VALUTAZIONE DI IMPATTO: AL CENTRO I DATI PERSONALI

valutazione di impatto: al centro i dati personali
il GDPR richiede di adottare la prospettiva dell'interessato nel corso della valutazione di impatto

Il primo articolo dedicato al tema della valutazione di impatto, muove dalla sua definizione (art. 35 GDPR) come processo di gestione del rischio per la protezione dei dati personali.
Un processo che deve mettere al centro i dati personali, riflettendo l’enfasi che il GDPR ha inteso porre sul concetto di “accountability”.
Il titolare è infatti chiamato a valutare, in via preventiva, i danni potenziali (materiali e immateriali) a diritti e libertà individuali.
In una recente nota, l’European Data Protection Supervisor – l’autorità indipendente che monitora e assicura la protezione dei dati personali nel corso delle attività di trattamento effettuate dalle istituzioni comunitarie – si è detta soddisfatta delle nuove politiche di data protection di cui si è dotato il Parlamento Europeo, con le quali dimostra di voler proteggere diritti e libertà, piuttosto che limitarsi a regolamentare procedure burocratiche.

1. LA PROSPETTIVA CORRETTA: DALLA PARTE DELL’INTERESSATO.

Il tema è ricorrente quando si discute di valutazione di impatto: è vero che il processo richiede l’adozione di “misure tecniche e organizzative” per mitigare il rischio di un trattamento; che, durante l’intero processo, si è indotti a riflettere su attività di raccolta o conservazione dei dati, su policy aziendali o misure di sicurezza; che, pertanto, l’area di valutazione comprende i processi e/o le procedure messe in atto dal titolare al fine di raccogliere, registrare, comunicare o conservare dati.
E’ altrettanto vero, però, che l’obiettivo finale resta pur sempre quello di proteggere i dati personali.
Il rischio, insomma, è quello di concentrarsi eccessivamente su procedure, controlli e infrastrutture del titolare, perdendo di vista i dati personali, vale a dire l’oggetto stesso della nostra indagine.

Se così fosse, verrebbe compromessa la finalità principale di una valutazione di impatto secondo il GDPR, che rispetto ad altri processi “risk based”, mette al centro la tutela di informazioni personali, proteggendo solo indirettamente le procedure, le reti o le infrastrutture che sono a vario titolo coinvolte nel corso del trattamento.

Lo ha spiegato con efficacia il Gruppo 29 (un’altra Autorità indipendente dell’UE, oggi sostituita dall’European Data Protection Board): “la valutazione di impatto […] è uno strumento per gestire i rischi per i diritti degli interessati, di conseguenza adotta la loro prospettiva”.

Un principio, questo, che dovrebbe guidare tutte le scelte in materia di data protection, a maggior ragione nel caso in cui si debba procedere ad una valutazione di impatto, che lascia ampia discrezionalità  al titolare su quali misure tecniche e organizzative adottare in presenza di rischi elevati.
Se vogliamo è un principio banale, quasi ovvio.
D’altronde – qualcuno potrebbe obiettare – il tema è quello dei dati personali, cioè di informazioni riconducibili a persone fisiche; va da sè che la priorità risieda nella valutazione dei rischi per i loro diritti e per le loro libertà individuali.

Eppure, le istituzioni europee deputate a vigilare sulla corretta applicazione del Regolamento sembrano voler ripetere questo principio, quasi fosse un mantra.

Il fatto è che adottare la prospettiva dell’interessato non appare un’operazione semplice, anzi costituisce una vera novità, soprattutto per contesti aziendali e professionali da sempre abituati a considerare il proprio livello di protezione da una prospettiva “interna”, come difesa dei propri asset aziendali.

Questa prassi orienta il processo di “gestione del rischio” verso una finalità opposta a quella indicata dal regolamento.

2. I DATI PERSONALI, PRIMA DEI MODELLI ORGANIZZATIVI.

Pensiamo per un attimo al tema della cyber security; oggi include, ovviamente, quello della sicurezza (data security) nel trattamento dei dati personali (data privacy).
Ma un’indagine che vuole essere d’aiuto nell’analisi dei rischi di sicurezza e delle relative contromisure non può limitarsi ad una valutazione del grado di vulnerabilità dei dispositivi in uso rispetto a possibili attacchi esterni.
In questo modo, si ritorna al rischio accennato sopra: troppa attenzione su procedure, risorse e modelli organizzativi del titolare, mentre i dati personali sono relegati sullo sfondo.

3. UN ESEMPIO CONCRETO.

Per chiarire, proviamo a fare un esempio: il titolare di una multinazionale riflette su una linea produttiva che tratta dati sensibili e, temendo le conseguenze di un attacco cyber, decide di innalzare il livello di sicurezza delle relative infrastrutture IT. Per fare questo, aggiorna le componenti hardware e software di quel ramo produttivo ai nuovi standard di sicurezza informatica.
Dopo alcuni mesi, viene designato il DPO, che decide di analizzare le operazioni di trattamento effettuate all’interno di quel contesto produttivo. All’esito, redige un report nel quale dichiara che i dati sensibili trattati in quella fase produttiva non erano affatto necessari alle finalità perseguite dal titolare; questi avrebbe potuto inoltre raggiungere gli stessi obiettivi di sicurezza mediante tecniche di pseudonimizzazione che, a loro volta, avrebbero evitato l’esborso di ingenti somme utilizzate per aggiornare i sistemi IT.

E’ evidente che il titolare si era posto un problema di protezione della sua azienda, in un’ottica di sicurezza delle proprie infrastrutture interne, senza mettere al centro delle sue decisioni i dati personali; il che, peraltro, si è concretizzato in una spesa inutile.

Cosa fare allora?
Prima di tutto occorre analizzare la categoria di dati personali trattati, il tipo di trattamento; solo in seguito i modelli organizzativi, le procedure.

Si potrebbe anche dire: prima il contenuto e poi il contenitore.
Occorre domandarsi qual è il tipo di dati che trattiamo; definire l’attività di trattamento e il suo contesto. Solo così avremo un quadro più chiaro di quali potrebbero essere i diritti o le libertà che stiamo in qualche modo “toccando” nel corso delle attività di trattamento e che dobbiamo salvaguardare.
Dovremo chiederci: quali sono le tipologie di dati trattati? qual è la finalità del trattamento? Vengono raccolti dati in misura adeguata e pertinente a quanto necessario rispetto alla finalità per le quali sono trattati? vengono conservati per un arco di tempo proporzionato al conseguimento delle stesse finalità?
In altri termini, dovremo applicare quei principi di necessità e proporzionalità enunciati dall’art. 5 del Regolamento, che rappresenta il punto di partenza di qualsiasi valutazione di impatto conforme al GDPR.