La valutazione d’impatto sulla protezione dei dati alla luce delle Linee Guida dell’EDPB sulla data protection by design and by default

La valutazione d’impatto sulla protezione dei dati alla luce delle Linee Guida dell’EDPB sulla data protection by design and by default

di Matteo Leffi, Jacopo Meneghin, Giulio Vecchi, Adriano D’Ottavio - Privacy e cybersecurity

Abstract

L’articolo muove dalla pubblicazione, in data 13 novembre 2019, di una versione sottoposta a consultazione pubblica delle Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, (“Linee Guida”) da parte dello European Data Protection Board.
L’attuale versione delle Linee Guida sembra tuttavia lasciare aperto il problema del rapporto tra lo strumento della valutazione di impatto e differenti valutazioni di rischio da svolgersi in ossequio ai principi di DPbDD.
Il presente articolo si propone di affrontare tale apparente ambiguità, proponendo una lettura delle Linee Guida alla luce del principio di accountability.


Introduzione

In data 13 novembre 2019, il Comitato europeo per la protezione dei dati (“European Data Protection Board” o, secondo l’acronimo anglosassone “EDPB”) ha sottoposto a consultazione pubblica le Guidelines 4/2019 on Article 25 Data Protection by Design and by Default (“Linee Guida”), che approfondiscono gli obblighi fissati dall’articolo 25 del Regolamento (UE) 2016/679 (“GDPR” o “Regolamento”), per quanto concerne il rispetto dei principi della data protection by design and by default (“DPbDD”). [1]

Con il GDPR il legislatore europeo ha inteso adottare, con riferimento alla protezione dei dati personali, un approccio orientato al rischio. Il titolare del trattamento è quindi generalmente chiamato ad effettuare un’analisi dei rischi che un determinato trattamento di dati personali possa comportare con riferimento ai diritti e alle libertà degli individui – rischio che può, dunque, riguardare tanto il diritto alla privacy e alla protezione dei dati personali, quanto gli eventuali effetti che possano concretamente prodursi su altri diritti fondamentali e interessi degli individui.

In relazione al contesto e alle esigenze di volta in volta interessate, il titolare deve inoltre essere in grado (i) di valutare (e aggiornare nel tempo tale valutazione) i rischi inerenti al trattamento e provenienti tanto da fonti interne quanto da fonti esterne, avendo riguardo a ciascun sistema, servizio, prodotto o processo, nonché, alla luce del ben noto principio di accountability, (ii) di documentare tale valutazione.

Ebbene, le Linee Guida chiariscono come tale approccio risk-based debba intendersi in modo sistematico, operando trasversalmente con riferimento al contenuto di diverse previsioni di dettaglio (inclusi gli articoli 24, 25, 32 e 35 del Regolamento) e rimanendo coerente quanto ai rischi da considerare, all’oggetto della tutela, alle condizioni e ai criteri alla luce dei quali i rischi devono valutarsi. [2]

Da ciò discende la rilevanza delle indicazioni contenute nelle Linee Guida con riguardo alla DPbDD anche in relazione all’obbligo di valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR (“DPIA”). In perfetta ottica DPbDD, lo svolgimento del DPIA (nei casi in cui esso si configura, effettivamente, come un obbligo di legge) costituisce manifestazione essenziale dell’accountability del titolare del trattamento. Se effettuato, il DPIA permette di dimostrare l’effettiva compliance non solo all’art. 35 del GDPR, ma anche e soprattutto agli obblighi in materia di protezione dei dati personali con riferimento ai trattamenti sottoposti al processo valutativo. Il DPIA risulta infatti essere uno dei principali strumenti per lo sviluppo di nuovi processi, prodotti o servizi in ossequio ai principi del GDPR, nonché per consentire al titolare di valutare compiutamente tutte le implicazioni in punto di data protection, prima che il trattamento di dati venga posto in essere.

 

Analisi delle indicazioni rilevanti delle Linee Guida con riferimento al DPIA

Le Linee Guida hanno lo scopo di fornire chiarimenti e indicazioni di natura pratica sul significato della DPbDD e sulla relativa declinazione nel contesto dei principi di protezione dei dati di cui all’articolo 5, paragrafo 1, del GDPR, elaborando una puntuale analisi dell’articolo 25 GDPR.

In questo senso, le Linee Guida elencano gli elementi chiave per implementare efficacemente la DPbDD, indicando altresì alcuni utili casi pratici per concretizzarne il portato sostanziale. L’EDPB affronta, inoltre, la possibilità per i titolari del trattamento di ricorrere a un meccanismo di certificazione per dimostrare la conformità all’articolo 25 del GDPR, senza che ciò valga peraltro a escludere la necessità di una valutazione autonoma, da parte delle autorità di controllo, sul rispetto della DPbDD. Infine, sebbene le Linee Guida siano formalmente rivolte ai titolari del trattamento, esse riconoscono esplicitamente i responsabili del trattamento e i technology providers quali figure chiave per implementare la DPbDD, introducendo dunque talune raccomandazioni su come questi soggetti possano a tal fine cooperare.

Si è detto come alla base della privacy by design vi sia la necessità di configurare ogni trattamento di dati mettendo in atto, fin dall’inizio dello stesso, adeguate misure tecniche e organizzative e le necessarie garanzie, tenendo conto del contesto complessivo in cui il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

L’articolo 25 GDPR fornisce, pertanto, a una serie di elementi che il titolare deve tenere in considerazione nell’adottare misure tecniche e organizzative adeguate a ciascun processo produttivo od organizzativo.

 

La natura, l’ambito, il contesto e le finalità del trattamento

Nel determinare le misure tecniche e organizzative adeguate a garanzia della protezione dei diritti e delle libertà degli interessati, i titolari devono prendere in considerazione taluni fattori espressamente individuati dal legislatore europeo, quali la natura, l’ambito di applicazione, il contesto e le finalità del trattamento.

A tal riguardo, le Linee Guida forniscono delle definizioni per ciascuno di questi fattori: la natura, che consiste nelle caratteristiche insite del trattamento; l’ambito di applicazione, che attiene alla dimensione e alla portata del trattamento; il contesto, ossia le circostanze che possono influenzare le aspettative dell’interessato; le finalità del trattamento, che riguardano gli obiettivi prefissati dall’organizzazione. [3]

Tali fattori rilevano, secondo le Linee Guida, anche ai sensi dell’articolo 35 del Regolamento, ai fini della decisione del titolare circa la necessità di procedere a una valutazione d’impatto sulla protezione dei dati.

 

Misure previste per minimizzare i rischi

Ulteriore elemento chiave nella determinazione di misure tecniche e organizzative adeguate è la valutazione dei “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento” (articolo 25, paragrafo 1).

Le Linee Guida forniscono alcuni esempi di misure tecniche e organizzative volte a mitigare tali rischi e a garantire i diritti e le libertà degli interessati, nonché esempi di strumenti di valutazione e documentazione dell’efficacia di tali misure. Fra questi, il titolare può identificare dei c.d. KPI (“Key Performance Indicators”) per documentare il livello di compliance, nonché, per dimostrare l’efficacia delle misure individuate. Tali indicatori di performance possono includere, tra le altre cose, metriche qualitative (quali a titolo esemplificativo valutazioni delle prestazioni, uso di scale di valutazione o analisi di esperti) ovvero quantitative (quali a titolo esemplificativo la riduzione dei reclami e la riduzione dei tempi di risposta alle richieste di esercizio dei diritti degli interessati). In alternativa, i titolari possono fornire le ragioni alla base della propria valutazione circa l’efficacia delle misure scelte. [4]

In questo contesto di valutazione ex ante del rischio e della relativa protezione del dato personale rispetto all’implementazione del processo o alla creazione del prodotto o del servizio, si inserisce potenzialmente, come strumento funzionale, il DPIA. A riprova della coerenza dell’approccio orientato al rischio, l’EDPB richiama le “Guidelines on Data Protection Impact Assessment (DPIA)” [5] del Gruppo Articolo 29 quale documento a cui è possibile fare riferimento per i profili di valutazione del rischio.

Non solo, le Linee Guida si spingono fino a prevedere che i titolari debbano sempre effettuare una valutazione dei rischi relativi ai dati personali per l’attività di trattamento considerata [6]. Formulazione, questa, che, come si vedrà nel seguito, genera non poche perplessità quanto al suo portato pratico.

 

Sul rapporto tra i principi di data protection by design e by default e gli obblighi di valutazione d’impatto sulla protezione dei dati personali

Ed infatti, stante la formulazione dei paragrafi 30 e 31 [7], le Linee Guida sembrerebbero suggerire un obbligo per i titolari del trattamento di dover sempre effettuare una valutazione dei rischi richiesta dall’articolo 35 del GDPR, così riducendo rischiosamente le distanze nel rapporto tra il DPIA e le valutazioni di rischio che il titolare deve effettuare in ossequio ai principi della DPbDD.

Sulla scorta di un’interpretazione letterale del GDPR, il DPIA potrebbe essere inteso come uno strumento da utilizzarsi nella declinazione pratica degli anzidetti principi: obbligatoriamente nel caso di trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone (articolo 35, paragrafo 1); facoltativamente in tutti gli altri casi.

Come rilevato da diversi stakeholder nell’ambito dei feedback forniti in sede di consultazione pubblica [8], l’attuale versione delle Linee Guida sembrerebbe tuttavia andare oltre il dato letterale del GDPR. In particolare, secondo tali letture, le Linee Guida finirebbero per imporre, in capo al titolare e in applicazione dei principi della DPbDD, degli obblighi di valutazione del rischio sempre validi, finendo così per rendere non del tutto definito il confine tra le attività di trattamento che richiedono una preventiva valutazione ai sensi dell’articolo 35 GDPR e i casi in cui tale norma non troverebbe applicazione.

Se accolta, una siffatta interpretazione – che pare comportare un corrispondente indebolimento dell’approccio risk-based – sarebbe certamente foriera di rilevanti implicazioni pratiche per tutti i titolari, potenzialmente chiamati alla conduzione di DPIA e alla necessaria minimizzazione del rischio (non solo e non sempre elevato) con riferimento a qualsiasi operazione di trattamento. In questo senso, non sono mancati gli stakeholder che hanno posto l’accento sulle ripercussioni in termini di sovraccarico degli oneri posti in capo al titolare e del relativo dispendio di impegno e risorse già in una fase preventiva rispetto al trattamento [9].

A parere di chi scrive, non sussistono dubbi circa le differenze che intercorrono tra le valutazioni di rischio richieste ai sensi dell’articolo 35 GDPR e quelle richieste in conformità agli obblighi di privacy by design ex articolo 25, soprattutto in considerazione del contesto normativo di riferimento e del contenuto sostanziale degli obblighi che ciascuna delle due disposizioni richiamate impone. Diversità che si manifestano chiaramente con riferimento alla precipua funzione che l’analisi del rischio riveste in ciascuno dei due contesti richiamati, ma che, al tempo stesso, si amplificano in relazione alle conseguenze pratiche in caso di eventuali verifiche da parte delle autorità di controllo.

Per quanto autorevoli autorità di controllo abbiano avuto modo di manifestare, nell’ambito delle proprie indicazioni, che la conduzione di DPIA in relazione a trattamenti che non presentino “rischi elevati” sia una buona prassi [10], tale pratica non può tuttavia assurgere ad obbligo del titolare, poiché in esplicito contrasto con il contenuto prescrittivo dell’articolo 35 del Regolamento. Vi è infatti una sostanziale differenza tra l’affermare che l’adozione di processi e cautele “qualificati” (quali sono quelli connessi al DPIA), anche in relazione a trattamenti per i quali non è previsto un obbligo in tal senso, sia vista con favore e sostenere che tali processi e cautele debbano essere invece adottati senz’altro, anche in assenza dei requisiti previsti dalla normativa.

È il principio di responsabilizzazione, uno degli elementi centrali e maggiormente innovativi del Regolamento rispetto alla normativa previgente, a soccorrere nella risoluzione dell’apparente antinomia, fungendo da cerniera tra le diverse declinazioni della valutazione del rischio. Se non v’è dubbio che le autorità di controllo possano (e debbano) contestare al titolare la mancata esecuzione di un DPIA in uno dei casi previsti dall’articolo 35 del Regolamento (ivi inclusi quelli individuati dalle stesse autorità nazionali ai sensi del paragrafo 4 del medesimo articolo), non è tuttavia ipotizzabile che le stesse autorità possano estendere il loro sindacato fino a censurare la decisione di un titolare di non eseguire una valutazione del rischio con le modalità del DPIA, ove non ne ricorrano i presupposti di fatto. In quest’ultimo caso, infatti, la decisione di eseguire o meno un DPIA è rimessa integralmente al titolare in ossequio al principio di responsabilizzazione, con la conseguenza che l’erosione per via interpretativa di tale perimetro di autonoma valutazione del titolare finirebbe, essa sì, per svuotare di fatto il principio suddetto di ogni significato concreto.

Resta inteso che quanto precede non vale in ogni caso ad esimere il titolare dal rispetto di ogni diverso obbligo di valutazione del rischio in applicazione dei principi della DPbDD.

In attesa di conoscere il testo definitivo delle Linee Guida che sarà adottato all’esito della consultazione pubblica, resta in ogni caso auspicabile che l’EDPB possa cogliere l’occasione e gli spunti derivanti dagli stakeholder per fare maggiore chiarezza con riferimento al rapporto tra DPIA e DPbDD.


Note

  1.  In particolare, da un lato il principio di privacy by design impone di prendere in considerazione la protezione dei dati personali fin dalla fase di progettazione di qualsiasi sistema, servizio, prodotto o processo, nonché durante tutto il suo ciclo di vita. Dall’altro lato, il principio di privacy by default richiede che ogni organizzazione che tratta dati personali si assicuri di trattare solo i dati necessari al raggiungimento delle specifiche finalità perseguite, ricollegandosi dunque ad altri principi fondamentali del GDPR, quali la minimizzazione dei dati e la limitazione delle finalità di trattamento.
  2. Paragrafo 28 (Linee Guida)
  3. Paragrafo 27 (Linee Guida)
  4. Paragrafo 16 (Linee Guida)
  5. “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679 – WP 248 rev.01, 4 ottobre 2017. La versione in lingua italiana del documento è accessibile su Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01)
  6. “Therefore, controllers […] must always carry out an assessment of data protection risks for the processing activity at hand and verify the effectiveness of the measures and safeguards proposed” (Paragrafo 31 Linee Guida).
  7. “30. The “EDPB Guidelines on Data Protection Impact Assessment (DPIA)”,8 which focus on determining whether a processing operation is likely to result in a high risk or not, also provide guidance on how to assess data protection risks and how to carry out a data protection risk assessment. These Guidelines may also be useful during the risk assessment in all the Articles mentioned above, including Article 25.”. “31. The risk based approach does not exclude the use of baselines, best practices and standards. These might provide a useful toolbox for controllers to tackle similar risks in similar situations (nature, scope, context and purpose of processing). Nevertheless, the obligation in Article 25 (as well as Articles 24, 32 and 35(7)(c) GDPR) to take into account “risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing” remains. Therefore, controllers, although supported by such tools, must always carry out an assessment of data protection risks for the processing activity at hand and verify the effectiveness of the measures and safeguards proposed”.
  8. In questo senso concludono ad esempio, seppure con diverse sfumature, la European Banking Federation e la Norvegian Tax Administration.
  9. In questo senso si è espresso, ad esempio, il Luxembourgish National GDPR Working Group for Research.
  10. In questo senso si è espresso, ad esempio, l’Information Commissioner’s Office britannico.
Torna in cima