La valutazione d’impatto sulla privacy

Il GDPR costituisce la normativa di riferimento più recente in materia di protezione dei dati personali: esso nasce dall’esigenza di garantire una maggiore armonizzazione e comprensione della disciplina riguardante il trattamento dei dati personali delle persone fisiche.

77

Il GDPR è una risposta all’eccezionale sviluppo tecnologico che si sta realizzando attualmente: nel settore bancario infatti, l’ampliamento dei canali attraverso cui offrire prodotti e servizi ha comportato una crescita del numero e della frequenza con cui avvengono fenomeni di violazione dei dati personali dei clienti.

Il GDPR rivoluziona quindi l’approccio ai temi della sicurezza dei dati personali e della privacy, e ciò ha richiesto alle banche di apportare cambiamenti sostanziali nelle modalità di gestione della privacy. L’adeguamento alle nuove disposizioni sulla protezione dei dati personali dovrà avvenire piuttosto rapidamente, dato che il Regolamento diventerà pienamente efficace in tutti gli Stati membri il 25 Maggio 2018.

Una delle principali novità introdotte dal nuovo Regolamento Europeo sulla protezione dei dati (GDPR) è rappresentata dalla cosiddetta “valutazione d’impatto sulla privacy”. A tale processo è dedicato l’art.35 del Regolamento, che obbliga il titolare preposto al trattamento dei dati personali ad effettuare una preventiva stima dell’impatto potenziale che il trattamento stesso può avere nei confronti dei soggetti interessati, cioè degli individui a cui i dati personali si riferiscono75.

La valutazione d’impatto sulla privacy costituisce un elemento di grande importanza, in quanto tramite essa si accresce la consapevolezza dei titolari riguardo ai trattamenti da questi eseguiti: questo approccio è coerente con l’art.24 del GDPR, che, introducendo il principio della responsabilizzazione del titolare, dispone che quest’ultimo debba mettere in atto misure tecniche e organizzative adeguate in modo da garantire e dimostrare che il trattamento venga effettuato in conformità al Regolamento.

Dalla lettura della norma si evince che uno dei principi su cui si fonda il Regolamento è quello dell’accountability, ossia della responsabilizzazione del titolare del trattamento nei confronti dei dati che egli intende utilizzare. Si tratta di una novità nell’ambito della regolamentazione sul tema della privacy, poiché mentre in passato le responsabilità in capo al titolare erano limitate, oggi si vuole garantire una maggiore consapevolezza nel processo di trattamento dei dati personali, al fine di tutelare i diritti degli interessati e incentivare il titolare del trattamento ad operare in conformità a quanto disposto dalle nuove regole sulla privacy.

Le linee guida riguardanti la valutazione d’impatto sulla protezione dei dati chiariscono tutti i punti chiave dell’art.35 del GDPR, specificando chi è il soggetto obbligato a condurre la valutazione, le situazioni in cui si rende obbligatoria la valutazione d’impatto,

78

quando invece non è richiesta, in quale fase del trattamento deve essere effettuata, il contenuto della valutazione76_.

In particolare, l’art.35 del GDPR dispone che la valutazione d’impatto sulla privacy è obbligatoria nei casi in cui il trattamento dei dati personali “può presentare un rischio

elevato per i diritti e le libertà delle persone fisiche”. La norma prevede dunque

l’obbligatorietà della valutazione d’impatto quando il trattamento può violare alcuni diritti e libertà fondamentali, ad esempio il diritto al rispetto della vita privata, la libertà di pensiero, di coscienza, di religione, di espressione, etc77.

L’art.35 precisa che tale rischio si presenta soprattutto quando il trattamento dei dati personali prevede l’utilizzo di “nuove tecnologie”. Il riferimento alla tecnologia mette in evidenza il legame che sussiste tra la digitalizzazione e i rischi legati alla privacy: in particolare, la norma fa emergere una relazione direttamente proporzionale tra i due elementi, facendo presupporre che all’aumentare dell’utilizzo della tecnologia nel trattamento dei dati personali aumentano anche i rischi legati alla privacy, compromettendo così la tutela dei soggetti interessati.

Il comma 3 dell’art.35 specifica quali sono i casi in cui la valutazione d’impatto è necessaria, ossia quando il trattamento può compromettere i diritti e le libertà delle persone fisiche: non è escluso che possano sussistere dei casi di trattamento di dati personali che non rientrano nelle casistiche dell’elenco contenuto nell’art.35, ma che presentano comunque dei rischi elevati.

In ambito bancario un esempio di trattamento che richiede necessariamente una valutazione d’impatto sulla privacy è contenuto nelle Linee guida del gruppo di lavoro articolo 29: esse citano il caso di un istituto di credito che crea una banca dati antifrode e di gestione del rating del credito a livello nazionale78.

Come mostrato nella tabella delle Linee guida, l’esempio in questione soddisfa i requisiti richiesti per l’obbligatorietà della valutazione d’impatto: infatti, il trattamento prevede

76 _{Gruppo di lavoro articolo 29 per la protezione dei dati, “Linee guida in materia di valutazione d’impatto}

sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679”, Ottobre 2017.

77 _{Consiglio d’Europa, “Convenzione Europea per la salvaguardia dei diritti dell’uomo e delle libertà}

fondamentali”, Novembre 1950.

78 _{Gruppo di lavoro articolo 29 per la protezione dei dati, “Linee guida in materia di valutazione d’impatto}

sulla protezione dei dati e determinazione della possibilità che il trattamento «possa presentare un rischio elevato» ai fini del regolamento (UE) 2016/679”, Ottobre 2017, pag.13.

79

una profilazione, ossia un processo di raccolta di informazioni volte a creare un “profilo” del soggetto sul quale vi sono sospetti fondati di frode79_.

Inoltre, si tratta di un processo decisionale automatizzato che ha un effetto giuridico poiché esso comporta una sorta di “discriminazione” nei confronti dei soggetti inclusi nel database anti-frode.

Tale esempio soddisfa anche il criterio dell’ostacolo all’esercizio di un servizio o di un contratto: in questo caso, infatti, se durante il processo di valutazione del merito creditizio una banca considera un cliente come inaffidabile, quest’ultimo non potrà accedere al servizio di prestito fornito dall’istituto bancario.

Infine, l’esempio fornito dalle Linee guida soddisfa il criterio dell’utilizzo di dati sensibili o aventi carattere altamente personale, in quanto nell’ambito della creazione di un database relativo alle frodi vengono esaminati i dati sensibili del soggetto “schedato”. Per quanto riguarda la collocazione temporale della valutazione d’impatto, l’art.35 del Regolamento precisa che essa deve essere effettuata ex-ante, vale a dire “prima di

procedere al trattamento”. Ciò è coerente con l’obiettivo insito nel processo, ossia la

stima degli effetti potenziali del trattamento sulla privacy dei soggetti coinvolti.

Il comma 11 dell’art.35 prevede che la valutazione d’impatto sulla privacy debba essere sottoposta da parte del titolare del trattamento ad un aggiornamento periodico, in modo da poter verificare la conformità delle operazioni del trattamento alla valutazione d’impatto effettuata prima dell’inizio del trattamento dei dati personali80_.

L’art.35 del GDPR fornisce precise indicazioni su chi debba essere il soggetto deputato a svolgere la valutazione d’impatto sulla privacy. Nel comma 1 si legge infatti che spetta al titolare del trattamento effettuare la valutazione: dunque è lui il soggetto “responsabile” del processo81.

Il successivo comma 2 fa un’ulteriore precisazione a riguardo, asserendo che quando il titolare del trattamento è chiamato a svolgere una valutazione d’impatto sulla privacy, egli deve consultarsi “con il responsabile della protezione dei dati, qualora ne sia

designato uno”.

79 _{La profilazione è definita nell’art.4 del GDPR come “qualsiasi forma di trattamento automatizzato di}

dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi ad una persona fisica”.

80 _{La norma precisa che la revisione della stima dell’impatto sulla privacy dovrebbe essere svolta quando}

vengono rilevati dei cambiamenti nella rischiosità delle attività relative al trattamento dei dati.

81 _{Ancora una volta si può cogliere il riferimento al principio di responsabilizzazione (accountability),}

80

L’art.35 del GDPR evidenzia il contenuto “minimo” della valutazione d’impatto, ovvero le informazioni essenziali che devono essere presenti in essa. Nel comma 7 si legge che la valutazione deve contenere almeno:

“a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento; b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;

d) le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”.

Anche l’art.36 del Regolamento si occupa della valutazione d’impatto, trattando della consultazione preventiva dell’autorità di controllo: in particolare, il comma 1 prescrive che il titolare del trattamento debba consultare l’autorità di controllo ogni qualvolta la valutazione d’impatto mostri un rischio elevato del trattamento, e soprattutto quando il titolare non riesca ad adottare soluzioni adeguate per mitigare il livello di tale rischio.