A conclusione di questa sintetica rassegna, dedicata all’approfondimento delle modalità di adempimento degli obblighi di valutazione di impatto, di cui all’art. 35 del GDPR, si ritiene opportuno, anche in relazione all’importanza che ha ENISA nel contesto Europeo in materia di Cyber Security, approfondire, alla luce dei 9 criteri di valutazione della necessità di svolgimento di operazioni di valutazione d’impatto, realizzati dal WP 29, di cui si dirà appresso, la metodologia di svolgimento di operazioni di analisi del rischio contenuta sia nel documento “Guidelines for SMEs on the security of personal data processing” del 2016, sia nel documento “Handbook on security of personal data processing” del 2017.
Come ricordato nei numeri precedenti, il Gruppo Europeo dei Garanti per la protezione dei dati personali (WP29, ora EDPB), ha indicato nove criteri il soddisfacimento di due quali è condizione necessaria e sufficiente per ritenere obbligatorio lo svolgimento delle operazioni di valutazione d’impatto, poiché indicatori di un rischio elevato per i diritti e le libertà delle persone fisiche.
Segnatamente, una DPIA dovrà obbligatoriamente essere svolta in presenza di almeno due dei seguenti criteri vale a dire:
- Valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “Aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”;
- Processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone fisiche;
- Monitoraggio sistematico;
- Trattamento di categorie particolari di dati o di dati di natura estremamente personale;
- I dati sono elaborati su larga scala;
- Sono effettuate operazioni di combinazione o corrispondenza su insiemi di dati;
- Il trattamento riguarda dati relativi ad interessati vulnerabili;
- Vi è un uso innovativo o l’applicazione di nuove soluzioni tecnologiche od organizzative;
- Il trattamento in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto.
Chiarito ciò che precede, vale la pena ricordare, per definire l’ambito metodologico all’interno del quale collocare le operazioni di valutazione di impatto che, nelle ricordate linee guida ENISA del dicembre 2016, in particolare, nella parte 2.3. intitolata security for the processing of personal data nella parte 2.3.2, dedicata al “Security risk management for the processing of personal data” si specifica, sostanzialmente che, nel caso del trattamento dei dati personali, al fine dell’analisi e gestione dei rischi, gli impatti devono essere considerati in relazione alle libertà e ai diritti delle persone fisiche. Si tratta di una circostanza particolarmente significativa, in quanto, a differenza di quanto avviene nella valutazione del rischio “generico” di sicurezza delle informazioni, ove l’analisi degli impatti potenziali viene valutata dal lato dell’organizzazione, nel caso di trattamento di dati personali l’analisi degli impatti deve vertere sui possibili effetti negativi che anche un singolo individuo può subire, tra cui, ad esempio, il furto d’identità o la frode, la perdita finanziaria, il danno fisico o psicologico, l’umiliazione, il danno alla reputazione o persino la minaccia alla vita, nonché anche possibili effetti negativi secondari sui diritti e sulle libertà degli individui. In tale ambito, di conseguenza, la scala (ad esempio, il numero di individui colpiti) può non essere rilevante: l’impatto è elevato anche se può portare gravi effetti negativi solo a una singola persona.
Da quanto appena specificato discende, inoltre, che dovranno considerarsi con molta attenzione le opzioni di gestione del rischio, accettazione, rifiuto, trasferimento, allorché, pur in presenza di una probabilità bassa di verificazione di un evento ad elevato impatto fisico, per esempio la morte di un individuo, sarà probabilmente consigliabile, se possibile, evitare il rischio considerando di nuovo l’intera operazione di trattamento o utilizzando specifiche tecnologie di miglioramento della privacy (ad esempio, tecniche di anonimizzazione o adeguate misure organizzative).
ENISA individua quattro livelli di impatto sui diritti e sulle libertà fondamentali degli individui, derivanti da possibili violazioni di dati, al livello basso, gli interessati incontrano inconvenienti scarsamente significativi superabili senza particolari difficoltà (ad es.: tempo speso per reinserire le informazioni, fastidi, irritazioni, ecc.), al livello medio gli interessati incontrano disagi significativi, che saranno in grado di superare nonostante alcune difficoltà (costi aggiuntivi, rifiuto di accedere ai servizi aziendali, paura, mancanza di comprensione, stress, piccoli disturbi fisici, ecc.), al livello alto gli interessati incontrano conseguenze significative, superabili con gravi difficoltà (appropriazione indebita di fondi, inserimento nella lista nera delle istituzioni finanziarie, danni materiali, perdita del lavoro, citazione in giudizio, peggioramento delle condizioni di salute, ecc.), ad un livello molto alto gli interessati incontrano a conseguenze significative, o irreversibili, che non possono superare (incapacità di lavorare, disturbi psicologici o fisici a lungo termine, morte, ecc.).
Ad integrazione delle valutazioni qualitative riferite all’individuazione del livello di impatto indicate da ENISA, sembra appropriato considerare anche quanto specificato dal Garante per la protezione dei dati personali francese (CNIL – Commission Nationale de l’Informatique et des Libertés, autrice di un apposito software liberamente disponibile dal sito dell’Autorità), nel documento Privacy Impact Assessment (PIA) Knowledge Bases che, ulteriormente, classifica gli impatti in materiali, fisici e psicologici, rispettivamente, perdita di amenità, deturpazione o perdita economica legata all’integrità fisica; perdita subita o mancato guadagno in relazione al patrimonio di un individuo, sofferenza fisica o emotiva.
In questo ambito vale la pena di considerare, infine, quanto chiarito da ENISA nelle citate Linee Guida, ove si precisa che le previsioni del GDPR estendono la loro portata applicativa oltre la semplice adozione di specifiche misure di sicurezza, implicando la creazione di un vero e proprio sistema di gestione delle informazioni completo per la protezione della riservatezza, dell’integrità, della disponibilità e della resilienza dei dati personali.
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
