Attraverso la Newsletter n. 434 del 30 ottobre 2017 il Garante ha comunicate che sono state pubblicate le Linee guida ad uso delle Pubbliche Amministrazioni e le imprese nella valutazione di impatto sulla protezione dei dati DPIA – Data Protection Impact Assessment.
Prima di passare ad illustrare le Linee guida (compito che sarà affrontato in un successivo articolo) forniamo alcuni chiarimenti riguardanti l’istituto in oggetto.
La valutazione di impatto dei rischi, connessi al trattamento di determinate categorie di dati, è stato oggetto di disciplina comunitaria sia attraverso l’art. 35 del Regolamento 679/2016 UE sia con i considerando ad esso riferiti, precisamente il C.84, C.89, C.93 e C.95, la cui lettura permette di comprendere meglio le intenzioni del legislatore.
L'articolo continua dopo la pubblicità
Per aiutarti nell'adempimenti pronto il Software Privacy in divere configurazioni. Trattamenti illimitati a partire da 129 euro + iva
Puo interessarti il Pacchetto contenente tre e-book: Tutela della Privacy disponibili anche in vendita singola:
Segui anche il Dossier gratuito dedicato alla Privacy
| C.84 |
Si richiamano i titolari del trattamento a compiere una valutazione dell’impatto sulla protezione dei dati al fine di determinare “l’origine, la natura, la particolarità e la gravità di tale rischio”. |
| C.89 |
Partendo dalla constatazione che, la direttiva 95/46 CE obbligava i titolari del trattamento a notificare ai Garanti nazionali il trattamento dei dati e che suddetto adempimento, a fronte di una serie di oneri amministrativi e finanziari, non ha portato ad effettivi benefici in materia di tutela del trattamento dei dati personali, al punto che tali obblighi vanno aboliti “e sostituiti con meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità”. |
| C.93 |
Nel caso in cui i singoli Stati membri non abbiano ancora adottato leggi che disciplinino l’attività delle autorità pubbliche di controllo, essi possono “ritenere necessario effettuare tale valutazione prima di procedere alle attività di trattamento”. |
| C.95 |
Su richiesta del titolare che effettua una valutazione di impatto il responsabile lo “dovrebbe assistere”, fornendogli tutte le informazioni in suo possesso oltre al suo know-out al fine di facilitarlo nella esecuzione di tale adempimento. |
Il Regolamento, all’art. 35, obbliga il Titolare del trattamento ad effettuare una valutazione di impatto sui rischi che possono incidere sulla protezione dei dati, tenuto conto della natura, dell’oggetto, o delle finalità del trattamento (cd. Data Protection Impact Assessment, D.P.I.A.). Il Titolare deve chiedere al Data Protection Officer un parere in merito al Piano. La valutazione d'impatto sulla protezione dei dati è richiesta in particolare nel caso di:
I compiti che ricadono sul Titolare e sul responsabile del trattamento sono agevolati dal fatto che l’Autorità di controllo si onera di redigere e pubblicizzare l’elenco dei trattamenti da sottoporre preventivamente ad una valutazione di impatto.
Così come, sempre l’Autorità di controllo potrà provvedere a redigere un elenco dei trattamenti esonerati da tale valutazione; l’Autorità di controllo prima di adottare gli elenchi dei trattamenti che presuppongono una valutazione di impatto e di quelli che ne sono esonerati, ricorre al meccanismo di coerenza.
Al fine di garantire una applicazione uniforme del Regolamento il Legislatore ha previsto che la valutazione dovrà contenere almeno:
Mentre il d.lgs. n. 196/2003 faceva esplicita menzione delle misure minime di sicurezza che il Titolare doveva applicare prima di dare l’avvio al trattamento dei dati e indicava, altresì le misure idonee intese quali misure aggiuntive rispetto alle misure minime, tali indicazioni mancano nel Regolamento, ciò però non esime il Titolare – dopo avere effettuato una autovalutazione dei rischi – dall’adottare le misure di sicurezza richieste per la messa in sicurezza dei dati personali oggetto di trattamento.
Pertanto, le misure minime rappresentano, ai sensi del Codice in materia di protezione dei dati personali, una sorta di ceck list che permette ai Titolari di essere conformi alla normativa di settore, l’aspetto negativo di tale approccio è che la compliance non coincide (o non coincide sempre) con la reale sicurezza.
Il Regolamento affronta, invece, la problematica da un’altra angolazione: la sicurezza garantisce la conformità e non viceversa; di conseguenza, ciò si traduce nell’asserzione che se si è sicuri si è anche compliance.
La Commissione Europea – COM (2012) 11 final, nel "Documento di Lavoro dei Servizi della Commissione - Sintesi della Valutazione d'impatto", ha individuato tre problemi da analizzare:
Il primo problema sollevato dalla Commissione Europea, riguarda gli ostacoli per le imprese e le Autorità pubbliche derivanti dalla frammentazione, dall'incertezza giuridica e dall'applicazione non coerente.
Sebbene la direttiva miri a garantire un livello equivalente di protezione dei dati nell'Unione, tra i vari Stati membri persistono notevoli differenze quanto a norme applicate. Di conseguenza, i responsabili del trattamento possono trovarsi di fronte a 27 legislazioni e requisiti nazionali diversi all'interno dell'Unione. Ne risulta un quadro normativo frammentato che genera incertezza giuridica e porta a una protezione diseguale delle persone fisiche. Tale situazione produce costi inutili e oneri amministrativi per le imprese e disincentiva le imprese, in particolare le PMI, che operano nel mercato unico dall'espandere le loro attività all'estero.
Inoltre le risorse e i poteri delle Autorità nazionali di protezione dei dati variano notevolmente da uno Stato membro all'altro. In alcuni casi ciò significa che tali Autorità non sono in grado di esercitare i compiti di controllo in modo soddisfacente. La cooperazione tra le Autorità nazionali di protezione dei dati a livello europeo -attraverso l'attuale gruppo consultivo (gruppo di lavoro "art. 29") - non garantisce sempre un'applicazione coerente della normativa e pertanto occorre migliorarla.
Il secondo problema sollevato dalla Commissione Europea, riguarda le difficoltà, per le persone fisiche, di mantenere il controllo dei propri dati personali.
A causa di questa assenza di armonizzazione delle legislazioni nazionali sulla protezione dei dati e dei poteri diseguali delle Autorità di protezione dei dati, l'esercizio dei diritti da parte delle persone fisiche è più difficile in alcuni Stati membri rispetto ad altri, soprattutto in ambito on line.
Il singolo, inoltre, ha perso il controllo dei propri dati, in quanto il volume di dati scambiati ogni giorno è immenso e spesso l'interessato non è pienamente consapevole del fatto che i suoi dati personali vengono raccolti.
Il terzo problema sollevato dalla Commissione Europea, riguarda le lacune e incoerenze nella protezione dei dati personali nel settore della cooperazione di polizia e giudiziaria in materia penale
La direttiva, che si fonda su una base giuridica del mercato interno, esclude specificamente dal suo campo di applicazione la cooperazione di polizia e giudiziaria in materia penale. La decisione quadro, adottata nel 2008 per disciplinare il trattamento dei dati nell'ambito della cooperazione di polizia e giudiziaria in materia penale riflette le particolarità della struttura a pilastri dell'Unione prima dell'entrata in vigore del trattato di Lisbona; caratterizzata da un campo di applicazione limitato, varie lacune che generano incertezza giuridica per le persone fisiche e le Autorità di contrasto, nonché difficoltà pratiche in termini di applicazione. Inoltre la decisione quadro prevede numerose possibilità di deroga ai principi generali della protezione dei dati a livello nazionale, e quindi non ne garantisce l'armonizzazione. Tale approccio, non solo rischia di privare di contenuto detti principi – e quindi di pregiudicare il diritto fondamentale delle persone fisiche alla protezione dei loro dati personali in questo settore – ma anche di ostacolare il corretto scambio di dati personali tra le Autorità nazionali competenti.
In merito a tale tematica il legislatore comunitario ha predisposto un importante apparato sanzionatorio, stabilendo che Il Titolare e il Responsabile che violano gli obblighi ex art. 35, sono soggetti a sanzione amministrativa pecuniaria fino a € 10.000.000 o per le imprese fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. (art. 83, comma 4, lettera a Reg.). (segue)
Linee guida sulla valutazione di impatto privacy (parte seconda)