Valutazione di impatto sulla protezione dei dati («impact assessment»)
La valutazione di impatto sulla protezione dei dati («impact assessment»)
La valutazione di impatto sulla protezione dei dati è una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone derivanti dal trattamento dei loro dati personali, attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli. È uno strumento importante in termini di «accountability», perché aiuta i titolari non soltanto a rispettare le prescrizioni del GDPR, ma anche a dimostrare l’adozione di misure idonee a garantire il rispetto di tali prescrizioni. In altri termini, è una procedura che permette di realizzare e dimostrare la conformità con le norme. Non tutti i trattamenti comportano un «impact assessment». La valutazione di impatto sulla protezione dei dati è obbligatoria quando il trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche.
Quando la valutazione di impatto sulla protezione dei dati è obbligatoria
La valutazione di impatto sulla protezione dei dati è obbligatoria quando il trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche. Comunque, la semplice circostanza per cui non siano soddisfatte le condizioni che generano un obbligo di condurre l’«impact assessment» non esonera i titolari dal mettere in atto misure finalizzate a gestire in modo idoneo i rischi per i diritti e le libertà degli interessati. I titolari devono valutare in modo continuativo i rischi che i propri trattamenti possono comportare, così da individuare quelle situazioni in cui una determinata tipologia di trattamenti può presentare un rischio elevato per i diritti e le libertà degli interessati.
Per rischio si intende uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità.
C’è menzione del rischio rispetto a «diritti e libertà delle persone fisiche» che devono essere intesi non solo come diritti alla riservatezza della persona ma anche ad altri diritti fondamentali, quali la libertà di espressione e di pensiero, la libertà di movimento, il divieto alla discriminazione, il diritto alla libertà, coscienza e religione.
Il GDPR indica situazioni ove è obbligatoria, ma non ne fornisce elenco esaustivo, rimandando agli Stati membri di stabilire e emanare una lista dei tipi di trattamenti che la richiedono:
1. valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche
2. trattamento su larga scala di categorie particolari di dati personali o dati personali relativi a condanne penali e reati
3. sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Il Garante ha pubblicato una lista dei tipi di trattamento che implicano un «impact assessment».
Chi è tenuto a condurre la valutazione di impatto sulla protezione dei dati
Spetta al titolare garantire che la valutazione di impatto sulla protezione dei dati sia effettuata. Può affidarla anche a altri soggetti, ma l’obbligo è di sua responsabilità. Il titolare deve consultarsi con il «Data Protection Officer» (se designato): la consultazione e le decisioni prese dal titolare devono essere documentate nella valutazione di impatto. Il «Data Protection Officer» è chiamato anche a sovrintendere alla valutazione di impatto. Gli eventuali responsabili devono assistere il titolare nella conduzione della valutazione di impatto e mettere a sua disposizione ogni informazione necessaria per tale obbligo, tenendo conto dei compiti affidati.
Come e quando analizzare il rischio
Come già detto, il rischio è uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di probabilità e gravità rispetto ai diritti e alle libertà degli interessati.
La valutazione del rischio non deve essere confusa o, meglio, limitata alle misure di sicurezza, che ne rappresentano soltanto una parte. Devono essere considerati gli effetti complessivi del rischio: origine, natura, gravità, probabilità, impatto sui diritti e le libertà dell’interessato. La somma di questi elementi consente di determinare il livello del rischio.
La valutazione del rischio in termini di misure di sicurezza deve considerare, fra l’altro:
1. disponibilità dei dati (distruzione, perdita, indisponibilità)
2. integrità (alterazione)
3. riservatezza (divulgazione, comunicazione, diffusione e accesso indebito o non autorizzato).
La valutazione del rischio in termini di effetti complessivi deve considerare, fra l’altro:
1. perdita di controllo dei dati
2. danno alla reputazione e furto di identità
3. impossibilità di esercitare i propri diritti
4. impossibilità di decidere servizi e opportunità
5. danni economici e finanziari
6. discriminazione
7. danni fisici o psicologici
8. altri significativi svantaggi economici e sociali.
Il Garante italiano ha messo a disposizione, in collaborazione con il CNIL (Autorità di controllo francese) apposito software liberamente scaricabile per condurre la valutazione di impatto sulla protezione dei dati.
L’«impact assessment» deve essere condotto quando il trattamento è in fase di progettazione, anche se non tutte le operazioni di trattamento sono già state decise. Durante il trattamento, l’aggiornamento dell’«impact assessment» garantirà la dovuta considerazione delle tematiche di privacy e protezione dei dati favorendo l’individuazione di soluzioni che promuovano l’osservanza del GDPR. Lo svolgimento della valutazione di impatto sulla protezione dei dati è un processo continuativo e non un’attività una tantum. La valutazione di impatto sulla protezione dei dati è un processo permanente, soprattutto se il trattamento è dinamico e soggetto a continue trasformazioni.
Se il titolare ritiene che il trattamento non comporti un rischio elevato per i diritti e le libertà degli interessati e non conduce un «impact assessment», lo deve documentare per iscritto, spiegando le ragioni di questa decisione.
Se dalla valutazione di impatto sulla protezione dei dati risulta che il trattamento, in mancanza delle garanzie, delle misure di sicurezza e dei meccanismi per attenuare il rischio, presenterebbe un rischio elevato per i diritti e le libertà delle persone fisiche e il titolare ritiene che il rischio non possa essere ragionevolmente attenuato in termini di tecnologie disponibili e costi di attuazione, occorre consultare l’autorità di controllo prima dell’inizio delle attività di trattamento. Nel processo di consultazione preventiva, si dovrà presentare all’autorità di controllo l’«impact assessment» condotto con le misure previste per attenuare il rischio.
Come si gestisce e si previene il rischio
È impossibile eliminare il rischio, ma è dovere, nel principio di «accountability», impiegare tutti i ragionevoli e fattibili strumenti organizzativi e tecnologici per minimizzarlo e mitigarlo. D’altro canto, la gestione del rischio è definibile come l’insieme coordinato delle attività finalizzate a guidare nella prevenzione del rischio e monitorarlo.
Misure tecnologiche:
1. policy di sicurezza logiche e fisiche
2. aggiornamenti costanti di software operativi e gestionali e sistemi di sicurezza
3. test di controllo su sistemi informatici in uso
4. controllo degli accessi e tracciamento delle operazioni.
Misure organizzative:
1. determinazione e formalizzazione dei ruoli e delle responsabilità
2. costante governance e audit
3. norme comportamentali e istruzioni, procedure
4. formazione
5. strumenti di controllo che consentano agli interessati di esercitare facilmente i propri diritti, modalità di contatto
Altri criteri generali, ispirati ai principi applicabili al trattamento:
1. minimizzazione dei dati
2. anonimizzazione, pseudonimizzazione, cifratura dei dati
3. conservazione in quanto a sicurezza e termini di detenzione
4. qualità dei dati (esattezza, aggiornamento, rettifica, pertinenza e necessità del trattamento).
Cosa deve contenere l’«impact assessment»
Ci sono informazioni minimali che l’art. 35, comma 7, GDPR prescrive siano incluse nell’«impact assessment», cui, ovviamente, se ne possono aggiungere altre se ritenute rilevanti ai fini dell’analisi:
1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare: è forse la parte meno complessa da relazionare poiché è sufficiente indicare per quali motivi i dati sono raccolti e trattati e se tale trattamento sia poggiato sulla base giuridica del legittimo interesse ammesso quale condizione di liceità del trattamento, alternativa o congiunta alle altre condizioni previste all’art. 6, GDPR
2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità: iniziano qui le parti di più elaborata analisi, poiché si tratta di decidere se il trattamento di dati personali sia effettivamente necessario per perseguire i fini dichiarati e se, invece, non sia possibile raggiungere gli stessi scopi usando metodi che non comportano il trattamento di dati personali (es.: attraverso uso di dati anonimi – nel contesto di un questionario, valutare se sia indispensabile correlarlo univocamente al compilante oppure se, anche in assenza dei suoi identificativi, lo scopo dell’indagine può comunque essere perseguito)
3. una valutazione dei rischi per i diritti e le libertà degli interessati: è la parte di «impact assessment» di più elevata criticità di analisi. Occorre avere metodologie e criteri appropriati e idonei alla valutazione del rischio cui il trattamento potrebbe esporre i diritti e le libertà degli interessati, non soltanto sotto il profilo della riservatezza dei loro dati personali, ma anche rispetto ai soltanto presunti condizionamenti comportamentali che il trattamento potrebbe indurre o alle sue possibili conseguenze
4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione: sebbene l’impatto del trattamento e il rischio che ne può derivare portino a considerare soltanto le precauzioni tecniche di sicurezza, qui è richiesto di esplorare tutte le procedure – quindi anche organizzative – che sono previste per mitigare il rischio agli interessati.
Anche questo adempimento, inesorabilmente, date le informazioni da raccogliere e da esaminare per il suo espletamento, richiama alla assunzione di responsabilità del titolare rispetto alle decisioni prese (concetto di «accountability»).
Quale metodologia usare per condurre una valutazione di impatto
Le autorità di controllo hanno messo a disposizione procedure per condurre una valutazione di impatto. Ciò nonostante, la metodologia da applicare è indicata dal GDPR che elenca le caratteristiche minime:
1. una descrizione generale delle operazioni di trattamento che si intendono svolgere e le finalità del trattamento
2. una valutazione della necessità e della proporzionalità del trattamento
3. una valutazione dei rischi dei diritti e delle libertà degli interessati
4. le misure previste per gestire il rischio e per dimostrare l’osservanza dei requisiti del GDPR.
Il flusso della metodologia può essere sintetizzato in:
1. descrizione del trattamento previsto
2. valutazione della necessità e della proporzionalità del trattamento
3. misure normalmente applicate
4. valutazione dei rischi dei diritti e delle libertà degli interessati
5. misure previste per gestire il rischio
6. documentazione della procedura
7. monitoraggio e revisione della valutazione di impatto.
Criteri per una valutazione di impatto accettabile
Per stabilire se una valutazione di impatto consideri un numero di elementi sufficienti a garantire il rispetto delle disposizioni del GDPR, è bene siano descritti:
1. descrizione sistematica del trattamento (natura, contesto e finalità del trattamento, dati personali oggetto del trattamento, i destinatari e il periodo previsto di conservazione dei dati, strumenti usati per il trattamento quali hardware, software, reti, persone, supporti cartacei o canali di trasmissione cartacei)
2. valutazione di necessità e proporzionalità del trattamento (finalità specifiche, esplicite e legittime, basi giuridiche del trattamento, adeguatezza, pertinenza dei dati, periodo limitato di conservazione)
3. misure che contribuiscono a rispettare i diritti degli interessati
4. gestione dei rischi per i diritti e le libertà degli interessati (analisi dei rischi, in termini di effetti complessivi del rischio e misure di sicurezza, l’origine, la natura, la particolarità e la gravità dei rischi o, in modo più specifico, di ogni singolo rischio, misure previste per gestire il rischio)
5. consulenza del «Data Protection Officer».
Per approfondire, consulta le FAQ o contattatami.