I mercoledì della privacy: analisi dei rischi e valutazione di impatto, quando non basta la prima e urge la seconda

L’articolo 24 del Regolamento Ue 16/679 rubricato «Responsabilità del titolare del trattamento» dispone che «tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario».

La dimostrazione richiesta dal Garante, rientrante nel novero dell’accountability, ha proprio l’obiettivo di consentire al titolare del trattamento di valutare i rischi al fine di mettere in atto misure adeguate per poter ottemperare al rispetto dell’intera normativa sulla tutela dei dati personali. Sul punto, occorre prendere in considerazione l’articolo 32 del Gdpr, rubricato «Sicurezza del trattamento» che così recita:

1) «Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio»;

2) «Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati».

Poste queste considerazioni, l’analisi dei rischi mira ad esaminare lo stato dell’arte dello studio professionale al fine di individuare i rischi, classificarli e, seguendo il principio dell’accountability, identificare le situazioni nelle quali intervenire per tutelare i diritti e le libertà delle persone. Seguendo il percorso del processo Plan-Do-Check-Act (pianificare, agire, verificare e intervenire periodicamente) e andando così a mitigare i rischi in capo ai diritti e alle libertà delle persone.

In alcune situazioni, invece, l’analisi dei rischi non è più sufficiente e, a detta del Regolamento europeo 16/679, occorre fare un passaggio ulteriore. Stiamo parlando del caso in cui lo studio di amministrazione si trovi a dover analizzare uno o più trattamenti laddove questi prevedano «l’uso di nuove tecnologie». In questi frangenti, ci dice l’articolo 35 Gdpr, deve effettuarsi un esame più approfondito che tenga conto di una serie di considerazioni sui trattamenti da effettuare: «considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi».

Siamo nella fattispecie della «valutazione d’impatto privacy». La norma si riferisce ai trattamenti su larga scala e, nel caso del condominio, la situazione si potrebbe presentare in caso di videosorveglianza che riprenda aree di pubblico transito, in genere non consentita, fatto salvo valutazione di impatto che la ritenga possibile. Leggendo il punto 7 della norma in questione, la valutazione contiene almeno:

a) «una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento»;

b) «una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità»;

c) «una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1»;

d) «le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione».

Eseguita la valutazione dei rischi, il titolare potrà poi decidere se effettuare quel trattamento in esame oppure, laddove rimangano dubbi sulla legittimità dello stesso a fronte del bilanciamento degli interessi rispetto ai diritti dei soggetti interessati a mantenere la riservatezza, può consultare l’Autorità di controllo competente per ottenere indicazioni su come gestire il rischio se non si ritiene in grado di mitigarlo a sufficienza. Inviata la richiesta di consultazione, l’Autorità non avrà il compito di autorizzare il trattamento ma di indicare misure eventualmente da implementare a cura del titolare. E potrà, anche se lo ritiene necessario, adottare le misure correttive ai sensi dell’articolo 58 Gdpr come l’ammonimento del titolare fino alla limitazione o al divieto di procedere allo stesso.