Pubblicato il di SDF

Riflessioni in merito alla PIA

Riflessioni in merito alla valutazione d’impatto sulla protezione dei dati (PIA).

Il GDPR ci chiede di fare la valutazione d’impatto sulla protezione dei dati (conosciuta anche con gli acronimi PIA1 o DPIA2). Ma siamo sicuri di averne davvero compreso lo spirito?

In questo periodo noto un grande fermento attorno alla tematica della privacy, con molti articoli che spiegano cose che ormai rasentano la scontatezza.

Trovo pochi, pochissimi approfondimenti. Giusto per non dire che non ne trovo affatto. Gli unici contenuti sono le linee guida che qualche associazione zelante o ente pubblico competente ha avuto la pazienza di sviluppare e rendere pubbliche.

Per converso, social network come LinkedIn pullulano di post, scritti nei gruppi dedicati a specifici settori, in cui alcuni membri, che si presume siano professionisti esperti in quel campo, pongono domande anziché esporre il loro punto di vista.

Uno degli argomenti più gettonati e maggiormente abusati è, appunto, la valutazione d’impatto sui dati personali. C’è chi si chiede ancora se si debba chiamare “PIA” o “DPIA”, chi si pone l’annoso problema su chi debba effettuarla, chi domanda quando va fatta. Domande più che legittime, a cui poche risposte suonano in modo sensibilmente differente da quanto una qualsiasi persona di buon senso potrebbe arrivare a concepire se solamente leggesse  – e capisse cosa ha letto – il GDPR.

Molte risposte si limitano a dire che la PIA deve essere fatta solo quando ci sono rischi elevati per i diritti e le libertà delle persone fisiche.

Allora la domanda più logica, che verrebbe in mente a un incompetente, è: cioè? Quali sono questi rischi? E a questo punto, solitamente, arriva una seconda risposta che grossomodo è sintetizzabile con “i rischi sulla privacy: accesso non autorizzato, cancellazione o perdita del dato, modifica, divulgazione…”, ovvero quelli che siamo stati abituati a considerare, soprattutto in funzione degli standard in materia di sicurezza informatica.

NO!

I rischi per i diritti e le libertà delle persone fisiche non sono (solo) quelli.

Non è il caso di elencarli qui di seguito, ma invito i lettori a riflettere su questi due esempi concreti.

Il primo esempio riguarda i trattamenti effettuati durante le elezioni (se qualcuno è convinto che non ne vengano fatti, gli consiglio caldamente di procedere nella lettura). Cosa accadrebbe all’intera comunità identificata nella Repubblica Italiana se qualcuno si prendesse la briga di non trattare come previsto i dati personali nei seggi elettorali?

Vi ricordo che:

  • Al momento del controllo dell’identità si effettuano almeno l’acquisizione e il confronto dei dati indicati sul documento d’identità, sulla tessera elettorale e sul registro del seggio; e che
  • Fintanto che la scheda elettorale compilata rimane nelle mani dell’elettore è un dato sensibile.

Non veniamo a raccontarci la favola che non esiste il rischio che qualcuno voti più volte o faccia vedere a qualcun altro cosa ha votato.

Il secondo esempio lo riporto testualmente da un articolo pubblicato sul sito del quotidiano torinese La Stampa, il 3 marzo3, in cui praticamente si racconta la storia di due gemelli che per l’ordinamento giuridico italiano non esistono e non possono acquisire diritti personali, né fondamentali, né di alcun altro tipo:

Un ufficio del Comune di Torino ha negato la trascrizione dell’atto di nascita di due gemelli nati in Canada da una coppia di uomini con il sistema della gestazione per altri: l’atto era già stato trascritto per il padre biologico e non è stato esteso all’altro genitore. Palazzo Civico precisa che «le indicazioni date agli uffici erano di eseguire la trascrizione senza indugio. È una questione tecnica che affronteremo e risolveremo». Uno dei motivi del diniego, secondo quanto si è appreso, si richiama alla legge 40 sulla procreazione assistita, che vieta la surrogazione di maternità (permessa in Canada).

«Si tratta – viene spiegato – di una questione puramente tecnica a cui si sta cercando di porre rimedio sia per questo caso, sul quale stiamo lavorando per rimettervi mano, sia per il futuro».

L’amministrazione spiega anche che «non appena si è avuto sentore di casi simili, la Città ha presentato una interrogazione al ministero dell’Interno e allAnusca, l’associazione degli stati civili e anagrafi». «Inoltre – aggiungono – si sta valutando la possibilità di intraprendere una costituzione di parte civile a fianco delle coppie che richiedono il riconoscimento dei figli per far sì che le decisioni dei tribunali valgano anche per gli uffici comunali. Stiamo valutando tutte le strade possibili per risolvere questa problematica tecnica».

  1. Privacy Impact Assessment
  2. Data Protection Impact Assessment
  3. Così come risulta a seguito della modifica delle ore 16:09 del 03/03/2018.