17 Mag Criteri pratici di valutazione dei rischi del trattamento dati
Si già detto che nel caso in cui un trattamento dei dati personali presenti un rischio probabile ed elevato di causare dei pregiudizi ai diritti e alle libertà degli interessati il Regolamento stabilisce l’onere in capo ai titolari del trattamento di realizzare in via preventiva una apposita valutazione dei rischi.
Tale attività può essere effettuata anche con il coinvolgimento del Garante della Privacy qualora le misure tecniche e organizzative individuate al fine di minimizzare l’impatto del trattamento sulla tutela dei diritti e delle libertà degli interessati non vengano ritenute sufficienti.
Come precisato dalla Linee Guida emanate al riguardo, la valutazione d’impatto sulla protezione dei dati identifica «un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli».
Pertanto, la valutazione d’impatto risulta essere uno strumento per responsabilizzare i titolari poiché, da un lato, incoraggia i titolari del trattamento a rispettare gli obblighi sanciti dal Regolamento e, dall’altro lato, è un mezzo che consente loro di giustificare la scelta delle specifiche misure adottate, potendone così dimostrare l’idoneità per garantire il rispetto del stesso.
Al fine di realizzare una valutazione del rischio efficace e sufficientemente completa, il titolare che vi procede si dovrà attenere ai seguenti punti:
1. dovrà essere fornita una descrizione sistematica del trattamento dei dati, questa dovrà comprendere, come stabilito dall’art. 35, par. 7, lett. a) che prevede che la valutazione contenga «una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento» in particolare:
a. natura, ambito di applicazione, contesto e finalità del trattamento;
b. i dati personali che vengono registrati, i destinatari ed il periodo di conservazione;
c. una descrizione funzionale del trattamento che viene posto in essere;
d. le risorse utilizzate (hardware, software, supporto cartaceo);
e. il rispetto di codici di condotta eventualmente approvati (come richiesto dall’art. 35, par. 8 del Regolamento);
2. dovrà dimostrare la liceità del trattamento, e dunque la sua necessità e proporzionalità, come prevede l’art. 35, par. 7, lett. b); la norma dispone infatti che la valutazione d’impatto contenga» una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità», e in particolare se sono state adottate (e quali) le misure previste per garantire il rispetto del Regolamento. Più precisamente, si dovranno indicare specificamente:
a. misure che consentono di garantire la necessità e proporzionalità del trattamento dei dati personali in relazione, ad esempio, alle finalità, alla liceità del trattamento e all’adeguatezza dei dati raccolti che devono essere pertinenti e limitati a quanto necessario;
b. i presupposti della legittimità del trattamento dei dati (come il consenso dell’interessato, la presenza di un obbligo legale o di contratto o ancora di un legittimo interesse del titolare);
c. le misure che consentono di realizzare una limitazione della conservazione dei dati ad un arco di tempo strettamente connesso al raggiungimento delle finalità prestabilite;
d. le misure che contribuiscono a garantire i diritti degli interessati, quali l’informativa che deve essergli resa in via preliminare e tutte le informazioni utili circa i diritti che ad esso sono riconosciuti (come il diritto di accesso, il diritto alla portabilità dei dati, il diritto di rettifica e di cancellazione, il diritto di opposizione e di limitazione del trattamento), nonché, in caso di trasferimento dei dati all’estero, l’insieme di garanzie che legittimano tale trasferimento;
3. dovrà indicare come i rischi per i diritti e le libertà degli interessati vengono gestiti, ai sensi dell’art. 35, par. 7, lett. c) che stabilisce: «La valutazione contiene almeno: c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1», specificando:
a. l’origine, la natura e la gravità per ciascun rischio (ad esempio, l’accesso illegittimo, la modifica indesiderata e la scomparsa dei dati), tenendo conto dei diritti e degli interessi legittimi degli interessati e delle altre persone coinvolte, come previsto dall’art. 35, par. 7, lett. d) che prevede infatti: «La valutazione contiene almeno: d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente Regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione»;
b. dovranno essere indicate le misure di sicurezza che si intende adottare a garanzia della protezione dei dati personali, quali, in via esemplicativa: tecniche di pseudonimizzazione e cifratura, di minimizzazione dei dati utilizzati e strumenti che garantiscano la privacy by design e by default, sistemi che consentano di verificare l’efficacia delle garanzie poste in essere, misure di sicurezza di tipo organizzativo e di tipo fisico, predisposizione di sistemi di ripristino e recupero dei dati, adozione di codici di condotta o di altri meccanismi di certificazione.