Belle le linee guida sulla PIA, ma… Non manca qualcosa?
Lo scorso autunno il Gruppo di lavoro sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali ha pubblicato le sue linee guida concernenti la valutazione d’impatto sulla protezione dei dati personali (PIA, privacy impact assessment) e i criteri per stabilire se un trattamento possa presentare un rischio elevato ai sensi del GDPR.
Che dire? Belle, scritte bene, piuttosto utili, con qualche spunto di riflessione e molti collegamenti non proprio espliciti, ma… Secondo me manca qualcosa.
Tra gli aspetti positivi c’è certamente quello di ripetere più d’una volta il concetto che la PIA è un processo continuativo e che deve essere completato e riproposto periodicamente e secondo le caratteristiche del contesto di riferimento.
Di positivo ci sono poi tutti i richiami a norme volontarie e a linee guida e suggerimenti già pubblicati da altri soggetti (per esempio ISO, ICO, CNIL…), il suggerimento di avvalersi di soggetti esperti nella gestione e nella valutazione dei rischi e il collegamento a un generale concetto di gestione della qualità.
Poi ci sono gli esempi e le tabelle che aiutano a inquadrare meglio il discorso, assieme alle immagini e i grafici.
Apprezzabile, a mio modo di vedere, il fatto che sia richiamato il registro dei trattamenti del titolare, poiché può costituire una buona base di partenza – se fatto bene – per procedere con la valutazione del rischio. Attenzione però: coinvolgere attivamente gli eventuali responsabili del trattamento (oltre ai DPO) è importante. E qui entrano in gioco gli accordi che vincolano i titolari e i responsabili, per rispondere alle esigenze che emergono in un’ottica di garanzia e responsabilità, di gestione dei rischi, di gestione della qualità.
Infine, ci sono addirittura i criteri per definire una PIA accettabile.
Eppure, lo ripeto, secondo me manca qualcosa. Sono migliorabili. E in quanto tali, se lette e applicate da persone inesperte, potrebbero comportare più danni che benefici.
L’inesperienza a cui mi riferisco non è tanto quella nel variegato mondo della protezione dei dati, quanto quella nello specifico mondo della gestione dei rischi, che non ha nulla a che vedere con gli aspetti legali o informatici, o con la compliance e gli audit, se non il fatto che questi ultimi due, se fatti male, rappresentano un rischio a cui non si dovrebbe rimanere indifferenti.
Le linee guida hanno il pregio di offrire una chiave di lettura orientata alla protezione dei dati personali – addirittura estendendone il concetto anche ad aspetti sociologici, etici e comunicativi e includendo anche il contenuto di agende, appunti e dati sensibili nel senso comune del termine – e di proporre almeno due nuovi diritti degli interessati – la loro consultazione (qui trovo che si avvicino molto ai concetti espressi con riguardo alle consultazioni dei rappresentanti sindacali o dei rappresentanti dei lavoratori per la sicurezza) e la definizione di un sottoinsieme costituito dai soggetti vulnerabili per i quali si dovrebbe avere un occhio di riguardo – ma trovo che siano piuttosto carenti nel definire effettivamente una strategia operativa standard che possa garantire almeno un livello minimo di adeguatezza nell’effettuazione del processo stesso. In primis per il fatto che partono dal presupposto che sia “facile” – o, almeno, non complesso – determinare se si sia o meno soggetti all’obbligo di condurre la PIA stessa.
Mi spiego meglio: nel diagramma di flusso, per come viene proposto (v. pag. 6 del testo in italiano), si parte chiedendosi se il trattamento possa comportare un rischio elevato; peccato che però non si faccia riferimento a come arrivare a tale conclusione. È come se mancasse tutta la fase di valutazione generale del rischio, al termine della quale, se si giunge alla conclusione che il rischio è basso o medio, si conviene che non sia necessario procedere alla PIA. Una sola lista di controllo che elenca i trattamenti esclusi e quelli inclusi, secondo me, non è sufficiente. È grossolano. È un errore madornale e da dilettanti. Non può essere considerato accountable, come direbbero gli anglofoni.
A queste linee guida, se il blocco di partenza del diagramma di flusso è il “punto 0”, manca il “punto -1”.
Forse, la più evidente mancanza di queste linee guida, è aver perso l’opportunità di consacrare una volta per tutte la protezione dei dati come aspetto strategico, tagliando i ponti con la scuola di pensiero che la vede ancora come adempimento burocratico che non apporta valore aggiunto.