GDPR, valutare l’impatto sulla protezione dei dati: focus sul nuovo obbligo

Ecco cosa cambierà con le nuove disposizioni Ue sulla valutazione d’impatto, uno strumento che aiuta imprese e PA a valutare la necessità e proporzionalità del trattamento e dall’altro a gestire i rischi per i diritti e le libertà delle persone fisiche che siano coinvolte in operazioni di trattamento di dati personali

Pubblicato il 14 Lug 2017

Gabriele Faggioli

CEO Gruppo Digital360, presidente Clusit, Responsabile Scientifico Osservatorio Cybersecurity and Data Protection Politecnico di Milano

Calcolo quantistico: come proteggerlo con la cyber security

Il 25 maggio 2018 diventerà applicabile il Regolamento Europeo n° 679/2016 che contiene una serie di importantissime novità in relazione al trattamento dei dati personali.

Fra la privacy by design e il principio dell’accountability, il diritto all’oblio, la portabilità dei dati e le valutazioni di adeguatezza delle misure di sicurezza, una particolare attenzione deve essere posta alla valutazione di impatto sulla protezione dei dati personali, adempimento del tutto nuovo nell’ordinamento giuridico italiano e con cui imprese e pubbliche amministrazioni dovranno necessariamente confrontarsi.

L’art. 35 del Regolamento ha introdotto la valutazione di impatto che si sostanzia in un processo volto, da un lato, a valutare la necessità e proporzionalità del trattamento e dall’altro a gestire i rischi per i diritti e le libertà delle persone fisiche che siano coinvolte in operazioni di trattamento di dati personali.

In pratica, trattasi di uno strumento che serve a valutare le misure di sicurezza da adottare al fine di ridurre al minimo i rischi del trattamento al fine di garantire e dimostrare che le operazioni poste in essere sui dati personali sono conformi alle disposizioni del Regolamento.

L’effettuazione della valutazione d’impatto non è obbligatoria per tutte le operazioni di trattamento di dati personali ma solo qualora il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche (oltre a una serie di ipotesi espressamente previste dall’articolo 35 del Regolamento).

Ogni azienda e pubblica amministrazione ha quindi l’onere di comprendere quando sarà tenuta a svolgere la valutazione di impatto e per questo motivo il 4 aprile 2017 il Gruppo di Lavoro ex art. 29 (WP29) ha una Linea Guida avente ad oggetto specifico la valutazione d’impatto. Le Linee Guida hanno quattro scopi primari:

  • Definire una lista di operazioni di trattamento di dati personali rispetto alle quali l’effettuazione della valutazione d’impatto deve ritenersi obbligatoria;
  • Definire un elenco di operazioni di trattamento rispetto alle quali la valutazione d’impatto non è necessaria;
  • Definire dei criteri comuni aventi ad oggetto la metodologia da adottare per l’effettuazione della valutazione d’impatto;
  • Definire dei criteri comuni nel definire quando è necessario consultare l’Autorità di controllo (necessario quando la valutazione di impatto si conclude comunque con un giudizio di alto rischio in relazione al trattamento).

Trattandosi di una procedura sicuramente onerosa è particolarmente utile che il WP29 abbia adottato la Linea Guida considerando l’importanza di definire quando un trattamento possa presentare «un rischio elevato per i diritti e le libertà delle persone fisiche» e necessiti dunque dell’effettuazione di una valutazione d’impatto. Le interpretazioni sul punto, infatti, sarebbero state le più diverse. Il WP29 ha quindi specificato che la valutazione di impatto deve porsi in essere se sussista almeno uno di una serie di aspetti di cui si riportano di seguito quelli ritenuti maggiormente rilevanti:

  • Esistenza di processo di valutazione dell’interessato, compresa la profilazione, in particolare al fine di analizzare aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, ecc. (per fare un esempio: una banca che dovesse selezionare i propri clienti attingendo le informazioni da banche dati relative al credito concesso si dovrebbe considerare in ambito di valutazione di impatto);
  • Sussistenza di monitoraggio sistematico degli interessati soprattutto perché in tali casi gli interessati potrebbero non essere consapevoli di chi sta trattando i loro dati e delle modalità con le quali il trattamento viene effettuato. Ciò vale, ad esempio, rispetto alle ipotesi nelle quali i dati vengano raccolti in spazi pubblici o aperti al pubblico
  • Effettuazione, su larga scala, di operazioni di trattamento di categorie particolari di dati personali (ad esempio, rispetto ad un ospedale che conserva i dati sanitari dei pazienti;
  • Creazione di set di dati abbinati o combinati tra loro, in quanto originati da due o più operazioni di trattamento, poste in essere per scopi differenti e/o da diversi Titolari del trattamento (facile immaginare l’impatto sui big data);
  • Utilizzo di soluzioni tecnologiche o organizzative di carattere innovativo come ad esempio sistemi di riconoscimento del volto usati per gestire il controllo degli accessi o i sistemi di sicurezza basati sulla mappa magnetica delle persone.

Le casistiche sopra riportate (peraltro non esaustive) rendono evidente come la valutazione di impatto diventerà usuale in tutti i contesti ad alta e innovativa tecnologia nonché in tutti i casi in cui si effettuino trattamenti su larga scala. L’impatto sul mondo del CRM, dei servizi di cloud computing,  sull’IoT, sul mobile sarà quindi rilevantissima e giocherà un ruolo essenziale nei giudizi di adeguatezza delle misure di sicurezza di cui dovranno essere dotati tali prodotti e servizi che quando comporteranno il trattamento di dati personali.

Si deve poi tenere conto che una singola valutazione d’impatto potrà essere effettuata con riferimento a più operazioni di trattamento di dati personali qualora gli stessi risultino simili per quanto attiene ai rischi che presentano. È il caso, ad esempio, dell’operatore ferroviario (unico Titolare del trattamento) che effettua un’unica valutazione d’impatto rispetto agli impianti di videosorveglianza utilizzati in tutte le stazioni ferroviarie.

Una domanda che le aziende e le pubbliche amministrazioni che hanno avviato progetti di adeguamento al Regolamento si stanno spesso facendo è come comportarsi rispetto ai trattamenti già in essere alla data del 25 maggio 2018. Ebbene, formalmente, tali trattamenti non richiederebbero l’effettuazione della valutazione d’impatto tuttavia, il WP29 nelle linee guida sopra citate ha raccomandato fortemente di effettuare la valutazione d’impatto anche rispetto alle operazioni di trattamento già in corso. Inoltre poiché qualora dovessero insorgere variazioni del rischio rappresentato dalle attività relative al trattamento il Titolare dovrà procedere ad un riesame per valutare la conformità alla valutazione di impatto e eventualmente ripeterla (si pensi ad esempio a una società che abbia avviato un trattamento in ambito CRM prima del 25 maggio 2018 e, successivamente, sposti il trattamento su una soluzione di cloud computing) anche per i trattamenti già in corso alla data indicata potrà risultare obbligatorio, successivamente, effettuare la valutazione di impatto qualora venga utilizzata una nuova tecnologia o i dati vengano trattati per finalità differenti.

Emerge da quanto sopra che la valutazione di impatto va dunque vista come un processo di carattere dinamico, soprattutto con riferimento a quei trattamenti soggetti a continui cambiamenti, e non invece come un adempimento statico che una volta effettuato mette al riparo da rischi per un tempo indefinito.

Nella figura che segue si riporta l’ottima immagine contenuta nelle linee guida del WP29 sopra citate e che rendono chiaro il processo di gestione di una valutazione di rischio.

Il Regolamento non fornisce indicazioni in ordine alle modalità con le quali effettuare la valutazione di impatto e sarà dunque onere del Titolare del trattamento stabilire la struttura e la forma che tale valutazione dovrà avere. Ad ogni modo, essa dovrà necessariamente contenere gli elementi indicati dall’articolo 35 del Regolamento.

Per finire si noti che qualora dovessero residuare rischi elevanti, sarà comunque necessario effettuare una consultazione preventiva dell’Autorità di controllo.

Nella vigente normativa per i trattamenti che presentano rischi specifici si può procedere con istanza al Garante per la protezione dei dati personali ai sensi dell’articolo 17 del Codice. Il cambiamento normativo è rilevante: si passa da un obbligo di consultazione a un modello in cui la consultazione dovrebbe essere residuale e, comunque, è demandata al prudente apprezzamento del Titolare del trattamento.

Nel passato, le istanze ex art. 17 del Codice sono state anche usate per ottenere deroghe normative (per esempio per ottenere un allungamento del limite massimo di conservazione e utilizzo dei dati personali inerenti gli acquisti effettuati dagli interessati trattati per finalità di marketing e profilazione). Ci si chiede se venuto meno dall’anno prossimo l’istituto si potrà ancora chiedere deroghe alla normativa utilizzando il sistema della valutazione di impatto con al limite consultazione preventiva all’Autorità di controllo o se invece si dovrà rinunciare. Vedremo nei prossimi mesi se giungeranno indicazioni dal Garante o dal legislatore.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati