di Alfonso Sica
La disciplina della privacy nasce dall’esigenza di tutelare la sfera personale dell’individuo e il suo controllo sui dati personali, considerando che la rivoluzione tecnologica ha facilitato la raccolta e la diffusione di informazioni sensibili, mettendo a rischio la libertà individuale e generando potenziali forme di controllo. Si è evoluto progressivamente da un concetto basilare di riservatezza a un sistema articolato di norme volte a garantire un adeguato livello informativo, bilanciando la tutela della privacy con altre esigenze sociali quali la sicurezza e il diritto all’informazione pubblica. È importante sottolineare che nell’ambito della privacy si considerano esclusivamente i rischi connessi al trattamento dei dati personali che possano avere effetti sugli interessati, sia in termini di danni materiali sia immateriali. Sono pertanto escluse tutte le conseguenze derivanti da rischi privi di impatto sui dati personali. In questo contesto si inserisce la modalità di trattamento dei dati e il rischio ad essa associato.
La normativa sulla privacy
La normativa sulla privacy, o riservatezza, rappresenta l’insieme di disposizioni legislative e regolamentari volte a tutelare le informazioni personali degli individui, garantendo loro il diritto di controllo su:
- modalità di raccolta;
- utilizzo;
- condivisione dei propri dati.
Tra le normative principali si distingue il GDPR in Europa, che assicura trasparenza, consenso informato e diritti specifici riguardo alla gestione dei dati personali da parte delle aziende.
L’analisi del rischio
Dall’entrata in vigore del GDPR, la valutazione dell’impatto dei fattori di rischio nei diversi contesti di trattamento ha acquisito un ruolo fondamentale. Tale valutazione è essenziale per dimostrare che il titolare del trattamento abbia adottato misure tecniche e organizzative adeguate a mitigare i rischi intrinseci alle attività che coinvolgono dati personali.
Questo strumento ha inoltre sostituito l’obbligo precedente di notifica preventiva al Garante, fatta eccezione per i casi in cui l’elevato rischio impone una consultazione preventiva.
La selezione e l’elaborazione dei metodi tecnici e scientifici alla base dell’analisi e valutazione del rischio nel trattamento dei dati personali devono garantire un approccio quanto più oggettivo possibile, fondato su metodologie standard riconosciute, limitando la discrezionalità del compilatore esclusivamente agli aspetti tecnici. Una valutazione del rischio dovrebbe essere solidamente ancorata a standard di calcolo e criteri valutativi certificati; pertanto, ogni elemento della valutazione dovrebbe poter essere giustificato dalla sua conformità a un determinato standard, riducendo o quantomeno contenendo il ricorso al libero arbitrio, confinandolo alla sola discrezionalità tecnica dell’operatore incaricato di interpretare il caso specifico.
Il perimetro valutativo
La normativa vigente pone particolare attenzione sulla responsabilità del titolare del trattamento, il quale è tenuto ad adottare comportamenti volti a prevenire eventi dannosi, dimostrando concretamente l’implementazione di misure idonee a garantire la conformità al regolamento e la corretta gestione dei dati sensibili. Di conseguenza, i titolari sono obbligati a svolgere una serie di attività finalizzate alla valutazione e al monitoraggio degli strumenti impiegati per tali scopi. Tale fase rappresenta un passaggio essenziale che deve essere sempre formalmente dichiarato, al fine di definire con precisione l’ambito delle valutazioni effettuate e la loro eventuale relatività.
La dichiarazione dell’ambito operativo deve illustrare in modo chiaro e conciso gli elementi sottoposti a valutazione, con particolare attenzione ai principi fondamentali il cui mancato rispetto compromette qualsiasi analisi dei rischi.
L’oggetto della valutazione
Il processo di valutazione dei rischi connessi al trattamento dei dati personali è finalizzato a identificare e mitigare, se non ridurre al minimo, tutti i potenziali rischi per i diritti e le libertà degli interessati derivanti da tale trattamento. Qualora dall’analisi emergesse un rischio elevato per i diritti e le libertà dell’interessato, sarà necessario procedere con una valutazione d’impatto relativa al trattamento che ha evidenziato tale rischio elevato. Tale obbligo si aggiunge alle altre condizioni previste dal GDPR e dalle linee guida delle autorità di controllo nazionali che richiedono comunque l’esecuzione della valutazione d’impatto. In conformità a quanto previsto dal regolamento, la valutazione dei rischi deve basarsi sull’analisi della gravità delle conseguenze e sulla probabilità di accadimento, come indicato all’art. 32. Pertanto, la valutazione del rischio rappresenta il primo passo che i titolari del trattamento devono compiere prima di intraprendere attività potenzialmente associate a un rischio elevato per i diritti e le libertà delle persone fisiche.
Il concetto di rischio si riferisce a uno scenario descrittivo di un evento e delle sue conseguenze stimate in termini di gravità e probabilità.
I riferimenti ai diritti e alle libertà riguardano principalmente il diritto alla privacy, ma possono estendersi anche ad altri diritti fondamentali quali:
- libertà di pensiero;
- libertà di movimento,
- divieto di discriminazioni;
- diritto alla libertà di coscienza;
- diritto alla libertà di religione.
Il trattamento dei dati
Il trattamento dei dati personali comprende qualsiasi operazione, anche automatizzata, effettuata su tali dati, quali:
- raccolta;
- registrazione;
- organizzazione;
- conservazione;
- modifica;
- utilizzo;
- comunicazione;
- cancellazione.
Tale ambito include ogni attività, dalla semplice consultazione fino alla distruzione dei dati stessi, ed è regolamentato da normative come il GDPR, che stabilisce principi fondamentali di liceità, trasparenza e proporzionalità al fine di garantire la protezione delle informazioni personali.
Nonostante il regolamento UE 2016/679 (meglio noto con l’acronimo inglese GDPR) sottolinei ripetutamente l’importanza della valutazione dei rischi associati al trattamento dei dati personali, in molte realtà aziendali manca una documentata evidenza di un processo sistematico di valutazione dei rischi che abbia portato all’adozione di specifiche misure e azioni di sicurezza.
La DPIA
La valutazione d’impatto sulla protezione dei dati (DPIA) rappresenta una procedura obbligatoria ai sensi del regolamento UE 2016/679 (GDPR), che i titolari del trattamento devono eseguire prima di intraprendere attività suscettibili di comportare un rischio elevato per i diritti e le libertà degli interessati. Tale valutazione consente di identificare, analizzare e mitigare i rischi connessi, garantendo il principio della protezione dei dati fin dalla progettazione. La DPIA si applica in particolare a trattamenti su larga scala di dati sensibili, al monitoraggio sistematico o all’adozione di decisioni automatizzate con effetti rilevanti sugli individui, quali la profilazione. Il regolamento generale sulla protezione dei dati impone ai titolari l’adozione di misure adeguate per assicurare la tutela dei diritti e le libertà delle persone fisiche.
L’obbligo della DPIA
La DPIA è obbligatoria in tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. L’art. 35 del GDPR prevede quanto segue: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.
Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi (…)”.
Pertanto, qualsiasi trattamento che comporti un rischio elevato per i diritti, le libertà fondamentali e la dignità degli interessati deve essere sottoposto a una valutazione d’impatto preliminare da parte del titolare del trattamento. In presenza di specifiche fattispecie, come detto, è necessario consultare l’autorità Garante qualora le misure tecniche e organizzative adottate dal titolare stesso risultino insufficienti a mitigare tale impatto, ovvero quando il rischio residuo per i diritti e le libertà degli interessati rimanga elevato. La responsabilizzazione, intesa come obbligo di rendere conto delle azioni svolte e delegate, costituisce il fulcro della nuova frontiera della privacy ed è un elemento imprescindibile per garantire una governance corretta ed efficace.
Ne consegue che spetta al titolare del trattamento decidere in modo autonomo modalità, misure di sicurezza e limiti del trattamento, nel pieno rispetto delle disposizioni normative vigenti e in conformità ai criteri stabiliti dal regolamento UE nonché alle linee guida e regole deontologiche emanate dall’uutorità Garante per la protezione dei dati personali.
Esempio
Sicuramente è oggetto di DPIA un trattamento che presenti un rischio elevato per i diritti, le libertà fondamentali e la dignità delle persone interessate a causa di un monitoraggio sistematico dei loro comportamenti, o per il gran numero di soggetti interessati di cui sono trattati dati sensibili, o anche per una combinazione di questi e altri fattori.
Il contenuto della DPIA
Il regolamento non definisce una procedura specifica per l’esecuzione della valutazione d’impatto sulla protezione dei dati (DPIA), lasciando ai titolari del trattamento la responsabilità di sviluppare un modello che integri le proprie prassi interne, garantendo comunque il rispetto degli elementi indicati all’art. 35, par. 7. La mancata esecuzione della DPIA, qualora obbligatoria, l’esecuzione errata della stessa o la mancata consultazione dell’autorità di controllo, ove richiesta, possono comportare l’applicazione di sanzioni amministrative pecuniarie fino a un massimo di 10.000.000 euro oppure, nel caso di imprese, pari al 2% del fatturato annuo globale dell’anno precedente, scegliendo l’importo più elevato tra i due.
Conclusioni
Considerando che il regolamento UE richiede di valutare i rischi derivanti da:
- distruzione;
- perdita;
- modifica;
- divulgazione;
- accesso non autorizzato;
sia illecito che accidentale, a dati personali trasmessi, conservati o comunque trattati, si identificano quindi rischi legati alla sicurezza del trattamento e alla valutazione dell’impatto sui diritti e le libertà degli interessati. In determinate circostanze la risposta può essere affermativa; tuttavia, è fondamentale adottare un approccio corretto nell’intero processo di valutazione del rischio. È pertanto necessario partire dall’analisi dei trattamenti di dati personali, ovvero dal registro dei trattamenti, considerato un prerequisito essenziale per definire una valutazione accurata dei rischi privacy.
Un metodo intermedio potrebbe consistere nell’individuare 10-15 rischi “classici”, risultanti da un’analisi delle minacce e vulnerabilità potenziali, calcolando il livello di rischio associato a ciascuno indipendentemente dai singoli trattamenti interessati oppure considerando globalmente tutti i trattamenti coinvolti dal rischio nella peggiore delle ipotesi.
Naturalmente sono ammesse diverse varianti metodologiche e ulteriori tecniche di calcolo del rischio privacy (ad esempio ispirandosi alla metodologia FMEA); il limite principale risiede probabilmente nella creatività dell’autore del modello. È però necessario mantenersi ancorati a riferimenti normativi consolidati (come la norma ISO 31000 per il processo di valutazione del rischio o le linee guida ENISA e altre analoghe) e definire una formula corretta per il calcolo del rischio. Va inoltre sottolineato che alcuni approcci sbagliano nel sommare invece che moltiplicare i contributi relativi a gravità, probabilità e misure di sicurezza (controlli), il che si rivela una pratica non conforme alle migliori prassi. Diversi software dedicati alla gestione della privacy e ai sistemi conformi alla norma ISO 27001 hanno integrato sistemi articolati per la valutazione dei rischi e possono pertanto risultare idonei allo scopo.
