Uno strumento fondamentale di data governance
La società dell’informazione mostra una sempre maggiore attitudine alla digital disruption (digitalizzazione dirompente) a fronte della quale la privacy degli individui viene spesso messa a rischio. Con l’introduzione del nuovo Regolamento europeo in materia di protezione dei dati personali (“GDPR”) il legislatore europeo ha introdotto un quadro normativo incentrato su una serie di principi che segnano il passaggio da una concezione formale di mero adempimento ad un approccio sostanziale basato sulla tutela effettiva dei dati e degli interessati. Il GDPR mira ad anticipare la protezione e a responsabilizzare il titolare del trattamento per prevenire eventuali vulnerabilità. In questa ottica si inquadra il principio di accountability, in italiano “responsabilizzazione”, già sviluppato nel corso della trentaduesima conferenza mondiale in tema di privacy svoltasi a Gerusalemme nel 2010. L’accountability implica, da un lato, l’adozione di misure tecniche e modelli organizzativi atti a garantire la corretta gestione e conservazione dei dati in maniera conforme ai principi di protezione dei dati personali elencati all’articolo 5 del GDPR e, dall’altro, la capacità di dimostrare la conformità a tali principi delle operazioni di trattamento effettivamente svolte. Una delle principali misure di attuazione del principio di accountability è la valutazione d’impatto del trattamento (privacy impact assessment, “PIA”), che consiste in una procedura interna volta a stimare la necessità, la proporzionalità e l’incidenza che una determinata operazione di trattamento può avere sulla privacy, al fine di adottare preventivamente le soluzioni opportune per mitigare o, ove possibile, eliminare tale impatto sui dati degli interessati. La valutazione di impatto privacy, unitamente ad altri adempimenti formali come la tenuta dei registri dei trattamenti sostituisce l’obbligo generale di notificare all’Autorità di controllo il trattamento dei dati personali.
I riferimenti espliciti al PIA a livello europeo che precedono l’emanazione del GDPR sono molteplici, tuttavia la centralità del tema e la complessità organizzativa e d’investimento che la valutazione d’impatto esige hanno reso necessario un intervento chiarificatore delle autorità competenti.
Il 4 aprile 2017 il WP29 ha adottato le Linee guida in materia di valutazione d’impatto sulla protezione dei dati personali (Guidelines on Data Protection Impact Assessment) per meglio esplicitare due questioni fondamentali: quando è necessario effettuare il PIA e come deve essere svolto. In linea con l’approccio basato sul rischio su cui si fonda il GDPR non tutte le operazioni di trattamento devono essere sottoposte a PIA, l’articolo 35 del GDPR prevede, infatti, che il titolare del trattamento debba effettuare una valutazione d’impatto prima di procedere al trattamento stesso ogniqualvolta il trattamento possa presentare un “rischio elevato per i diritti e le libertà delle persone fisiche”. Il legislatore europeo ha scelto un approccio di ampio respiro che estende l’ambito di applicazione del PIA non solo alla protezione dei dati personali, ma anche ai più ampi “diritti fondamentali” degli interessati. Un trattamento di dati può quindi considerarsi “elevatamente rischioso” laddove sia suscettibile di cagionare un danno materiale, consistente nella violazione delle misure di sicurezza, ma anche in perdite finanziarie o altro danno economico, oppure immateriale, come il furto o usurpazione d’identità, un danno reputazionale, la perdita di riservatezza dei dati personali protetti da segreto professionale.
Per poter adeguatamente soppesare l’opportunità di condurre un PIA, deve tenersi conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, considerando in particolar modo se per effettuare il trattamento vengono adottate nuove tecnologie la cui diffusione potrebbe avere un impatto imprevedibile sia a livello personale che sociale e potrebbe incidere sulle modalità stesse di raccolta, trattamento e analisi dei dati.
Si pensi, ad esempio, al settore dell’Internet of Things, carro trainante dell’Industry 4.0, che si estende dalle tecnologie prettamente B2C come i gadget wearable che monitorano le nostre condizioni di salute alle applicazioni B2B, come i sensori che controllano le condizioni microclimatiche per massimizzare la capacità produttiva delle coltivazioni. Questo nuovo paradigma tecnologico così pervasivo ed onnipresente, progettato per rilevare e condividere dati senza soluzione di continuità, permette agli oggetti stessi di essere partecipi attivi dell’ecosistema economico- produttivo, interagendo sia con gli esseri umani, sia tra di loro in totale autonomia. In questo contesto i modelli basati su informativa e consenso sembrano cedere il passo a modelli che si fondano sempre più sulla progettazione e valutazione preventiva del trattamento, come il PIA.
Il GDPR individua alcune operazioni di trattamento che richiedono necessariamente lo svolgimento di un PIA (ma la lista non è esaustiva, lasciando spazio all’integrazione da parte dei Garanti europei). La valutazione è richiesta nello specifico per i trattamenti che comportano: l’elaborazione su larga scala di categorie particolari di dati (dati sensibili/ genetici/biometrici) o di dati personali relativi a condanne penali e reati; il monitoraggio sistematico di una zona accessibile al pubblico su larga scala; la valutazione sistematica e globale degli aspetti personali relativi a persone fisiche che si basa su un trattamento automatizzato, tra cui profilazione, e su cui si basano le decisioni che producono effetti giuridici riguardanti la persona fisica o che influenzano significativamente la persona fisica.
Quanto alle modalità di svolgimento la valutazione va condotta prima del trattamento per soppesare la particolare probabilità e gravità del rischio, ma trova applicazione durante tutto il ciclo vitale del prodotto/servizio, dovendo essere aggiornata in seguito ad eventuali modifiche o integrazioni, onde mantenere costante il livello di protezione dei dati. Il titolare del trattamento nello svolgimento del PIA deve consultarsi con il Data Protection Officer eventualmente designato, il quale deve inoltre costantemente monitorare il rendimento del PIA come previsto dalle Linee Guida sul DPO emanate dal WP29.
Il GDPR, ispirato al criterio di neutralità procedurale e tecnologica, individua solo alcuni requisiti fondamentali (articolo 35 (7), e considerando 84 e 90) prevedendo che siano obbligatoriamente inclusi: una descrizione delle operazioni di trattamento previste e degli scopi del trattamento; una valutazione della necessità e della proporzionalità del trattamento; una valutazione dei rischi per i diritti e le libertà delle persone; le misure previste per affrontare i rischi e dimostrare la conformità al GDPR. Nelle Linee Guida sul PIA il gruppo dei Garanti europei ha ulteriormente specificato delle buone prassi da adottare relative ad esempio alla raccolta delle opinioni degli interessati o dei loro rappresentanti sul trattamento previsto o all’adozione di policy interne e codici di condotta.
Il GDPR, lascia quindi ai titolari del trattamento un margine di flessibilità nel determinare la struttura del PIA, cosicché questo possa adattarsi ai processi aziendali e alle pratiche di lavoro esistenti. Per essere realmente efficace, il PIA deve infatti essere calato nella realtà dei processi aziendali, ad esempio, con l’individuazione di punti di contatto con procedure esistenti, dalle procedure di management, gestione del rischio e certificazione, sino ai processi “agile” di sviluppo software che potrebbero già coordinarsi con alcune fasi del PIA. Tutto questo dovrà avvenire nel modo più semplice ed immediato possibile, ad esempio impostando nel PIA domande che siano di immediata comprensione per tutti i livelli aziendali e prevedendo solo ove necessario più ampi livelli di approfondimento e coinvolgimento. Solo così il PIA potrà costituire non solo un sistema efficace per ridurre significativamente i rischi, e con essi anche eventuali riflessi economici negativi, ma anche, se adeguatamente comunicato, uno strumento di differenziazione da concorrenti meno attenti, stimolando la fiducia di clienti e interessati.