Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.
In cosa consiste la valutazione d’impatto?
Con il nuovo Regolamento privacy il titolare del trattamento è chiamato a valutare il rischio a cui il proprio trattamento potrebbe esporre i dati trattati e, quindi, i diritti e le libertà fondamentali delle persone fisiche. La valutazione d’impatto consiste quindi in un “processo continuo” da riesaminare periodicamente e in occasione di eventuali mutamenti sostanziali, il cui risultato finale è rappresentato da una rassegna delle attività svolte per valutare il rischio derivante dal trattamento e dei mezzi, degli strumenti e delle misure adottate per contrastarlo.
Quando occorre effettuare tale valutazione?
La valutazione d’impatto andrebbe svolta dal titolare prima di procedere al trattamento, ossia in una fase in cui sia ancora possibile apportare modifiche e adottare misure tali da mitigare l’eventuale rischio emergente dalla valutazione. Tale adempimento rientra infatti nell’ambito dell’approccio di sicurezza proattiva adottato dal GDPR, consistente in una serie di strumenti a carattere preventivo e anticipatorio della tutela dei dati personali oggetto di trattamento.
Si tratta di un adempimento obbligatorio?
La valutazione d’impatto è obbligatoria solo in taluni casi, cioè quando il trattamento consista in: 1) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; 2) un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; o 3) una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (per il concetto di larga scala, si veda LINK Faq sul DPO). È poi previsto che l’Autorità Garante per la protezione dei dati personali rediga e pubblichi un elenco delle tipologie di trattamenti soggetti a tale adempimento.
Anche nei casi in cui non debba procedersi obbligatoriamente alla valutazione d’impatto, quest’ultima rappresenta una misura raccomandata, poiché consente al titolare di individuare le eventuali situazioni di rischio e di porvi rimedio prima di arrecare danni agli interessati ovvero di violare la normativa.
Chi deve procedere alla valutazione d’impatto?
Responsabile della conduzione della valutazione d’impatto è il titolare del trattamento che può decidere di condurre la valutazione all’interno della propria organizzazione ovvero affidarla all’esterno. In ogni caso, la responsabilità rimane in capo al titolare che dovrà quindi vigilare attentamente sulla conduzione della valutazione d’impatto.
Come evidenziato anche dal Regolamento, il titolare dovrebbe poi consultarsi fin dall’inizio con il Data Protection Officer e con i responsabili del trattamento. E? altresì previsto che, ove necessario, il titolare del trattamento (o il soggetto incaricato di effettuare la valutazione) raccolga le opinioni degli interessati o dei loro rappresentanti sul trattamento che si intende effettuare, documentando l’eventuale difformità di opinioni, nonché le motivazioni che hanno indotto ad agire diversamente da quanto emerso dalle consultazioni.
Come si effettua la valutazione d’impatto?
Una volta esaminata l’obbligatorietà o facoltatività della conduzione della valutazione, occorre procedere ad una ricognizione sistematica dei trattamenti che presentano un rischio elevato. Per ciascun trattamento (o categoria di trattamento) andranno quindi raccolte informazioni circa: a) la natura, la finalità e il contesto del trattamento; b) le categorie di dati (personali e sensibili) oggetto di trattamento, i soggetti interessati a cui si riferiscono e il periodo di conservazione dei dati; c) una descrizione funzionale delle operazioni di trattamento e, in particolare, dei flussi informativi (ipotesi di comunicazione, diffusione, cessione, trasferimento dei dati con l’indicazione specifica dei soggetti destinatari dei dati interni o esterni all’organizzazione del titolare del trattamento); d) le modalità (cartacee e automatizzate) e gli strumenti con cui viene effettuato il trattamento; e) i soggetti che potranno accedere ai dati unitamente alle finalità o alle motivazioni sottese all’accesso.
Successivamente, occorrerà valutare se il trattamento sia necessario e proporzionale in relazione alle finalità e alle misure di sicurezza adottate: per ciascun trattamento andranno quindi verificate le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.
Grazie alla documentazione e alle informazioni così raccolte, sarà possibile procedere all’identificazione dei rischi a cui sono esposti i dati, analizzandone il ciclo di vita e prendendo in considerazione il loro impiego, le finalità per cui sono utilizzati, le tecnologie impiegate e i soggetti autorizzati a trattarli.
Una volta identificati i rischi, occorrerà infine provvedere alla gestione dei medesimi. In questa fase sarà dunque necessario scegliere (ove vi sia margine di valutazione) se un determinato rischio vada eliminato, mitigato oppure accettato.
Dove conservo la valutazione d’impatto?
I risultati e le osservazioni emersi in sede di valutazione d’impatto devono confluire in un report finale, in cui le informazioni precedentemente raccolte e analizzate vengono presentate in maniera sistematica e funzionale unitamente alle misure e ai rimedi elaborati e da implementare per contrastare i rischi emersi. Il report dovrà altresì recare l’indicazione specifica dell’organizzazione o del progetto per cui la valutazione d’impatto è stata condotta, nonché i soggetti o il team che ha svolto la valutazione d’impatto unitamente ai dati di contatto di un referente.
Pillola: gli adempimenti successivi alla valutazione d’impatto
Sebbene non sia obbligatoria a norma del Regolamento, il Gruppo di lavoro Art. 29, nelle sue Guidelines on DPIA adottate il 4 aprile 2017 e revisionate il 4 ottobre 2017, raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni.
Ove sulla base della valutazione d’impatto il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. In caso contrario, cioè qualora la situazione di rischio non sia stata mitigata e il trattamento riveli pertanto un rischio ancora elevato per i diritti e le libertà fondamentali dei soggetti interessati, occorrerà rivolgersi all’Autorità Garante italiana per la protezione dei dati personali, al fine di avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.
Aggiungi commento