di asset, minacce e vulnerabilità più elevati di altri, il livello di rischio deve essere più elevato
.”

@RIPRODUZIONE RISERVATA

Articolo 1 di 4