DPIA: il Garante fornisce chiarimenti interpretativi

DPIA: il Garante fornisce chiarimenti interpretativi

Primo intervento del Garante privacy per semplificare l’applicazione dei dodici criteri secondo cui è necessario procedere con la DPIA.

Sono passati appena quattro mesi esatti dall’11 ottobre 2018, giorno in cui il Garante per la Protezione dei Dati Personali pubblicava, come allegato a un suo provvedimento, l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679, elenco che reca dodici casi tipo e che possono aiutare a determinare se sia o meno dovuta una DPIA nell’ambito della propria organizzazione.

La nota interpretativa.

Oggi, sul sito dell’Autorità, per rendere le cose più semplici e ridurre gli oneri a carico dei titolari del trattamento, è stato pubblicata una nota interpretativa che rende estremamente più circostanziati alcuni dei casi di cui sopra.

Dal sito, nella sezione dedicata alla DPIA, si legge che:

<<Si evidenzia come le espressioni trattamenti “sistematici” e “non occasionali” indicate nell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto di cui ai punti 6, 11 e 12 sono riconducibili al criterio della “larga scala” così come espressamente illustrato al quinto criterio del WP 248 (pag. 11):

“5. trattamento di dati su larga scala: il regolamento generale sulla protezione dei dati non definisce la nozione di “su larga scala”, tuttavia fornisce un orientamento in merito al considerando 91. A ogni modo, il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

  1. Il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  2. Il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  3. La durata, ovvero la persistenza, dell’attività di trattamento;
  4. La portata geografica dell’attività di trattamento;”

Si evidenzia inoltre che il termine “dati biometrici” di cui al punto 11 dell’Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto va inteso come “dati biometrici, trattati per identificare univocamente una persona fisica”>>.

Nello specifico i criteri la cui interpretazione è stata fornita dal Garante con la nota odierna, andrebbero riletti come segue:

  • Criterio n° 6: Trattamenti non occasionali e su larga scala di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
  • Criterio n° 11: Trattamenti sistematici e su larga scala di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
  • Criterio n° 12: Trattamenti sistematici e su larga scala di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Conseguenze per i commercialisti e gli esperti contabili.

Alla luce della nota interpretativa fornita dal Garante, si può affermare con ragionevole certezza che i criteri 11 e 12 continuino a non trovare applicazione per gli studi dei professionisti e dei lettori-tipo di Fiscal Focus.

Lo stesso, purtroppo, non è possibile affermarlo in modo assoluto per il criterio n° 6, la cui applicabilità dovrà essere, di volta in volta, valutata caso per caso. Si pensi, per esempio, a chi si trova a gestire la contabilità di una casa di cura; in questo caso, trovo sia presente la possibilità che si vadano a trattare in modo regolare e sistematico i dati (per esempio la regolarità nei pagamenti delle rette o delle prestazioni) dei cosiddetti “soggetti vulnerabili”.


Fonte: Fiscal Focus

Controllo a distanza dei lavoratori, privacy e INL

Controllo a distanza dei lavoratori, privacy e INL

Le novità e gli adempimenti da affrontare alla luce del nuovo contesto normativo

L’attività di telecontrollo dei lavoratori è uno degli aspetti maggiormente critici della vita di un’impresa. Sin dal 1970, con lo Statuto dei lavoratori, il Legislatore nazionale si è preoccupato di disciplinare l’argomento andando a definire, in particolare, gli obblighi dei datori di lavoro e i diritti dei lavoratori. Nel tempo, lo Statuto ha subìto numerose modificazioni ed è stato affiancato da altri testi normativi, in particolare quelli che trattano di protezione dei dati personali, di cui il Codice privacy e il GDPR sono la massima espressione in questo momento. Una doverosa premessa è che la legge considera eguali sia le attività volontariamente messe in atto per controllare, sia quelle che generano la mera possibilità di farlo. Questo è sicuramente un approccio prudenziale. L’art. 4 dello Statuto dei lavoratori, prevede che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”. L’oggetto della norma, quindi, è limitato agli strumenti e alla possibilità che avvenga il controllo a distanza, a prescindere che sia effettivamente messa in atto o meno; in questa frase, inoltre, vengono esplicitati gli unici presupposti di liceità del trattamento, qualora sia effettuato su base volontaria (per esempio, nei locali adibiti a sale per le videolottery, le telecamere DEVONO essere installate, perché previsto per legge) e viene posto il vincolo dell’accordo sindacale. “In mancanza di accordo”, prosegue l’art. 4, “gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro”. A onor del vero, l’articolo contiene anche altre indicazioni, ma non sono pertinenti in questa sede. Recentemente, il Ministero del Lavoro e delle Politiche Sociali ha definito i nuovi standard per procedere con l’inoltro dell’istanza di autorizzazione all’impiego di strumenti che permettono il controllo a distanza dei lavoratori (per esempio gli impianti di videosorveglianza o di rilevazione satellitare tramite rete GPS), pubblicando sul sito dell’Ispettorato Nazionale del Lavoro la modulistica da presentare per ottenerla. Compilare i campi richiesti è un’operazione semplice. L’insidia risiede in un dettaglio che, se ignorato, rischia di generare enormi ripercussioni sul piano amministrativo e penale. In tutti i moduli (videosorveglianza, GPS e “altri mezzi”), infatti, è presente una dichiarazione che il legale rappresentante presta come dichiarazione sostitutiva ai sensi dell’art. 46 del DPR 445/2000 e punita penalmente, in caso di mendacità, ai sensi del successivo art. 76, oltre che con la decadenza dai benefici eventualmente conseguenti al provvedimento emanato sulla base di una dichiarazione non veritiera. La dichiarazione, tra le altre cose, include due aspetti chiave:
  • Che si provvederà ad informare tutti i lavoratori, come previsto dallo Statuto dei lavoratori;
  • Che sarà rispettata la disciplina dettata dal GDPR.
I verbi sono al futuro perché l’autorizzazione dovrebbe essere richiesta prima di procedere e iniziare il trattamento dei dati, non successivamente. La parte complicata è fare in modo che il sistema di telecontrollo sia conforme ai dettami sulla privacy: compilare il modulo per l’istanza e scrivere le relazioni tecniche richieste non è assolutamente sufficiente, ed è doveroso procedere almeno con:
  • La conduzione di una valutazione d’impatto, focalizzata sul trattamento considerato (attenzione al coinvolgimento del Garante, nel caso risultassero rischi elevati per i diritti e le libertà delle persone);
  • La predisposizione di adeguate evidenze in materia di privacy by design e privacy by default, tra cui una certificazione da parte dell’eventuale installatore o manutentore;
  • Il censimento dell’attività nel registro dei trattamenti;
  • La predisposizione di specifiche informative;
  • La predisposizione di una procedura e di una politica interna che disciplinino specificamente l’argomento e che siano coerenti con gli altri documenti già presenti (per esempio il contratto collettivo, il regolamento interno o il codice disciplinare);
  • L’individuazione di persone autorizzate al trattamento, avendo cura di procedere contestualmente con la specificazione dei poteri operativi in caso si usino strumenti informatizzati (di amministratore di sistema o di utente).
Non essere conformi a quanto disposto dal GDPR, implica una non conformità anche sugli obblighi disposti dal Codice privacy e dallo Statuto dei lavoratori e, conseguentemente, pone il legale rappresentante nella posizione di rendere una dichiarazione non veritiera. Tutto ciò, comporta sanzioni di carattere amministrativo (per esempio ai sensi dell’art. 83 del GDPR) e penale (per esempio ai sensi dell’art. 76 del DPR 445/2000 e dall’art. 38 dello Statuto dei lavoratori).
Fonte: Fiscal Focus

Valutazione d’impatto sulla protezione dei dati: si può fare con il software CNIL, ma attenzione alle insidie

Valutazione d’impatto sulla protezione dei dati: si può fare con il software CNIL, ma attenzione alle insidie

Il Garante e la CNIL hanno collaborato alla creazione di un software apposta, che aiuta nella conduzione della valutazione

In un precedente articolo, dal titolo Garante privacy: quando e chi deve effettuare la valutazione di impatto, è stato illustrato cosa fosse la valutazione d’impatto sulla protezione dei dati, quando e chi dovesse farla obbligatoriamente secondo il provvedimento del Garante dell’11 ottobre 2018. 

La valutazione d’impatto (o data protection impact assessment, DPIA) deve comunque essere fatta quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche e dovrebbe contenere almeno:

a) Una descrizione dei trattamenti previsti e delle loro finalità; 
b) Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; 
c) Una valutazione dei rischi per i diritti e le libertà degli interessati; 
d) Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR;
e) Le opinioni del DPO e degli interessati.
Per aiutare i soggetti obbligati, il Garante ha collaborato con il suo omologo francese, la CNIL, nel preparare uno strumento informatico per condurre una valutazione d’impatto. Il tool si chiama PIA, è gratuito e disponibile sul portale web della CNIL ed è stato recentemente aggiornato. 

La valutazione guidata dal tool parte con la descrizione del contesto di riferimento, scrivendo una presentazione sintetica del trattamento e le responsabilità connesse e individuando gli standard applicabili allo stesso. In questo frangente si descrivono le categorie di dati trattati, il loro ciclo di vita e le risorse impiegate nel trattamento. 

Il passaggio successivo è descrivere i principii che sono applicati al trattamento in questione, con lo scopo di esaminare quelli di proporzionalità e necessità, in modo da individuare se gli scopi siano specifici, espliciti e legittimi, quali siano le basi giuridiche che legittimano il trattamento, se i dati siano adeguati, pertinenti e limitati a quanto necessario, se siano esatti e aggiornati e per quanto tempo siano conservati. Si esplicitano, inoltre, le misure poste a tutela dei diritti degli interessati. 

In seguito, si descrivono le misure di sicurezza e si identificano i rischi su tre direttrici: accesso illegittimo, modifiche indesiderate e perdita dei dati. In questa parte il software chiede di esprimere un giudizio qualitativo sulla probabilità del rischio e sulla sua gravità. 
Una volta inserite tutte queste informazioni, il tool permette di visualizzare in forma grafica una mappatura dei rischi in relazione agli impatti potenziali, alle minacce, alle fonti e alle misure di sicurezza e chiede di compilare un eventuale piano d’azione per il miglioramento e di inserire i pareri del DPO e degli interessati. 
Al termine, è richiesta la validazione della DPIA da parte del titolare o del responsabile. 

Pro

  • Semplicità di utilizzo;
  • Supporti con definizioni e guide;
  • Gratuità;
  • Compatibilità con vari sistemi operativi e integrabile nei propri server in modalità front-end e back end.

Contro

  • Limitazione alle categorie di rischio alle sole tre indicate (accesso illegittimo, modifiche indesiderate, perdita di dati) e focalizzazione sui rischi per i dati;
  • Non considerazione del fatto che i rischi da valutare sono sui diritti e le libertà delle persone fisiche;
  • Incompleta applicazione dell’approccio scientifico richiesto dalle norme ISO 29134 e ISO 31000, sulla valutazione d’impatto e sulla gestione dei rischi, in particolare nella definizione qualitativa della probabilità e della gravità del danno arrecato;
  • Mancata considerazione del fatto che non tutte le organizzazioni possono avere persone diverse come “autore”, “revisore” e “validatore” e che non tutte le organizzazioni hanno un DPO o la possibilità di interpellare gli interessati o le loro rappresentanze.

Attenzione!
Particolarmente significativo sarà il supporto del registro dei trattamenti e delle informative, due documenti che dovranno essere assolutamente coerenti con la DPIA, che sarà quindi un modo per effettuare anche una prima verifica della bontà e dell’adeguatezza dell’intero sistema di gestione. 
Infine, è necessario, se non doveroso, ricordare e sottolineare ancora una volta che: 

  • “Aiutare a condurre” una valutazione NON significa “effettuare” una valutazione. DPIA non valuta, ma permette di raccogliere le informazioni necessarie e le organizza in modo funzionale per il valutatore;
  • La valutazione la fa l’operatore, non il software;
  • Una “valutazione” non è una “misurazione”;
  • In molti ambiti la valutazione è un processo complesso che richiede competenze particolari e trasversali che non sempre sono nelle disponibilità di una sola persona e, perciò, è sempre un buon consiglio affidarsi, o almeno coinvolgere, a un consulente specializzato in protezione dei dati.


Fonte: Fiscal Focus

Protezione dei dati Vs Fisco. Quando si fanno i conti senza l’oste

Protezione dei dati Vs Fisco. Quando si fanno i conti senza l’oste

Il provvedimento contro l’Agenzia delle entrate sull’obbligo di fatturazione elettronica, del 15/11/2018, esplicita il ruolo del Garante Privacy e ci mostra che “la legge è uguale per tutti”

In questi giorni uno degli argomenti più discussi riguarda il provvedimento del Garante Privacy emesso contro l’Agenzia delle Entrate, relativo alla fatturazione elettronica, esercitando il suo potere di controllo preventivo e ponendosi come scudo a difesa dei cittadini. E facendo sì che sia tutto il sistema a guadagnarci.

Il provvedimento del 15 novembre arriva subito dopo l’ultimo atto del Direttore dell’Agenzia delle Entrate, del 5 novembre, che fa coppia con il precedente del 30 aprile. In entrambi i casi, l’agenzia ha adottato tali provvedimenti senza consultare il Garante, come previsto dalle norme.
Ulteriori criticità, poi, sono emerse in considerazione di altri elementi intrinsecamente legati alla fatturazione elettronica. Ecco i perché.

Obbligo di valutazione d’impatto

La fatturazione elettronica implica un trattamento sistematico di dati personali su larga scala, anche particolari, potenzialmente relativi ad ogni aspetto della vita quotidiana, e presenta un rischio elevato per i diritti e le libertà degli interessati. È chiaro che sussiste l’obbligo di valutazione d’impatto e, potenzialmente, di consultazione preventiva. Nulla di ciò è stato fatto.

Principio di proporzionalità ed eccedenza nel trattamento

L’Agenzia delle Entrate, oltre a rendere disponibile lo SDI per recapitare le fatture in qualità di “postino”, archivia sia i dati necessari ad assolvere gli obblighi fiscali (finalità legittima) che la fattura vera e propria in formato XML, che può contenere informazioni non necessarie a fini fiscali; detta presenza, pur contemplata nel provvedimento di aprile, non è tutelata da nessuna specifica misura volta ad assicurare il rispetto dei principi di limitazione della finalità, minimizzazione e riservatezza.

Altre criticità derivano dalla possibilità di accesso degli interessati a tutte le fatture elettroniche sul portale dell’Agenzia, nonostante il diritto di ottenerne una copia direttamente da chi l’ha emessa. In pratica si ha un ingiustificato incremento dei rischi per i diritti e le libertà di tutti i privati cittadini, insiti in un trattamento massivo e informatizzato di dati accessibili tramite un applicativo web.

Per tali motivi il Garante ritiene che siano violati i principi di protezione per impostazione predefinita e sin dalla progettazione del trattamento.

Il ruolo degli intermediari

Il Garante si è anche preoccupato della posizione, assai critica, degli intermediari, che ben poco possono fare, visto che l’intero trattamento deve essere eseguito nei modi e nei tempi decisi dall’Agenzia. Il pericolo maggiore è che, in caso di operatore economico persona fisica (professionista o ditta individuale), potrebbero essere consultate sia le fatture relative alla sfera professionale o imprenditoriale che quelle relative alla sfera privata. Ciò determinerebbe la concentrazione, soprattutto presso gli intermediari con maggior numero di clienti, di una mole enorme di informazioni che non si riscontrerebbe normalmente.

È facilmente intuibile che la presenza di simili banche dati sia un rischio elevato, il cui governo, da parte degli intermediari, potrebbe essere particolarmente oneroso, non solo in termini economici.

Altre criticità

Il Garante, inoltre, rileva che il protocollo FTP, base del sistema di comunicazione dello SDI, sia poco sicuro, e che nel trattamento gioca un ruolo fondamentale la PEC, che coinvolge implicitamente gli operatori di mercato che vendono il loro servizio di posta elettronica certificata: ciò significa che i dati personali contenuti delle fatture potrebbero (ragionevolmente) essere memorizzati sui server di gestione delle caselle PEC. Chi se ne assume la responsabilità?

Infine, il Garante ha criticato il servizio di conservazione messo gratuitamente a disposizione dalle Entrate, facendo notare che il contratto proposto prevede che “l’Agenzia non potrà essere ritenuta responsabile nei confronti del contribuente né nei confronti di altri soggetti, direttamente o indirettamente connessi o collegati con esso, per danni, diretti o indiretti, perdite di dati, violazione di diritti di terzi, ritardi, malfunzionamenti, interruzioni totali o parziali che si dovessero verificare in corso di esecuzione del servizio di conservazione”. In pratica l’Agenzia non si ritiene responsabile per la mancata applicazione del principio di integrità e riservatezza.

Conclusioni

Per tali motivi, il Garante ha doverosamente agito in difesa dei cittadini e dei loro intermediari, facendo notare che l’Agenzia ha operato al di fuori delle norme di riferimento, senza consultarlo e progettando e imponendo al mercato un sistema che viola in più punti i principi fondamentali della protezione dei dati, peraltro senza nemmeno volersene assumere le responsabilità. E se i dati non fossero disponibili per un malfunzionamento del sistema, chi ne risponderebbe? Il Garante ha praticamente chiarito che spetta all’Agenzia.

Ciò che è successo nei giorni scorsi, quindi, è facilmente sintetizzabile così: il Garante ha ricordato all’Agenzia che non può fare quello che le pare e che è bene che prima di giocare, conosca le regole del gioco. Dura lex, sed lex.


Fonte: Fiscal Focus

Riflessioni in merito alla PIA

Riflessioni in merito alla valutazione d’impatto sulla protezione dei dati (PIA).

Il GDPR ci chiede di fare la valutazione d’impatto sulla protezione dei dati (conosciuta anche con gli acronimi PIA1 o DPIA2). Ma siamo sicuri di averne davvero compreso lo spirito?

In questo periodo noto un grande fermento attorno alla tematica della privacy, con molti articoli che spiegano cose che ormai rasentano la scontatezza.

Trovo pochi, pochissimi approfondimenti. Giusto per non dire che non ne trovo affatto. Gli unici contenuti sono le linee guida che qualche associazione zelante o ente pubblico competente ha avuto la pazienza di sviluppare e rendere pubbliche.

Per converso, social network come LinkedIn pullulano di post, scritti nei gruppi dedicati a specifici settori, in cui alcuni membri, che si presume siano professionisti esperti in quel campo, pongono domande anziché esporre il loro punto di vista.

Uno degli argomenti più gettonati e maggiormente abusati è, appunto, la valutazione d’impatto sui dati personali. C’è chi si chiede ancora se si debba chiamare “PIA” o “DPIA”, chi si pone l’annoso problema su chi debba effettuarla, chi domanda quando va fatta. Domande più che legittime, a cui poche risposte suonano in modo sensibilmente differente da quanto una qualsiasi persona di buon senso potrebbe arrivare a concepire se solamente leggesse  – e capisse cosa ha letto – il GDPR.

Molte risposte si limitano a dire che la PIA deve essere fatta solo quando ci sono rischi elevati per i diritti e le libertà delle persone fisiche.

Allora la domanda più logica, che verrebbe in mente a un incompetente, è: cioè? Quali sono questi rischi? E a questo punto, solitamente, arriva una seconda risposta che grossomodo è sintetizzabile con “i rischi sulla privacy: accesso non autorizzato, cancellazione o perdita del dato, modifica, divulgazione…”, ovvero quelli che siamo stati abituati a considerare, soprattutto in funzione degli standard in materia di sicurezza informatica.

NO!

I rischi per i diritti e le libertà delle persone fisiche non sono (solo) quelli.

Non è il caso di elencarli qui di seguito, ma invito i lettori a riflettere su questi due esempi concreti.

Il primo esempio riguarda i trattamenti effettuati durante le elezioni (se qualcuno è convinto che non ne vengano fatti, gli consiglio caldamente di procedere nella lettura). Cosa accadrebbe all’intera comunità identificata nella Repubblica Italiana se qualcuno si prendesse la briga di non trattare come previsto i dati personali nei seggi elettorali?

Vi ricordo che:

  • Al momento del controllo dell’identità si effettuano almeno l’acquisizione e il confronto dei dati indicati sul documento d’identità, sulla tessera elettorale e sul registro del seggio; e che
  • Fintanto che la scheda elettorale compilata rimane nelle mani dell’elettore è un dato sensibile.

Non veniamo a raccontarci la favola che non esiste il rischio che qualcuno voti più volte o faccia vedere a qualcun altro cosa ha votato.

Il secondo esempio lo riporto testualmente da un articolo pubblicato sul sito del quotidiano torinese La Stampa, il 3 marzo3, in cui praticamente si racconta la storia di due gemelli che per l’ordinamento giuridico italiano non esistono e non possono acquisire diritti personali, né fondamentali, né di alcun altro tipo:

Un ufficio del Comune di Torino ha negato la trascrizione dell’atto di nascita di due gemelli nati in Canada da una coppia di uomini con il sistema della gestazione per altri: l’atto era già stato trascritto per il padre biologico e non è stato esteso all’altro genitore. Palazzo Civico precisa che «le indicazioni date agli uffici erano di eseguire la trascrizione senza indugio. È una questione tecnica che affronteremo e risolveremo». Uno dei motivi del diniego, secondo quanto si è appreso, si richiama alla legge 40 sulla procreazione assistita, che vieta la surrogazione di maternità (permessa in Canada).

«Si tratta – viene spiegato – di una questione puramente tecnica a cui si sta cercando di porre rimedio sia per questo caso, sul quale stiamo lavorando per rimettervi mano, sia per il futuro».

L’amministrazione spiega anche che «non appena si è avuto sentore di casi simili, la Città ha presentato una interrogazione al ministero dell’Interno e allAnusca, l’associazione degli stati civili e anagrafi». «Inoltre – aggiungono – si sta valutando la possibilità di intraprendere una costituzione di parte civile a fianco delle coppie che richiedono il riconoscimento dei figli per far sì che le decisioni dei tribunali valgano anche per gli uffici comunali. Stiamo valutando tutte le strade possibili per risolvere questa problematica tecnica».


  1. Privacy Impact Assessment
  2. Data Protection Impact Assessment
  3. Così come risulta a seguito della modifica delle ore 16:09 del 03/03/2018.

Belle le linee guida sulla PIA, ma… Non manca qualcosa?

Belle le linee guida sulla PIA, ma… Non manca qualcosa?

Lo scorso autunno il Gruppo di lavoro sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali ha pubblicato le sue linee guida concernenti la valutazione d’impatto sulla protezione dei dati personali (PIA, privacy impact assessment) e i criteri per stabilire se un trattamento possa presentare un rischio elevato ai sensi del GDPR.

Che dire? Belle, scritte bene, piuttosto utili, con qualche spunto di riflessione e molti collegamenti non proprio espliciti, ma… Secondo me manca qualcosa.

Tra gli aspetti positivi c’è certamente quello di ripetere più d’una volta il concetto che la PIA è un processo continuativo e che deve essere completato e riproposto periodicamente e secondo le caratteristiche del contesto di riferimento.

Di positivo ci sono poi tutti i richiami a norme volontarie e a linee guida e suggerimenti già pubblicati da altri soggetti (per esempio ISO, ICO, CNIL…), il suggerimento di avvalersi di soggetti esperti nella gestione e nella valutazione dei rischi e il collegamento a un generale concetto di gestione della qualità.

Poi ci sono gli esempi e le tabelle che aiutano a inquadrare meglio il discorso, assieme alle immagini e i grafici.

 Apprezzabile, a mio modo di vedere, il fatto che sia richiamato il registro dei trattamenti del titolare, poiché può costituire una buona base di partenza – se fatto bene – per procedere con la valutazione del rischio. Attenzione però: coinvolgere attivamente gli eventuali responsabili del trattamento (oltre ai DPO) è importante. E qui entrano in gioco gli accordi che vincolano i titolari e i responsabili, per rispondere alle esigenze che emergono in un’ottica di garanzia e responsabilità, di gestione dei rischi, di gestione della qualità.

Infine, ci sono addirittura i criteri per definire una PIA accettabile.

Eppure, lo ripeto, secondo me manca qualcosa. Sono migliorabili. E in quanto tali, se lette e applicate da persone inesperte, potrebbero comportare più danni che benefici.

L’inesperienza a cui mi riferisco non è tanto quella nel variegato mondo della protezione dei dati, quanto quella nello specifico mondo della gestione dei rischi, che non ha nulla a che vedere con gli aspetti legali o informatici, o con la compliance e gli audit, se non il fatto che questi ultimi due, se fatti male, rappresentano un rischio a cui non si dovrebbe rimanere indifferenti.

Le linee guida hanno il pregio di offrire una chiave di lettura orientata alla protezione dei dati personali – addirittura estendendone il concetto anche ad aspetti sociologici, etici e comunicativi e includendo anche il contenuto di agende, appunti e dati sensibili nel senso comune del termine – e di proporre almeno due nuovi diritti degli interessati – la loro consultazione (qui trovo che si avvicino molto ai concetti espressi con riguardo alle consultazioni dei rappresentanti sindacali o dei rappresentanti dei lavoratori per la sicurezza) e la definizione di un sottoinsieme costituito dai soggetti vulnerabili per i quali si dovrebbe avere un occhio di riguardo – ma trovo che siano piuttosto carenti nel definire effettivamente una strategia operativa standard che possa garantire almeno un livello minimo di adeguatezza nell’effettuazione del processo stesso. In primis per il fatto che partono dal presupposto che sia “facile” – o, almeno, non complesso – determinare se si sia o meno soggetti all’obbligo di condurre la PIA stessa.

Mi spiego meglio: nel diagramma di flusso, per come viene proposto (v. pag. 6 del testo in italiano), si parte chiedendosi se il trattamento possa comportare un rischio elevato; peccato che però non si faccia riferimento a come arrivare a tale conclusione. È come se mancasse tutta la fase di valutazione generale del rischio, al termine della quale, se si giunge alla conclusione che il rischio è basso o medio, si conviene che non sia necessario procedere alla PIA. Una sola lista di controllo che elenca i trattamenti esclusi e quelli inclusi, secondo me, non è sufficiente. È grossolano. È un errore madornale e da dilettanti. Non può essere considerato accountable, come direbbero gli anglofoni.

A queste linee guida, se il blocco di partenza del diagramma di flusso è il “punto 0”, manca il “punto -1”.

Forse, la più evidente mancanza di queste linee guida, è aver perso l’opportunità di consacrare una volta per tutte la protezione dei dati come aspetto strategico, tagliando i ponti con la scuola di pensiero che la vede ancora come adempimento burocratico che non apporta valore aggiunto.