GDPR (S01 E10): registro, PIA e analisi del rischio

Una mappa del trattamento dei dati

Ci sono tre adempimenti, nel GDPR, che uniscono l’aspetto “burocratico” (la compilazione di un registro, la elaborazione di formule, la preparazione di elenchi, previsioni e regole) e la possibilità concreta di disegnare un’utilissima mappa del trattamento dei dati in una determinata realtà (mappa che diventa indispensabile nelle realtà molto complesse e con tanti trattamenti eterogenei tra loro).

Il primo adempimento, il registro dei trattamenti (che deve essere redatto soltanto da specifiche categorie di titolari elencate nel Regolamento) ha due finalità.

La prima, più pratica, è di esibirlo all’autorità di controllo nel caso il Garante lo richiedesse. Perché sia utile all’autorità di controllo, dovrebbe consentire di avere un quadro completo di tutti i trattamenti, dei dati e delle misure di sicurezza “a prima vista”.

La seconda funzione, più programmatica, è che tramite la compilazione di un registro dei trattamenti, e un suo costante aggiornamento, si può impostare sin dall’inizio un approccio alla sicurezza molto corretto, che tenga in ogni momento sotto controllo la vita del dato e i comportamenti di chi tratta il dato stesso.

L’Articolo 30 descrive il contenuto minimo dei registri delle attività di trattamento, che dovrebbero contenere tutte le seguenti informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati (ciò consente di individuare all’istante i vertici del trattamento);

b) le finalità del trattamento (ossia per quali fini i dati sono stati raccolti);

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un Paese terzo o un’organizzazione internazionale, compresa l’identificazione del Paese terzo o dell’organizzazione internazionale e la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati (questa si tratta di una delle novità più interessanti, strettamente correlata a una previsione esplicita della data di “morte” del dato);

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative predisposte.

Il registro dei trattamenti non è, quindi, un semplice registro, ma contiene tutte le informazioni essenziali per comprendere la strategia di compliance adottata nel contesto concreto.

Anche il Privacy Impact Assessment, o valutazione d’impatto, deve essere elaborato soltanto in determinati casi, ma assume una fondamentale importanza soprattutto quando i dati trattati sono in grado di mettere in pericolo i diritti degli interessati.

La valutazione d’impatto sulla protezione dei dati è prevista dall’Articolo 35.

Quando un tipo di trattamento, allorché preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

Il titolare del trattamento, allorquando svolga una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.

La valutazione d’impatto è richiesta, in particolare, in tre ipotesi.

a) quando il titolare opera una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) quando il titolare procede al trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati;

c) quando il titolare opera attività di sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare, in concreto, da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale.

In particolare:

a) se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;

b) se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano;

c) se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;

d) in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;

e) se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;

f) se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.

Il Privacy Impact Assessment è un documento complesso, che può arrivare anche a diverse decine di pagine in caso di numerosi trattamenti, e che deve avere, al centro, l’analisi della probabilità e della gravità del rischio.

La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportino un rischio o un rischio elevato.

Questi tre adempimenti, se richiesti, sono tra i più complessi del GDPR.

Il registro, però, diventa fondamentale per redigere una mappa, costantemente aggiornata, dei dati e della loro “vita”.

Il Privacy Impact Assessment ha invece al centro la previsione dell’impatto che il trattamento di dati particolarmente delicati può avere sui diritti delle persone e riguarda quindi direttamente i diritti di libertà degli individui.

L’analisi del rischio, infine, è il principale metodo per impostare una politica di protezione dei dati che non sia solamente efficace ma anche strettamente collegata a una realtà concreta.