15 Set VALUTAZIONI D’IMPATTO SULLA PROTEZIONE DEI DATI (DPIA), ATTENZIONE AI MALINTESI INTERPRETATIVI

Posted at 14:58h in Articoli, Asides, homepage news by

– Luca Bolognini – Presidente dell’Istituto Italiano per la Privacy – l.bolognini@istitutoprivacy.it

Ho coordinato il gruppo di lavoro di esperti dell’Istituto Italiano per la Privacy e la Valorizzazione dei Dati che ha analizzato, nel corso degli ultimi due mesi, i documenti internazionali più recenti e rilevanti in materia di “Valutazione d’Impatto sulla Protezione dei Dati” (“DPIA – Data Protection Impact Assessment” o “PIA – Privacy Impact Assessment”), cioè le nuove ISO/IEC 29134:2017 e, soprattutto, le Linee Guida DPIA proposte dal Gruppo Articolo 29 dei Garanti privacy europei (reperibili qui: http://ec.europa.eu/newsroom/document.cfm?doc_id=44137).

In particolare dalle bozze di Linee Guida DPIA, e dai primi commenti più o meno ossequiosi e compilativi che su di esse sono stati elaborati da tecnici e giuristi, emerge un’evidenza a dire il vero abbastanza sconcertante per l’interprete legale esperto di protezione dei dati personali: forse per eccesso di affidamento ad un approccio meramente ingegneristico informatico – subito dopo avere menzionato, con piglio burocratese, l’inevitabile valutazione preliminare di conformità normativa (e dunque di rispondenza ai principi generali di necessità e proporzionalità del trattamento in relazione alle finalità) – in tali guidelines si focalizza l’attenzione quasi solo sull’analisi dei rischi incombenti sui dati, anziché sull’analisi dei rischi per i diritti e le libertà delle persone fisiche. E dire che la ratio dell’articolo 35 del Regolamento Generale n. 2016/679/UE (GDPR) è chiarissima (riporto il testo di alcuni paragrafi dell’art. 35 in calce): tale articolo guarda agli impatti giuridico-umanistici sulle persone fisiche e non prevede certamente solo una valutazione dei rischi di “violazione dei dati” che un trattamento può eventualmente presentare.

L’equivoco deriva, probabilmente, dall’ennesimo malinteso sul significato profondo della “protezione dei dati personali”, che non equivale a “sicurezza dei dati personali”: “proteggere i dati personali” vuol dire proteggere un elemento essenziale dell’essere umano, cioè va inteso – e così è palesemente inteso dal legislatore europeo sin dai Trattati – come diritto fondamentale strumentale alla tutela di altri diritti e libertà fondamentali. Sconforta il pensiero che molte decine di “addetti ai lavori” provenienti da diversi Paesi abbiano completamente mancato di cogliere questa sfumatura che sfumatura poi non è. Si tratta di un malinteso macroscopico e lapalissiano.

È indispensabile che una Valutazione d’Impatto ex art. 35 GDPR, dopo avere smarcato la due diligence di conformità normativa dello specifico trattamento, comprenda due fasi di analisi:

1. Una prima fase, nella quale si cercheranno i possibili rischi “patologici” incombenti sui dati personali oggetto di trattamento, cioè in sostanza i gradi di severità e di probabilità che si verifichino “violazioni dei dati” come definite all’art. 4 GDPR (“la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”);

2. Una seconda fase, in cui valutare i rischi per i diritti e le libertà delle persone fisiche comportati:
2.a) dal trattamento in sé, implicitamente anche in assenza di violazioni dei dati (situazione fisiologica);
2.b) dalla violazione dei dati (situazione patologica).

Solo a valle di questa duplice valutazione operata nella seconda fase, e comprendente non solo la casistica patologica di data breach ma anche e soprattutto, per la ratio dell’art. 35, la carica intrinseca di potenziale impatto negativo sui diritti e le libertà delle persone di quel trattamento in sé, sarà possibile andare a individuare misure di mitigazione più o meno mirate ed efficaci.

PER MAGGIORE CHIAREZZA, UNA METAFORA 

Per tradurre la questione in una metafora semplice semplice, pensiamo a una bottiglia di vino invece che a un trattamento di dati personali. Il trattamento di dati è la bottiglia di vino. Per continuare con la metafora, ipotizziamo che i rischi per i diritti e le libertà delle persone fisiche siano invece i rischi per la salute di chi beve il vino.

In via preliminare, valuterò la conformità normativa della confezione del vino e del vino stesso, che non contenga sostanze vietate e sia commerciabile legalmente (= il trattamento di dati personali è conforme al GDPR).

Nella prima fase di vera analisi del rischio, valuterò quindi probabilità e severità di possibili problemi patologici: rischio che la bottiglia sia troppo fragile e si rompa tra le mani del bevitore; rischio che il vino all’interno venga contaminato o vada a male per cattiva conservazione, ecc. (= analisi dei rischi di violazione dei dati).

Nella seconda fase di analisi, prenderò il vino (lecito e commerciabile, ma pur sempre bevanda alcoolica = trattamento che in sé può comportare rischi elevati per i diritti e le libertà delle persone fisiche, diversamente non avrei nemmeno dovuto svolgere la DPIA) e: 2.a) ne valuterò i potenziali effetti collaterali negativi sulla salute di chi lo beve (=sui suoi diritti e le sue libertà), impliciti e derivanti dalla natura stessa del vino, che è ben conservato e in assenza di violazioni o incidenti (= trattamento senza data breach ma comunque potenzialmente dannoso). Scoprirò che, per esempio, più di tre bicchieri al giorno potrebbero fare male o che non bisogna bere a stomaco vuoto; 2.b) ne valuterò quindi i potenziali effetti negativi sulla salute di chi lo beve nel caso in cui qualcosa vada storto accidentalmente o per attacco intenzionale (il vino va a male perché conservato erroneamente, si rompe la bottiglia di vetro, qualcuno lo contamina, ecc.). Ecco che, solo mettendo insieme i risultati di fase 2.a) (rischi fisiologici e intrinseci del trattamento in assenza di violazioni) e 2.b) (rischi patologici del trattamento), potrò, a valle, individuare le misure di mitigazione, che naturalmente non saranno solo volte a prevenire e minimizzare lo scenario patologico di violazioni ma anche, anzi a maggior ragione per la ratio dell’art. 35 GDPR, i potenziali effetti collaterali fisiologici del vino distribuito e bevuto (= il trattamento di dati in sé).

 

Articolo 35
Valutazione d’impatto sulla protezione dei dati
1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
[…]
7. La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
[…]
11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

Tags:
, , ,