La valutazione d'impatto sulla protezione dei dati personali


La valutazione dei rischi privacy o Privacy Impact Assessment (PIA) è uno dei punti più importanti introdotti dal nuovo regolamento europeo sui dati personali agli articoli 35 e 36, l'onere è in capo al titolare del trattamento e l'inadempienza della norma comporta sanzioni pecuniarie fino a 10.000.000 di Euro o fino al 2% del fatturato annuo globale dell'anno precedente la violazione, quindi questa volta sanzioni molto importanti e badate bene: il regolamento europeo è una legge e non una direttiva quindi non ci saranno rinvii come molti auspicano. Inoltre essendo una legge che coinvolge tutti e 28 i paesi europei - sì per adesso anche la Gran Bretagna - nel caso di una violazione avvenuta in Italia dei diritti di un cittadino che risiede in un altro paese dell'UE, sarà proprio il garante di quel paese, magari proprio il garante britannico, che verrà qui col coltello tra i denti a fare un sacco di domande scomode all'azienda responsabile della violazione.

Prima di entrare nel vivo di questo argomento vorrei però fare alcune considerazioni generali sul regolamento europeo. Qualcuno ha detto che il GDPR è scritto male e tradotto peggio. Sulla traduzione posso anche essere d'accordo, ma non ritengo sia stato scritto male. La diffidenza nei confronti del regolamento nasce perché fondamentalmente si tratta di una legge che ha un approccio molto pragmatico alla materia, scritta più per i nostri figli che per noi, redatta quindi per i nativi digitali del XXI secolo, la "Generazione Z" dei nati a partire dalla seconda metà degli anni novanta. Il regolamento europeo è una legge di impianto anglosassone che ti dice cosa fare ma quasi mai come farlo, il tempo in cui il Garante dava indicazioni su quanto devono essere lunghe le password e ogni quando cambiarle è finito, l'ambiente digitale nel quale tutti noi oggi viviamo non è più quel porto sicuro di un tempo anzi sta diventando un posto assai rischioso e di conseguenza le contromisure devono avere un pari livello di adeguatezza e di complessità. Per l'analisi del rischio non esiste un punto finale ma sempre un punto di ripartenza, non si tratta di un documento che devi prendere e buttare in fondo ad una armadio una volta l'anno ma un complesso processo H24. Resta comunque da vedere come una legge figlia di una cultura giuridica differente dalla nostra sarà applicata in un paese in cui si ritiene e talvolta in base ad un principio di deresponsabilizzazione generale si esige che il diritto ti debba dire anche come ci si allaccia le scarpe.

Non a caso le prime esperienze di metodologie di analisi dei rischi privacy risalgono ai primi anni del nuovo millennio e hanno avuto luogo in paesi anglosassoni: Australia, Canada, Irlanda, Nuova Zelanda, Regno Unito, Stati Uniti. Anche se la normativa nazionale non la prevedeva obbligatoriamente, fu l'Australia, attraverso una delle sue agenzie, l'OAIC, ha redigere nel 2006 una prima guida sulla valutazione dei rischi privacy: la "Privacy Impact Assessment Guide" che puntava ad un approccio flessibile alla materia in base al contesto nel quale si andava ad operare. Sulla base di questo documento lo stato di Victoria nel 2009 pubblicava un documento che in qualche modo è stato l'antesignano di qualsiasi approccio al rischio privacy: la "PIA guide" destinato al settore pubblico dello stato australiano. Negli stessi anni anche in Ontario in Canada viene pubblicata "The Privacy Impact Assessment Guide" per la pubblica amministrazione e analoghe guide vengono pubblicate anche in Irlanda, Nuova Zelanda e Regno Unito. Negli Stati Uniti la valutazione del rischio privacy per le agenzie governative è inclusa nell' "E-Government Act" del 2002. Nella sezione 208 di questa legge la valutazione deve essere firmata al massimo livello apicale dell'agenzia governativa per la gestione delle informazioni: chief information officer o figura equivalente a determinarne l'importanza quale punto cardine di tutta le gestione della privacy.

Facendo tesoro di queste esperienze un consorzio facente capo alla Commissione Europea il PIAF, Privacy Impact Assessment Framework ha messo a punto una metodologia per la conduzione delle analisi del rischio privacy in 16 punti. Anche qui occorre mettere bene in evidenza che l'analisi del rischi privacy NON è un documento ma un processo. Casomai il documento o Report che ne scaturisce è parte di questo processo. Importante anche tenere conto che questi punti vanno adattati al contesto nel quale si va ad operare e devono essere personalizzati e sviluppati sulla natura delle aziende oggetto dell'analisi.


  1. Determinare se è necessaria la valutazione di impatto privacy. Questa è la decisione più importante la cui responsabilità ricade sul titolare del trattamento, quindi sul cda nel caso di una società per azioni.
  2. Identificare il team che svolgerà la valutazione di impatto privacy. Per per partire bene occorre inserire nel team tutte le persone che hanno un ruolo importante nella gestione del dato personale: per esempio IT, risorse umane, marketing, etc. Importante notare che la valutazione può riguardare aspetti strategici riguardo al know-how dell'azienda e quindi è richiesto un alto livello di riservatezza. Sarebbe opportuno nominare un team leader il DPO, Data Protection Officer, è perfetto per questo ruolo.
  3. Il team mette a punto un progetto di valutazione. Ogni realtà ha le sue caratteristiche, ogni trattamento dei dati personali ha le sue peculiarità e le sue criticità, il progetto dipende dal contesto nel quale si va ad agire.
  4. Approvazione del budget per il progetto. Una volta redatto il progetto il budget relativo allo svolgimento del progetto va sottoposto al cda per l'approvazione.
  5. Redazione scritta del progetto. La descrizione del progetto include le premesse e le finalità per cui si è deciso di svolgere una valutazione di impatto privacy e sarà parte integrante del report finale.
  6. Identificazione dei soggetti che verranno interpellati nel progetto. Gli "Stakeholders" sono coloro che svolgono un ruolo attivo nell'organigramma aziendale nel trattamento dei dati personali.
  7. Analisi dei flussi di informazioni, analisi dei rischi dell'impatto privacy. Momento centrale della PIA molto importante, viene redatta un'analisi dei rischi privacy, sull'analisi del rischio sono stati scritti interi libri, ma qui voglio concentrarmi più sul metodo che sugli strumenti specifici.
  8. Consultazione dei soggetti interpellati. Ci sono molti motivi per farla fondamentalmente potrebbero non essere stati considerati dal team alcuni aspetti che invece potrebbero venire fuori durante le consultazioni.
  9. Verifica di compatibilità col regolamento. Occorre verificare che il progetto sia conforme al regolamento ed alle leggi vigenti, generalmente questa parte compete al DPO Data Protection Officer.
  10. Identificazione dei rischi e delle possibili soluzioni. In base all'analisi dei rischi il team estrapoli i rischi al trattamento dei dati personali ed elabora delle possibili soluzioni tecniche o di processo.
  11. Formulazione delle raccomandazioni. Sempre in base all'analisi dei rischi si formulano delle misure di mitigazione del rischio privacy e le si comunicano alle parti dell'azienda coinvolte.
  12. Redazione e pubblicazione del report. Valutare se in base ad un principio di trasparenza rendere pubblica la valutazione di impatto privacy, magari sul sito internet istituzionale.
  13. Implementare le misure di mitigazione del rischio privacy. Occorre accertarsi che le raccomandazioni frutto dell'analisi siano implementate attraverso l'azienda eventualmente mettendo a punto delle verifiche a campione.
  14. Valutare se sottoporre la PIA ad un audit condotta da terze parti. Se il progetto di trattamento dei dati personali è un progetto che coinvolge diverse aziende potrebbe essere utile fare delle audit per verificare che tutto sia stato condotto nel migliore dei modi.
  15. Aggiornare la PIA nel caso ci siano dei cambiamenti al progetto. Come ho già detto si tratta di un processo e non di un documento, nelle aziende i processi sono soggetti a mutare rapidamente anche in funzione della rapidità delle innovazioni tecnologiche e quindi anche la valutazione deve essere sottoposta a continui aggiornamenti.
  16. Diffondere in azienda le policy relative alla privacy. Occorre diffondere attraverso l'azienda una consapevolezza del rischio privacy.

Commenti