VALUTAZIONE DI IMPATTO E GDPR, QUANDO VA FATTA?

valutazione di impatto e rischio

La valutazione di impatto prevista dall’art. 35 del GDPR è la massima espressione del principio di accountability che, sostanzialmente, pone in capo al titolare la gestione del rischio inerente alle attività di trattamento dei dati personali dallo stesso effettuati.
Il rischio di cui parla il regolamento è quello “per i diritti e le libertà delle persone fisiche”: tra gli altri, il diritto alla protezione dei dati e alla vita privata, la liberà di parola, di pensiero e di circolazione, il divieto di discriminazione e il diritto alla libertà di coscienza e di religione.

CHE COS’E’ UNA VALUTAZIONE DI IMPATTO SECONDO IL GDPR.

Per giungere alla definizione di valutazione di impatto, bisogna spingersi fino alla lettura del pgf 7 dell’art. 35 GDPR; parafrasando la norma, si tratta di un processo di controllo mediante il quale il titolare esamina, passaggio dopo passaggio, una determinata attività di trattamento, verificando i rischi connessi, allo scopo di individuare carenze o punti critici che ne costituiscono la fonte (c.d. gap).
All’esito di questa indagine “diagnostica”, viene predisposto un Action Plan, cioè una sorta di report con cui il titolare indica le misure tecniche e organizzative che intende adottare per attenuare quel rischio e colmare, almeno in parte, il gap accertato.

La valutazione di impatto (nel gergo, anche DPIA, acronimo di “Data Protection Impact Assessment”) non deve necessariamente condurre all’eliminazione di tutti i rischi; generalmente, si rivela determinante per una loro minimizzazione.

In definitiva, è uno strumento che aiuta il titolare nell’arduo compito di valutare se il livello di rischio residuo sia accettabile o meno, tenuto conto delle misure adottate o che si intende adottare per quel tipo di trattamento.

L’APPROCCIO BASATO SUL RISCHIO.

E’ bene fare una precisazione: qualsiasi trattamento di dati personali presenta un rischio potenziale per i diritti e le libertà degli interessati; tuttavia, la valutazione di impatto viene richiesta soltanto nel caso in cui il rischio sia “elevato”.

Da qui l’importanza di accertare in maniera corretta il grado di rischio derivante da un certo tipo di trattamento, per capire se ricorra o meno la necessità di effettuare tale adempimento.
La questione è molto delicata.

  • Da una parte, redigere una valutazione di impatto è un onere piuttosto dispendioso per il titolare, sia in termini di tempo che di costi.
    Dovrà essere interpellato il DPO, se è stato nominato, oltre allo staff legale e IT dell’azienda; in assenza di queste figure, sarà importante affidarsi a consulenti esterni specializzati. La scelta di eseguire una DPIA va ponderata, non foss’altro per evitare l’esborso di inutili spese o l’utilizzo di risorse che potevano essere allocate altrimenti e con maggiore profitto.
  • Dall’altra, il Regolamento prevede sanzioni molto salate per il titolare che:
  1. non abbia eseguito tale adempimento;
  2. o che lo abbia eseguito in maniera errata;
  3. oltre all’ipotesi di violazione per mancata consultazione dell’autorità di controllo (il Garante Privacy), sulla quale si avrà modo di parlare in un altro contributo.

Pertanto, in casi limite (esempio: trattamento di dati a rischio medio-alto) o laddove risulti complicato stabilire l’esatto livello di rischio (esempio: viene introdotta una nuova tecnologia e non se ne conoscono le implicazioni in ambito privacy), il consiglio è quello di eseguire sempre la DPIA, per scongiurare l’ipotesi di una sanzione pecuniaria, il cui importo sarebbe di certo maggiore rispetto a quello dovuto a titolo di compenso a favore di consulenti e/o professionisti (il Regolamento indica alternativamente la sanzione massima di € 10 milioni o pari al 2% del fatturato annuo, a seconda di quale sia, fra i due, l’importo superiore).

Inoltre, la DPIA offre una serie di benefici finanziari a lungo termine: identificare a monte un problema o una criticità legata ad un’attività di trattamento conduce a soluzioni più semplici e meno costose, proteggendo il titolare da possibili danni reputazionali che potrebbero sorgere in seguito.
Esempio: la clinica privata Alfa introduce un gestionale in cloud di ultima generazione, che permette di conservare e modificare da remoto le cartelle elettroniche dei pazienti ricoverati. E’ certamente un fattore di innovazione, ma se il sistema si rivelasse vulnerabile ad attacchi di pirateria informatica (c.d. hackeraggio), a seguito di un illecita diffusione di dati sanitari, immaginate quali potrebbere essere i danni materiali e di immagine provocati alla struttura!

QUANDO UN RISCHIO E’ “ELEVATO” ?

Sul punto, il legislatore europeo non offre una definizione di rischio elevato, ma una serie di “indizi”, utili a delineare i contorni di questa locuzione; sono indizi disseminati non soltanto fra le norme del Regolamento, ma anche fra i suoi Considerando, che, pur rappresentando il preambolo della parte dispositiva, hanno acquisito la sua stessa cogenza, per cui vanno tenuti in grande considerazione.

La chiave è il Considerando n. 75, che lega il concetto di rischio a quello di danno potenziale sia materiale che immateriale a persone fisiche le quali, per tale via, subiscono un pregiudizio a diritti e libertà individuali.

Fra i danni potenziali sono elencati, ad esempio, il furto o l’usurpazione di identità, le discriminazioni, le perdite finanziarie, il pregiudizio alla reputazione.
Per comprendere se il rischio sia elevato o meno, occorre valutare la probabilità e la gravità del danno potenziale inerente al tipo di trattamento che si vuole effettuare.

  • L’ICO – l’Autorità Garante Inglese – nella sua “guida” alla valutazione di impatto (clicca qui), approfondisce il significato di probabilità e gravità del rischio, spiegando in maniera efficace l’utilizzo di questi due criteri, in modo da commisurare il relativo danno potenziale a diritti e libertà degli interessati.
  • Altrettanto utili sono le Linee Guida del Gruppo 29, in cui sono elencati 9 criteri,  che si potrebbero anche definire “criteri sentinella”, perché mettono in guardia il titolare sulla necessità di eseguire una DPIA; anzi le Linee Guida sono piuttosto esplicite al riguardo: se un trattamento soddisfa anche solo 2 di questi criteri, è molto probabile che il trattamento medesimo debba forma oggetto di una valutazione di impatto sulla protezione dei dati.
    Alcuni di questi 9 criteri (es: trattamento di dati sensibili; trattamento su larga scala; monitoraggio sistematico) richiamano i 3 casi elencati dall’art. 35 pgf. 3 del GDPR, per i quali è richiesta automaticamente una valutazione di impatto (vedi qui le 3 ipotesi).
    Tuttavia, l’elenco fornito dal GDPR, come ammette la stessa norma, non è assolutamente esaustivo, sebbene rappresenti un metro di paragonare imprescindibile per qualunque titolare che voglia riflettere su natura, oggetto, contesto e finalità del trattamento, prima di decidere se procedere o meno alla valutazione di impatto.

In questa fase preliminare, nella quale il titolare si consulta con le figure e i dipartimenti competenti, per farsi aiutare nel prendere la decisione più corretta, è chiaro che il grado di competenza del DPO e/o di consulenti specializzati possono fare un’enorme differenza, anche in termini di costi/benefici, come è stato suggerito in precedenza.

Ad ogni modo, qualunque sia la scelta del titolare, questi dovrà comunque garantire e dimostrare la conformità al GDPR: se decide di effettuare la valutazione di impatto sarà poi chiamato ad adottare le misure tecniche e organizzative in essa indicate per attenuare il rischio entro una soglia accettabile; in caso di decisione opposta, dovrà invece redigere una documentazione, altrettanto importante, da cui si evinca il motivo per cui non è stata effettuata la valutazione di impatto (un’ulteriore declinazione del concetto di accountability).