La chiave interpretativa delle Linee Guida sulla DPIA nel GDPR 2016/679 Guidelines on Data Protection Impact Assessment DPIA and determining whether processing is likely to result in a high risk for the purposes of Regulation 2016/679 del 4 ottobre 2017 consiste nel contrasto alla violazione dei diritti e delle libertà dell’interessato. In secondo piano, sebbene necessaria, viene la garanzia della sicurezza del dato. I parametri della DPIA affiancano all’automatismo dei protocolli tecnici di sicurezza la flessibilità/versatilità della mente umana.
La Newsletter Garante Privacy n. 433/2017 annuncia che il Gruppo di lavoro dei Garanti UE o WP29 ha steso la versione definitiva delle Linee Guida sulla Data Protection Impact Assessment DPIA riguardo il GDPR 2016/679 ovvero i criteri e le modalità per valutare l'incidenza dei rischi cui è sottoposta la propria struttura e per prevedere le misure di contrasto necessarie misure di sicurezza e misure idonee . Questo documento si aggiunge a quelli precedenti sempre in tema di linee guida sull'applicazione del GDPR 2016/679 ovvero Linee Guida sul Data Protection Officer DPO Linee Guida sulla Portabilità dei dati Linee Guida sull'Autorità capofila, sportello unico per i trattamenti transnazionali. In merito invece alle Linee Guida sulla Data Breach Notification e Profiling Linee Guida sull'obbligo di comunicazione dei data breach e sulla profilazione si segnala che non vi è ancora una versione definitiva in quanto il testo è da sottoporre al vaglio della consultazione pubblica. DPIA. L'art. 35 GDPR 2016/679 stabilisce che 1. Quando un tipo di trattamento [ ] può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali . In estrema sintesi, la norma stabilisce che tale valutazione o DPIA si richiede in presenza di trattamento automatizzato o di profilazione, di trattamento su larga scala di dati personali particolari es. dati penali , di sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Se necessario - prima di adottare la DPIA - il titolare sente le opinioni degli interessati e del DPO nonché il parere dell'autorità di controllo ove previsto. Almeno ogni 3 anni è obbligatoria la revisione del piano di valutazione eseguito. La lettera dell'art. 35 GDPR fornisce volutamente solo dei criteri di riferimento perché sia la costruzione della nuova disciplina UE sulla Data Protection sia le Linee Guida sulla DPIA oggetto di valutazione in questa sede costringono il titolare a un'analisi profonda e costante della propria struttura sulla scorta del principio dell' accountability che non ammette in automatico esoneri di responsabilità una volta adottato il codice di condotta o il protocollo ad hoc . Il legislatore europeo stabilisce anche l'adozione di standard di sicurezza riconosciuti misure di sicurezza che però devono trovare la relativa collocazione in un quadro di sistema più ampio. Questa visione più ampia costituisce la particolarità della DPIA del GDPR in cui l'obiettivo finale è il contrasto alla violazione dei diritti e delle libertà dell'interessato e non soltanto l'alterazione del dato. Linee guida. Le Linee Guida del Gruppo di lavoro dei Garanti Privacy europei WP29 sull'applicazione del Regolamento UE Data Protection GDPR 2016/679 costituiscono il manuale di istruzioni di tutti gli Stati membri per un'esecuzione uniforme della nuova disciplina privacy europea. Il WP29 ha già assunto la funzione attribuitagli dall'art. 68 del GDPR 2016/679 secondo cui il gruppo dei Garanti UE si trasformerà nel Comitato Consultivo europeo destinato a fornire le coordinate per l'omogenea applicazione della nuova privacy europea. Ricapitolando, ad oggi sono stati elaborati i seguenti documenti - Linee Guida sulla Portabilità dei dati adottate il 13.12.2016 e approvate il 4.04.2017 - Linee Guida sul Data Protection Officer DPO adottate il13.12.2016 e approvate il 4.04.2017 - Linee Guida sull' Autorità Capofila adottate il 13.12.2016 e approvate il 4.04.2017 - Linee Guida sulla Data Protection Impact Assessment DPIA adottate il 4.04.2017 e approvate il 4.10.2017. Tale ultimo documento rispecchia fedelmente la novità sostanziale e sistemica del GDPR ovvero il criterio dell' accountability secondo cui qualsiasi operazione dev'essere prevista in un'ottica Risk-based . La figura preponderante del sistema privacy disegnato dal Regolamento Ue è costituita dal rischio. La preoccupazione del rischio di sinistro ai danni dei diritti dell’Interessato Considerando 75-77 GDPR 2016/679 deve guidare i processi di Data Protection Governance adottati dal Titolare. La chiave di lettura delle Linee Guida DPIA. I Considerando 90 e 91 del GDPR letti in combinazione con il Considerando 75 contengono la chiave di lettura della DPIA. La valutazione d'impatto del rischio oltre ad avere riguardo al rischio-sicurezza del dato deve avere soprattutto riguardo al rischio-violazione dei diritti . Il titolare deve mappare i trattamenti della propria struttura e poi - ove esistano delle raccolte che possano in qualche modo essere foriere di effetti discriminatori sull'interessato - provvedere ad adottare delle misure di riduzione di tale rischio fino a imporre per esempio - delle penali pecuniarie ai terzi che si scoprano avere adottato delle prassi commerciali discriminatorie derivate dall'uso distorto degli archivi rubati al titolare. Il Considerando 91 stabilisce infatti che la DPIA deve considerare in particolare 91 [ ] trattamenti che presentano un rischio elevato per i diritti e le liberta degli interessati, specialmente qualora tali trattamenti rendano piu difficoltoso, per gli interessati, l'esercizio dei propri diritti. E opportuno altresi effettuare una valutazione d'impatto sulla protezione dei dati nei casi in cui i dati personali sono trattati per adottare decisioni riguardanti determinate persone fisiche in seguito a una valutazione sistematica e globale di aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati, o in seguito al trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza. Una valutazione d'impatto sulla protezione dei dati e altresi richiesta per la sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante dispositivi optoelettronici, o per altri trattamenti che l'autorita di controllo competente ritiene possano presentare un rischio elevato per i diritti e le liberta degli interessati, specialmente perche impediscono a questi ultimi di esercitare un diritto o di avvalersi di un servizio o di un contratto, oppure perche sono effettuati sistematicamente su larga scala . Questo rischio elevato per i diritti e le libertà dell'interessato viene spiegato nel Considerando 75 I rischi per i diritti e le liberta delle persone fisiche, aventi probabilita e gravita diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare se il trattamento puo comportare discriminazioni, furto o usurpazione d'identita , perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo se gli interessati rischiano di essere privati dei loro diritti e delle loro liberta o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonche dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza in caso di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilita o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori se il trattamento riguarda una notevole quantita di dati personali e un vasto numero di interessati . Applicazione pratica della DPIA. Il titolare che evince l'esistenza di un trattamento ad elevato rischio per i diritti e le libertà dell'interessato deve adottare la DPIA secondo due direttrici applicazione degli standard europei di sicurezza es. ISO/IEC 29134, si veda PIA e le proposte di ISO/IEC 29134 e ICO , 17 gennaio 2017 di Cesare Gallotti e Fabrizio Bottacin e applicazione dei criteri dell'Allegato 2 delle Linee Guida DPIA 4.10.2017. Gli standard europei di sicurezza costituiscono la parte già sperimentata rappresentata dalle misure di sicurezza mentre i criteri suggeriti nell'Allegato 2 delle Linee Guida costituiscono la novità. Si tratta di misure di contrasto alla violazione dei diritti dell'interessato che implicano una visione in prospettiva dei possibili effetti del trattamento in termini di eventuale discriminazione, mancato accesso a determinati servizi, usurpazione d'identita , perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione o qualsiasi altro danno economico o sociale significativo Considerando 75, GDPR . Una volta individuate le possibili minacce, occorre stimarne la probabilità e la gravità punto 90 al fine di determinare le misure previste per il trattamento di tali rischi articolo 35 7 d , e il considerando 90 . Il titolare verrà aiutato a individuare le misure adeguate dai consigli del DPO art. 35 2 e ove possibile anche dalle opinioni degli interessati o dei relativi rappresentati es. mediante studi e ricerche statistiche . Si potrebbe ipotizzare il caso di fantasia secondo cui il data-base elettronico di un istituto privato di analisi mediche venga penetrato da un accesso illegittimo di un dipendente e si concretizzi una fuga di dati sanitari utilizzati da una casa farmaceutica per la promozione ad personam di determinati medicinali. Cosa dovrebbe fare il titolare per evitare questa violazione al diritto privacy degli utenti dell'ambulatorio? Secondo le Linee Guida DPIA del WP29 occorrerebbe da una parte adottare standard di sicurezza come ISO/IEC 29134 e dall'altra inserire nel contratto di lavoro dei dipendenti - tramite apposita lettera di incarico - una privacy policy in cui si stabilisce per simili atti la sospensione e il ritiro dello stipendio per tre mesi. Riepilogo degli adempimenti della DPIA. Questo breve commento non consente la descrizione e l’analisi di tutti i passaggi enunciati nelle Linee Guida sulla DPIA, tuttavia consente di acquisire la ratio con cui affrontare la valutazione d’impatto e declinarla nei casi pratici. La chiave interpretativa della DPIA - come abbiamo già esposto sopra - consiste nel contrasto alla violazione dei diritti e delle libertà dell’interessato. Questo obiettivo implica anche la valutazione di parametri differenti da quelli degli standard di sicurezza riconosciuti es. ISO 31000 o ISO/IEC 29134 . Si tratta dei parametri indicati nell’Allegato 2 delle Linee Guida DPIA 4.10.2017 che conducono il titolare ad elaborare ed applicare misure specifiche per ciascun caso concreto. Misure impossibili da protocollare come è impossibile catalogare la varietà indefinita delle minacce all’autodeterminazione della persona nella Società dell’Informazione automatizzata e determinata a priori dalle logiche predittive degli algoritmi intelligenti . In questo scenario, il WP29 affianca all’automatismo dei protocolli tecnici di sicurezza la flessibilità/versatilità della mente umana. Una volta compiute le valutazioni indicate dall’Allegato 1 e dall’Allegato 2, il titolare deve documentare le decisioni assunte e provvedere periodicamente a riesaminare la DPIA. Il titolare deve acquisire la consapevolezza dell’estrema dinamicità delle strutture informative aziendali che sono sempre in trasformazione e di conseguenza fare del monitoraggio costante e dell’ audit una prassi di ogni giorno. Le Conclusioni delle Linee Guida sintetizzano i passaggi nodali della DPIA e costituiscono un ottimo strumento di ricapitolazione che viene riportato di seguito. IV. Conclusioni e Raccomandazioni Qualora sia previsto un probabile trattamento ad alto rischio, il titolare del trattamento deve - scegliere una metodologia DPIA esempi riportati nell'allegato 1 che soddisfi i criteri di cui all'allegato 2, oppure specificare ed implementare un processo DPIA sistematico che è conforme ai criteri di cui all'allegato 2 è integrato nei processi di progettazione, sviluppo, cambiamento, rischio e operazione esistenti in conformità con i processi interni, il contesto e la cultura coinvolge le parti interessate appropriate e definisce chiaramente le proprie responsabilità titolare, DPO, interessati o loro rappresentanti, imprese, servizi tecnici, responsabili, responsabili delle informazioni, ecc. - fornire la relazione DPIA all'autorità di vigilanza competente quando necessario - consultare l'autorità di vigilanza quando non ha determinato misure sufficienti per attenuare i rischi elevati - riesaminare periodicamente la DPIA e i trattamenti da essa valutati, almeno quando vi è una modifica del rischio causato dalle operazioni del trattamento - documentare le decisioni prese .