Valutazione di impatto (PIA, Privacy Impact Assessment) e rischio del trattamento
Con tale valutazione si determina la misura di responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti. Quindi, il rischio inerente al trattamento è da intendersi come l’impatto negativo sulle libertà e i diritti degli interessati (da intendersi non solo il diritto alla protezione dei dati personali, ma anche altri, come la libertà di espressione).
Il Titolare del trattamento (data controller) è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide “perché” e “come” devono essere trattati i dati.
Il Responsabile del trattamento (nel nuovo Regolamento Europeo data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del Titolare del trattamento (art. 4, par. 1, n. 8 GDPR).
Si tratta di un soggetto, distinto dal titolare, che deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato.
Il titolare del trattamento risponde della gestione effettuata dal responsabile, dovendo ricorrere a responsabili che presentino garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del Regolamento (Considerando 81 GDPR), e che le sue decisioni siano conformi alle leggi. Compito specifico del titolare è, infatti, quello di valutare il rischio del trattamento che pone in essere tramite i responsabili. Il titolare deve sempre poter sindacare le decisioni dei responsabili.
I benefici della valutazione d’impatto sulla protezione dei dati (PIA): analizzare, conoscere, definire
Uno dei principi cardine su cui si basa il nuovo Regolamento Europeo sulla Privacy 679/2016 è, sicuramente, quello della dimostrabilità delle operazioni di trattamento effettuate dalle aziende. Tale principio è noto con il termine anglosassone “accountability”, il quale sta ad indicare la necessità, per i titolari, di conoscere le operazioni compiute, nonché di analizzare, conoscere e definire, rispettivamente, i flussi normativi, i soggetti coinvolti e le regole per la corretta gestione e conservazione dei dati.
Ciò che, in particolare, si andrà a valutare, nei casi in cui il trattamento venga svolto mediante l’utilizzo delle nuove tecnologie, è il rischio, ossia l’incidenza, delle attività poste in essere dal titolare sui dati personali.
Stefano Rodotà, nella lungimirante prefazione a Libera circolazione e protezione dei dati personali, evidenziava come le nuove tecnologie creino rischi di inquinamento dell’ambiente delle libertà civili e politiche, per cui si rende necessario passare a tecnologie “pulite”, anche attraverso una costante valutazione dell’impatto privacy.
Tre buoni motivi per sviluppare una valutazione P.I.A.
La conduzione di una Valutazione dei rischi, indipendentemente dal fatto che essa risulti, nel caso specifico, obbligatoria o meno, ha sempre un effetto benefico.
Innanzitutto,l’impostazione e lo sviluppo di un P.I.A. permettono di identificare e gestire i rischi, conseguenza possibile del trattamento; in secondo luogo, la Valutazione d’impatto sulla protezione dei dati previene la possibilità che determinati problemi vengano scoperti in uno stadio avanzato del trattamento (possibilità che, ricordiamo, potrebbe comportare per il titolare costi assai elevati), nel mentre affrontare tempestivamente i rischi connessi al trattamento permette di introdurre preventivamente appropriate misure di controllo;
infine, non bisogna dimenticare che lo sviluppo di un Privacy Impact Assessment è in grado di rafforzare il livello di affidabilità legato all’immagine dell’azienda.
Modus Operandi
Il modello operativo adottato è il seguente:
1) stima del volume di lavoro da espletare per conto e presso l’azienda cliente e le relative sedi: ogni cliente ha esigenze, strutture e sessioni di trattamento dati diverse da Azienda ad Azienda per questo motivo valutiamo per ogni caso.
2) erogazione del preventivo di spesa di massima;
3) acquisizione dei dati dell’azienda ovvero fotografia della realtà del cliente che può essere svolta presso l’azienda o per via telematica;
4) verifica di ottemperanza nei confronti dei requisiti minimi previsti dalla normativa;
5) analisi dei rischi sui trattamenti effettuati e sulla protezione dei locali rilevanti;
6) redazione della policy in materia di sicurezza: operazioni da eseguire e comportamenti da tenere nel corso del tempo per continuare ad essere in regola con la normativa vigente al momento dell’analisi ivi compresi i corsi di formazione minimi;
7) redazione del registro dei trattamenti e/o analisi dei rischi ad uso interno e per dimostrare la rispondenza normativa in caso di verifiche (principio di responsabilizzazione ovvero accountability).
8) redazione delle informative (fatte in conformità della nuova normativa) da trasmettere a coloro che sono i soggetti dei trattamenti effettuati in azienda.
