privacy dossier

Speciale Pubblicato il 08/11/2017

Linee guida sulla valutazione di impatto privacy (Parte prima)

di Modesti dott. Giovanni

Garante privacy 20/10/2017. Adottate le nuove linee guida sulla valutazione di impatto privacy rivolte a PA e imprese

Attraverso la Newsletter n. 434 del 30 ottobre 2017 il Garante ha comunicate che sono state pubblicate le Linee guida ad uso delle Pubbliche Amministrazioni e le imprese nella valutazione di impatto sulla protezione dei dati DPIA – Data Protection Impact Assessment.

Prima di passare ad illustrare le Linee guida (compito che sarà affrontato in un successivo articolo) forniamo alcuni chiarimenti riguardanti l’istituto in oggetto.

La valutazione di impatto dei rischi, connessi al trattamento di determinate categorie di dati, è stato oggetto di disciplina comunitaria sia attraverso l’art. 35 del Regolamento 679/2016 UE sia con i considerando ad esso riferiti, precisamente il C.84, C.89, C.93 e C.95, la cui lettura permette di comprendere meglio le intenzioni del legislatore.
 

Segui tutti gli aggiornamenti nel dossier dedicato alla Privacy

Tutta la normativa aggiornata sulla Privacy nel Commento breve al Regolamento europeo per la privacy

Sei un consulente ?

Ti puo interessare anche il Videocorso sulla Gestione della privacy nello Studio professionale  

Il "Considerando" C.84, C.89, C.93 e C.95

C.84

Si richiamano i titolari del trattamento a compiere una valutazione dell’impatto sulla protezione dei dati al fine di determinare “l’origine, la natura, la particolarità e la gravità di tale rischio”.
Tale attività di valutazione dovrebbe essere propedeutica all’approntamento “delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento.”.
È prevista la consultazione del Garante nella ipotesi in cui il trattamento in questione presenti rischi elevati che non possono essere attenuati dal titolare.

C.89

Partendo dalla constatazione che, la direttiva 95/46 CE obbligava i titolari del trattamento a notificare ai Garanti nazionali il trattamento dei dati e che suddetto adempimento, a fronte di una serie di oneri amministrativi e finanziari, non ha portato ad effettivi benefici in materia di tutela del trattamento dei dati personali, al punto che tali obblighi vanno aboliti  “e sostituiti con  meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità”.
La valutazione andrà compiuta, soprattutto, in riferimento a quei trattamenti che comportano l’utilizzo di nuove tecnologie o quelli di nuovo tipo, rispetto ai quali il titolare non ha ancora effettuato una valutazione di impatto.

C.93

Nel caso in cui i singoli Stati membri non abbiano ancora adottato leggi che disciplinino l’attività delle autorità pubbliche di controllo, essi possono “ritenere necessario effettuare tale valutazione prima di procedere alle attività di trattamento”.

C.95

Su richiesta del titolare che effettua una valutazione di impatto il responsabile lo “dovrebbe assistere”, fornendogli tutte le informazioni in suo possesso oltre al suo know-out al fine di facilitarlo nella esecuzione di tale adempimento.

 

I compiti del Titolare del trattamento dei dati personali

Il Regolamento, all’art. 35, obbliga il Titolare del trattamento ad effettuare una valutazione di impatto sui rischi che possono incidere sulla protezione dei dati, tenuto conto della natura, dell’oggetto, o delle finalità del trattamento (cd. Data Protection Impact Assessment, D.P.I.A.). Il Titolare deve chiedere al Data Protection Officer un parere in merito al Piano. La valutazione d'impatto sulla protezione dei dati è richiesta in particolare nel caso di:

  • valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sugli interessati;
  • trattamento, su larga scala, di categorie particolari di dati personali (sensibili o giudiziari);
  • sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

I compiti che ricadono sul Titolare e sul responsabile del trattamento sono agevolati dal fatto che l’Autorità di controllo si onera di redigere e pubblicizzare l’elenco dei trattamenti da sottoporre preventivamente ad una valutazione di impatto.
Così come, sempre l’Autorità di controllo potrà provvedere a redigere un elenco dei trattamenti esonerati da tale valutazione; l’Autorità di controllo prima di adottare gli elenchi dei trattamenti che presuppongono una valutazione di impatto e di quelli che ne sono esonerati, ricorre al meccanismo di coerenza.
Al fine di garantire una applicazione uniforme del Regolamento il Legislatore ha previsto che la valutazione dovrà contenere almeno:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal Titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento.

Mentre il d.lgs. n. 196/2003 faceva esplicita menzione delle misure minime di sicurezza che il Titolare doveva applicare prima di dare l’avvio al trattamento dei dati e indicava, altresì le misure idonee intese quali misure aggiuntive rispetto alle misure minime, tali indicazioni mancano nel Regolamento, ciò però non esime il Titolare – dopo avere effettuato una autovalutazione dei rischi – dall’adottare le misure di sicurezza richieste per la messa in sicurezza dei dati personali oggetto di trattamento.
Pertanto, le misure minime rappresentano, ai sensi del Codice in materia di protezione dei dati personali, una sorta di ceck list che permette ai Titolari di essere conformi alla normativa di settore, l’aspetto negativo di tale approccio è che la compliance non coincide (o non coincide sempre) con la reale sicurezza.
Il Regolamento affronta, invece, la problematica da un’altra angolazione: la sicurezza garantisce la conformità e non viceversa; di conseguenza, ciò si traduce nell’asserzione che se si è sicuri si è anche compliance.
 

Questioni sollevate dalla Commissione Europea Commissione Europea - COM (2012)11

La Commissione Europea – COM (2012) 11 final, nel "Documento di Lavoro dei Servizi della Commissione - Sintesi della Valutazione d'impatto", ha individuato tre problemi da analizzare: 

 

 

Problema 1: ostacoli per le imprese e le Autorità pubbliche

Il primo problema sollevato dalla Commissione Europea, riguarda gli ostacoli per le imprese e le Autorità pubbliche derivanti dalla frammentazione, dall'incertezza giuridica e dall'applicazione non coerente.
Sebbene la direttiva miri a garantire un livello equivalente di protezione dei dati nell'Unione, tra i vari Stati membri persistono notevoli differenze quanto a norme applicate. Di conseguenza, i responsabili del trattamento possono trovarsi di fronte a 27 legislazioni e requisiti nazionali diversi all'interno dell'Unione. Ne risulta un quadro normativo frammentato che genera incertezza giuridica e porta a una protezione diseguale delle persone fisiche. Tale situazione produce costi inutili e oneri amministrativi per le imprese e disincentiva le imprese, in particolare le PMI, che operano nel mercato unico dall'espandere le loro attività all'estero.
Inoltre le risorse e i poteri delle Autorità nazionali di protezione dei dati variano notevolmente da uno Stato membro all'altro. In alcuni casi ciò significa che tali Autorità non sono in grado di esercitare i compiti di controllo in modo soddisfacente. La cooperazione tra le Autorità nazionali di protezione dei dati a livello europeo -attraverso l'attuale gruppo consultivo (gruppo di lavoro "art. 29") - non garantisce sempre un'applicazione coerente della normativa e pertanto occorre migliorarla.

Problema 2: difficoltà di mantenere il controllo dei propri dati personali

Il secondo problema sollevato dalla Commissione Europea, riguarda le difficoltà, per le persone fisiche, di mantenere il controllo dei propri dati personali.
A causa di questa assenza di armonizzazione delle legislazioni nazionali sulla protezione dei dati e dei poteri diseguali delle Autorità di protezione dei dati, l'esercizio dei diritti da parte delle persone fisiche è più difficile in alcuni Stati membri rispetto ad altri, soprattutto in ambito on line.
Il singolo, inoltre, ha perso il controllo dei propri dati, in quanto il volume di dati scambiati ogni giorno è immenso e spesso l'interessato non è pienamente consapevole del fatto che i suoi dati personali vengono raccolti.

Problema 3: lacune e incoerenze nella cooperazione di polizia e giudiziaria penale

Il terzo problema sollevato dalla Commissione Europea, riguarda le lacune e incoerenze nella protezione dei dati personali nel settore della cooperazione di polizia e giudiziaria in materia penale

La direttiva, che si fonda su una base giuridica del mercato interno, esclude specificamente dal suo campo di applicazione la cooperazione di polizia e giudiziaria in materia penale. La decisione quadro, adottata nel 2008 per disciplinare il trattamento dei dati nell'ambito della cooperazione di polizia e giudiziaria in materia penale riflette le particolarità della struttura a pilastri dell'Unione prima dell'entrata in vigore del trattato di Lisbona; caratterizzata da un campo di applicazione limitato, varie lacune che generano incertezza giuridica per le persone fisiche e le Autorità di contrasto, nonché difficoltà pratiche in termini di applicazione. Inoltre la decisione quadro prevede numerose possibilità di deroga ai principi generali della protezione dei dati a livello nazionale, e quindi non ne garantisce l'armonizzazione. Tale approccio, non solo rischia di privare di contenuto detti principi – e quindi di pregiudicare il diritto fondamentale delle persone fisiche alla protezione dei loro dati personali in questo settore – ma anche di ostacolare il corretto scambio di dati personali tra le Autorità nazionali competenti.

In merito a tale tematica il legislatore comunitario ha predisposto un importante apparato sanzionatorio, stabilendo che Il Titolare e il Responsabile che violano gli obblighi ex art. 35, sono soggetti a sanzione amministrativa pecuniaria fino a € 10.000.000 o per le imprese fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. (art. 83, comma 4, lettera a Reg.).  (segue)

 

Tag: Privacy

Scrivi un commento

I campi contrassegnati * sono obbligatori
(il tuo indirizzo non sara' pubblicato)