Data Protection Impact Assessment (III PARTE)

Gli obblighi di valutazione d’impatto sulla protezione dei dati personali per i trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche.

A conclusione di questa sintetica rassegna, dedicata all’approfondimento delle modalità di adempimento degli obblighi di valutazione di impatto, di cui all’art. 35 del GDPR, si ritiene opportuno, anche in relazione all’importanza che ha ENISA (European Union Agency for Cybersecurity) nel contesto Europeo in materia di Cyber Security, approfondire, alla luce dei nove criteri di valutazione della necessità di svolgimento di operazioni di valutazione d’impatto, realizzati dal WP 29, di cui si dirà appresso, la metodologia di svolgimento di operazioni di analisi del rischio contenuta sia nel documento “Guidelines for SMEs on the security of personal data processing” del 2016, sia nel documento “Handbook on security of personal data processing” del 2017. Come ricordato nei numeri precedenti, il Gruppo Europeo dei Garanti per la protezione dei dati personali (WP29, ora EDPB), ha indicato nove criteri il soddisfacimento di due quali è condizione necessaria e sufficiente per ritenere obbligatorio lo svolgimento delle operazioni di valutazione d’impatto, poiché indicatori di un rischio elevato per i diritti e le libertà delle persone fisiche.

Quando è obbligatoria

Segnatamente, una DPIA dovrà obbligatoriamente essere svolta in presenza di almeno due dei seguenti casi:

(1). – valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato;

(2). – processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone fisiche;

(3). – monitoraggio sistematico;

(4). – trattamento di categorie particolari di dati o di dati di natura estremamente personale;

(5). – i dati sono elaborati su larga scala;

(6). – sono effettuate operazioni di combinazione o corrispondenza su insiemi di dati;

(7). – il trattamento riguarda dati relativi ad interessati vulnerabili;

(8). – vi è un uso innovativo o l’applicazione di nuove soluzioni tecnologiche od organizzative;

(9). – il trattamento in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.

Impatto elevato anche se coinvolta una sola persona

Chiarito ciò che precede, vale la pena ricordare, per definire l’ambito metodologico all’interno del quale collocare le operazioni di valutazione di impatto che, nelle ricordate linee guida ENISA del dicembre 2016, in particolare, nella parte 2.3. intitolata ‘Security for the processing of personal data’ nella parte 2.3.2, dedicata al ‘Security risk management for the processing of personal data’ si specifica, sostanzialmente che, nel caso del trattamento dei dati personali, al fine dell’analisi e della gestione dei rischi, gli impatti devono essere considerati in relazione alle libertà e ai diritti delle persone fisiche.

Si tratta di una circostanza particolarmente significativa, in quanto, a differenza di quanto avviene nella valutazione del rischio ‘generico’ di sicurezza delle informazioni, ove l’analisi degli impatti potenziali viene valutata dal lato dell’organizzazione, nel caso di trattamento di dati personali l’analisi degli impatti deve vertere sui possibili effetti negativi che anche un singolo individuo può subire, tra cui, per esempio, il furto d’identità o la frode, la perdita finanziaria, il danno fisico o psicologico, l’umiliazione, il danno alla reputazione o persino la minaccia alla vita, nonché anche possibili effetti negativi secondari sui diritti e sulle libertà degli individui. In tale ambito, di conseguenza, la scala (per esempio, il numero di individui colpiti) può non essere rilevante: l’impatto è elevato anche se può portare gravi effetti negativi solo a una singola persona.

I quattro livelli di ENISA

Da quanto appena specificato discende, inoltre, che dovranno considerarsi con molta attenzione le opzioni di gestione del rischio, accettazione, rifiuto, trasferimento, allorché, pur in presenza di una probabilità bassa di verificazione di un evento a elevato impatto fisico, per esempio la morte di un individuo, sarà probabilmente consigliabile, se possibile, evitare il rischio considerando di nuovo l’intera operazione di trattamento o utilizzando specifiche tecnologie di miglioramento della privacy (per esempio, tecniche di anonimizzazione o adeguate misure organizzative).

ENISA individua quattro livelli di impatto sui diritti e sulle libertà fondamentali degli individui, derivanti da possibili violazioni di dati, al livello basso, gli interessati incontrano inconvenienti scarsamente significativi superabili senza particolari difficoltà (per es.: tempo speso per reinserire le informazioni, fastidi, irritazioni, ecc.). Al livello medio gli interessati incontrano disagi significativi, che saranno in grado di superare nonostante alcune difficoltà (costi aggiuntivi, rifiuto di accedere ai servizi aziendali, paura, mancanza di comprensione, stress, piccoli disturbi fisici, ecc.). Al livello alto gli interessati incontrano conseguenze significative, superabili con gravi difficoltà (appropriazione indebita di fondi, inserimento nella lista nera delle istituzioni finanziarie, danni materiali, perdita del lavoro, citazione in giudizio, peggioramento delle condizioni di salute, ecc.). A un livello molto alto gli interessati incontrano a conseguenze significative, o irreversibili, che non possono superare (incapacità di lavorare, disturbi psicologici o fisici a lungo termine, morte, ecc.).

A integrazione delle valutazioni qualitative riferite all’individuazione del livello di impatto indicate da ENISA, sembra appropriato considerare anche quanto specificato dal Garante per la protezione dei dati personali francese (CNIL – Commission Nationale de l’Informatique et des Libertés, autrice di un apposito software liberamente disponibile dal sito dell’Autorità), nel documento Privacy Impact Assessment (PIA) Knowledge Bases che, ulteriormente, classifica gli impatti in materiali, fisici e psicologici, rispettivamente, perdita di amenità, deturpazione o perdita economica legata all’integrità fisica; perdita subita o mancato guadagno in relazione al patrimonio di un individuo, sofferenza fisica o emotiva.

In questo ambito vale la pena di considerare, infine, quanto chiarito da ENISA nelle citate Linee Guida, ove si precisa che le previsioni del GDPR estendono la loro portata applicativa oltre la semplice adozione di specifiche misure di sicurezza, implicando la creazione di un vero e proprio sistema di gestione delle informazioni completo per la protezione della riservatezza, dell’integrità, della disponibilità e della resilienza dei dati personali.


Giuseppe Serafini

Avvocato del Foro di Perugia. BSI - ISO/IEC 27001:2013 Lead Auditor; Master Privacy Officer; perfezionato in Digital Forenscis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, L. Migliorini e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giu...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 191

Officelayout

Progettare arredare gestire lo spazio ufficio
Ottobre-Dicembre
N. 191

Abbonati
Innovazione.PA n. 47

innovazione.PA

La Pubblica Amministrazione digitale
Settembre-Ottobre
N. 47

Abbonati
Executive.IT settembre-ottobre 2022

Executive.IT

Da Gartner strategie per il management d'impresa
Settembre-Ottobre
N. 6

Abbonati