Nei casi in cui un trattamento dei dati personali presenti un rischio probabile ed elevato di causare dei pregiudizi ai diritti e alle libertà degli interessati (ad esempio perché viene posto in essere un controllo di tipo sistematico, per l’elevato numero di soggetti coinvolti o per la natura sensibile dei dati personali trattati), il GDPR stabilisce che i titolari del trattamento debbano realizzare in via preventiva una apposita valutazione dei rischi.
Inoltre, è previsto il coinvolgimento dell’Autorità di controllo (quindi del Garante della privacy) qualora le misure tecniche e organizzative individuate al fine di minimizzare l’impatto del trattamento sulla tutela dei diritti e delle libertà degli interessati non vengano ritenute sufficienti: quando il titolare ritenga che, nonostante le valutazioni effettuate e l’individuazione di misure di sicurezza, resti comunque presente un apprezzabile rischio per i diritti e le libertà degli interessati.
Quello della valutazione dei rischi si configura, d’altra parte, come una delle novità più importanti nel quadro del nuovo Regolamento europeo, in quanto esprime l’intento delle istituzioni europee di ottenere una maggiore responsabilizzazione (accountability) dei titolari verso le attività di trattamento dei dati dagli stessi poste in essere.
Infatti, i titolari del trattamento non solo sono tenuti ad osservare le disposizioni del GDPR, ma devono anche essere in grado di dimostrare compiutamente la propria compliance, tanto all’Autorità di controllo quanto ai singoli interessati. Uno dei principali modi per dare tale prova è proprio attraverso una completa e corretta valutazione dei rischi a cui ciascun trattamento dà luogo.
Come precisato dalla Linee Guida emanate al riguardo, la valutazione d’impatto sulla protezione dei dati identifica “un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli”.
Di conseguenza, la valutazione d’impatto sulla protezione dei dati è uno strumento importante per la responsabilizzazione in quanto, da un lato, incoraggia i titolari del trattamento a rispettare gli obblighi sanciti dal GDPR, e, dall’altro lato, è un mezzo che consente loro di giustificare la scelta delle specifiche misure adottate, potendone così dimostrare l’idoneità per garantire il rispetto del Regolamento.
Al fine di realizzare una valutazione del rischio efficace e sufficientemente completa, il titolare che vi procede si dovrà attenere ai seguenti punti:
- dovrà essere fornita una descrizione sistematica del trattamento dei dati, questa dovrà comprendere, (come stabilito dall’art. 35, par. 7, lett. a) che prevede che la valutazione contenga “una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento”) in particolare:
- natura, ambito di applicazione, contesto e finalità del trattamento;
- i dati personali che vengono registrati, i destinatari ed il periodo di conservazione;
- una descrizione funzionale del trattamento che viene posto in essere;
- le risorse utilizzate (hardware, software, supporto cartaceo);
- il rispetto di codici di condotta eventualmente approvati (come richiesto dall’art. 35, par. 8 del GDPR);
- dovrà dimostrare la liceità del trattamento, e dunque la sua necessità e proporzionalità, come prevede l’art. 35, par. 7, lett. b) (la norma dispone infatti che la valutazione d’impatto contenga “una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità”), e in particolare se sono state adottate (e quali) le misure previste per garantire il rispetto del Regolamento. Più precisamente, si dovranno indicare specificamente:
- misure che consentono di garantire la necessità e proporzionalità del trattamento dei dati personali in relazione, ad esempio, alle finalità, alla liceità del trattamento e all’adeguatezza dei dati raccolti che devono essere pertinenti e limitati a quanto necessario;
- i presupposti della legittimità del trattamento dei dati (come il consenso dell’interessato, la presenza di un obbligo legale o di contratto o ancora di un legittimo interesse del titolare);
- le misure che consentono di realizzare una limitazione della conservazione dei dati ad un arco di tempo strettamente connesso al raggiungimento delle finalità prestabilite;
- le misure che contribuiscono a garantire i diritti degli interessati, quali l’informativa che deve essergli resa in via preliminare e tutte le informazioni utili circa i diritti che ad esso sono riconosciuti (come il diritto di accesso, il diritto alla portabilità dei dati, il diritto di rettifica e di cancellazione, il diritto di opposizione e di limitazione del trattamento), nonché, in caso di trasferimento dei dati all’estero, l’insieme di garanzie che legittimano tale trasferimento;
- dovrà indicare come i rischi per i diritti e le libertà degli interessati vengono gestiti, ai sensi dell’art. 35, par. 7, lett. c) (la norma stabilisce: “La valutazione contiene almeno: c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1”), specificando:
- l’origine, la natura e la gravità per ciascun rischio (ad esempio, l’accesso illegittimo, la modifica indesiderata e la scomparsa dei dati), tenendo conto dei diritti e degli interessi legittimi degli interessati e delle altre persone coinvolte, come previsto dall’art. 35, par. 7, lett. d) (la norma prevede infatti: “La valutazione contiene almeno: d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”);
- dovranno essere indicate le misure di sicurezza che si intende adottare a garanzia della protezione dei dati personali, quali, ad esempio:
- tecniche di pseudonimizzazione e cifratura;
- tecniche di minimizzazione dei dati utilizzati e strumenti che garantiscano la privacy “by design” e “by default”;
- sistemi che consentano di verificare l’efficacia delle garanzie poste in essere (ad esempio, penetretion test);
- misure di sicurezza di tipo organizzativo e di tipo fisico (come, ad esempio, misure che garantiscano la protezione di determinate aree, strumentazioni o dati fisicamente posti all’interno dell’azienda);
- la predisposizione di sistemi di ripristino e recupero dei dati (anche attraverso la previsione di piani di backup);
- l’adozione di codici di condotta o di altri meccanismi di certificazione.
- infine, dovrà essere dato conto anche del coinvolgimento delle parti interessate nello svolgimento della valutazione d’impatto sulla protezione dei dati. Più nello specifico, come previsto dall’art. 35, par. 2, il titolare del trattamento dovrà consultare il responsabile del trattamento (sempre che sia stato designato) e, se opportuno, potrà anche raccogliere direttamente l’opinione degli interessati o dei loro rappresentanti. Questo è infatti quanto stabilito dall’art. 35, par. 9: “Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti”.