L'importanza dell'analisi di impatto (PIA o AIPD o DPIA)

Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER

È possibile che la "valutazione d'impatto sulla protezione dei dati" (DPIA) diventi il simbolo del GDPR (in inglese si parla di DPIA, Data Protection Impact Assessment, o, in breve, PIA, Privacy Impact Assessment). In ogni caso, è lo strumento scelto per responsabilizzare le aziende e impedire loro di agire a danno dei cittadini consumatori. Richiedendo un lavoro preventivo prima di qualsiasi trattamento dei dati e, ove opportuno, la consultazione dell'autorità di controllo, offre una seria garanzia del rispetto della privacy. 

Una valutazione d'impatto è obbligatoria prima del trattamento "quando un tipo di trattamento, in particolare mediante l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche" (art. 35-1). Si specifica che un'analisi può riguardare più trattamenti simili che presentano lo stesso tipo di rischio elevato. Da queste disposizioni si evince che, in assenza di un "rischio elevato" e/o se un'analisi è già stata effettuata per operazioni simili, l'analisi non è obbligatoria (analogamente, quando il trattamento è connesso a una missione di interesse pubblico, eccezione già menzionata).

Il concetto di "rischio elevato" non è definito espressamente, ma la CNIL specifica quello di "rischio per la privacy". Si tratta di "uno scenario che descrive: un evento temuto (accesso non autorizzato, modifica o scomparsa indesiderata di dati, e i suoi potenziali impatti sui diritti e le libertà delle persone); tutte le minacce che ne consentirebbero il verificarsi. Viene stimato in termini di gravità e probabilità. La gravità deve essere valutata per le persone interessate, non per l'organizzazione". Questo è sufficientemente vago e ampio da far ritenere che il rischio per la privacy, quindi elevato, corrisponda a numerose operazioni di trattamento.

L'articolo 35-4 prevede che l'autorità di controllo pubblichi un elenco delle operazioni per le quali è richiesta un'analisi. Nel frattempo, il G29 ha combinato vari punti del GDPR per giungere a un elenco di 9 criteri (linee guida del 4 aprile 2017, modificate il 4 ottobre 2017), che potrebbero suggerire che un trattamento possa generare un rischio elevato:

– “valutazione o classificazione, comprese attività di profilazione o previsione, relative in particolare ad “aspetti riguardanti il rendimento lavorativo, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, o l’ubicazione e gli spostamenti dell’interessato” (considerando 71 e 91)”;

– “processo decisionale automatizzato che produce effetti giuridici o effetti significativamente significativi”;

– “monitoraggio sistematico”;

– “dati sensibili o di natura strettamente personale”. Possono includere informazioni relative a opinioni politiche, condanne penali, cartelle cliniche, ma anche, afferma il G29, e-mail, diari, appunti. Se dati di questo tipo sono stati resi pubblici dall'interessato, ciò verrà preso in considerazione;

– “dati trattati su larga scala”. Il concetto di larga scala non è specificato, ma il WG29 raccomanda di tenere conto del numero di persone interessate, del volume dei dati, della durata e dell’ambito geografico del trattamento;

– “incrociando o combinando set di dati”;

– “dati riguardanti persone vulnerabili (considerando 75)”, vale a dire bambini, dipendenti, persone affette da malattie mentali, richiedenti asilo, anziani, pazienti, ecc.;

– “uso o applicazione innovativi di nuove soluzioni tecnologiche o organizzative”. Il G29 cita in particolare l’uso combinato del riconoscimento delle impronte digitali e del riconoscimento facciale, ovvero l’Internet delle cose;

– trattamento che “impedisce agli interessati di esercitare un diritto o di beneficiare di un servizio o di un contratto”. Il G29 cita l’esempio di una banca che, prima di prendere decisioni in materia di prestiti, sottoporrebbe i propri clienti a un database di rating creditizio.

Il G29 ritiene che il trattamento corrispondente a due di questi nove criteri richieda una DPIA (anche se un singolo criterio può essere sufficiente). La CNIL fornisce un esempio: "un'azienda istituisce un monitoraggio dell'attività dei propri dipendenti, tale trattamento soddisfa il criterio del monitoraggio sistematico e quello dei dati relativi a persone vulnerabili, pertanto sarà necessaria l'attuazione di una DPIA".

L'analisi deve contenere almeno: una descrizione delle operazioni previste e delle finalità del trattamento, un'indicazione della proporzionalità delle prime rispetto alle seconde, una valutazione dei rischi per i diritti e le libertà delle persone interessate, le misure previste per far fronte ai rischi. La CNIL basa l'analisi d'impatto su due pilastri: una valutazione più giuridica relativa ai principi "non negoziabili" e uno studio più tecnico sulle misure previste per proteggere i dati. Suggerisce nelle sue guide DPIA (attualmente in fase di revisione) di applicare il piano GDPR (indicato all'inizio di questo paragrafo); quando saranno aggiornate, saranno senza dubbio strumenti utili per tutti coloro che devono redigere tale documento.

Ci si chiede se sia necessaria una valutazione d'impatto per i trattamenti già effettuati a partire dal 25 maggio 2018. Il GDPR non risponde a questa domanda, ma la CNIL sì. "Una valutazione d'impatto non sarà richiesta per: i trattamenti che sono stati oggetto di una previa formalità presso la CNIL prima del 25 maggio 2018; i trattamenti che sono stati iscritti nel registro di un corrispondente "protezione dei dati e libertà". Dopo 3 anni, tuttavia, i trattamenti regolarmente effettuati dovranno essere sottoposti a valutazione d'impatto, sempre in caso di "rischio elevato" per gli interessati.  

In calce a queste linee guida, la CNIL aggiunge la seguente frase: "L'attuazione di una DPIA costituisce, in ogni caso, una buona pratica che facilita il processo di conformità alle condizioni sostanziali previste dal GDPR". Poiché la CNIL è l'autorità di controllo in Francia, questo consiglio non dovrebbe essere trascurato in termini di buone pratiche. Soprattutto perché il G29 afferma: "In caso di dubbio sulla necessità di effettuare una DPIA, nella misura in cui le DPIA rappresentano uno strumento importante per i titolari del trattamento per conformarsi alla legislazione sulla protezione dei dati, il G29 raccomanda di effettuarne una in ogni caso". Il gruppo di lavoro europeo aggiunge infine che la DPIA è obbligatoria quando "i rischi associati si sono evoluti".

Allo stesso modo, non sono inutili le indicazioni sui professionisti che devono partecipare alla realizzazione dell'analisi d'impatto: il titolare del trattamento (che ne è responsabile), il subappaltatore se esiste, il responsabile della protezione dei dati (vedremo chi è), i titolari e i responsabili dei progetti, il responsabile della sicurezza dei sistemi informativi, nonché, eventualmente, le persone interessate, che possono essere consultate per un parere tramite un questionario.

È l'articolo 35-7 del GDPR a definire il contenuto minimo di un'analisi d'impatto:

– una descrizione sistematica delle operazioni previste e delle finalità del trattamento;

– una valutazione della necessità e della proporzionalità del trattamento rispetto alle finalità;

– una valutazione dei rischi per i diritti e le libertà delle persone interessate;

– le misure previste per affrontare i rischi e fornire la prova del rispetto delle normative.

Il G29 fornisce esempi metodologici in appendice alla sua analisi dell'AIPD. La CNIL ha appena pubblicato delle guide con un metodo e un catalogo di buone pratiche, nonché un software open source per la valutazione delle prestazioni (PIA). Non ci sono quindi più scuse per non conformarsi ai nuovi obblighi.

Una volta completata la valutazione d'impatto, il trattamento può iniziare oppure il titolare del trattamento deve consultare l'autorità di controllo "prima del trattamento, qualora una valutazione d'impatto sulla protezione dei dati effettuata ai sensi dell'articolo 35 indichi che il trattamento presenterebbe un rischio elevato se il titolare del trattamento non adottasse misure per attenuare il rischio" (art. 36-1). Il paragrafo 2 dello stesso articolo stabilisce che, in caso di tale consultazione preventiva, l'autorità di controllo ha 8 settimane (+6 in casi di complessità) per esprimere il proprio parere.

La valutazione d'impatto può essere pubblicata, allo scopo di rafforzare la fiducia nell'azienda, ma non è un obbligo.

La mancata esecuzione di una valutazione d'impatto o una valutazione condotta in modo errato può comportare una multa fino a 10 milioni di euro o, per un'azienda, fino a 2,1 miliardi di euro del suo fatturato mondiale, a seconda di quale sia l'importo più elevato.