La misurazione del rischio deve essere fatta da esperti e in maniera attenta e approfondita altrimenti meglio risparmiare i soldi per pagare le sanzioni
Abstract: Tante amministrazioni locali continuano a ignorare le norme realizzando a profusione impianti di videosorveglianza senza svolgere preventivamente e aggiornare costantemente la valutazione d’impatto, che può essere considerata il documento di omologazione e legittimità di qualsiasi sistema di ripresa. Alcuni enti sono convinti che il fine giustifichi i mezzi, altri invece, peggio dei primi, credono che basti acquistare un prodotto preconfezionato, credendo che basti averlo a prescindere da come sia realizzato e da chi, senza misurazioni oggettive e specifiche dettagliate, convinti dai venditori di aziende che, come i bazar cinesi, vendono un po’ di tutto per tutti, restando cineserie. Bisogna però ricordarsi che le sanzioni per le violazioni sulla privacy sono molto elevate e costituiscono danno erariale che colpisce le tasche degli sprovveduti.
Keywords: #valutazionedimpatto #valutazioneimpattoprotezionedati #dpia #riskmanagement #riskevaluation #privacy #protezionedatipersonali #garante #massimilianomancini #ethicasocietas #ethicasocietasrivista #rivistascientifica #scienzeumane #scienzesociali #ethicasocietasupli
NESSUN IMPIANTO DI VIDEOSORVEGLIANZA È LEGALE SENZA UNA SERIA DPIA
La valutazione d’impatto sulla protezione dei dati, nota anche con l’acronimo DPIA (Data Protection Impact Assessment) ha lo scopo di descrivere un trattamento di dati per valutarne la necessità, la proporzionalità, il rispetto di tutti i principi fondamentali del GDPR e misurarne il rischio con procedure e valori oggettivi.
È obbligatoria in tutti i casi in cui si adottino strumenti di videosorveglianza su aree pubbliche (art. 35 Reg. UE 2016/679 GDPR[1]) senza alcuna distinzione, che siano fissi, mobili, sistemi di misurazione della velocità o attraversamento del semaforo rosso, ztl, sistemi di lettura targhe, bodycam, droni, ecc. (EDPB Linee Guida 3/2019 punto 2 [2]), e deve essere realizzata prima che si proceda all’acquisto, all’installazione e all’attivazione in ossequio al principio della privacy by design (art. 35 Reg. UE 2016/679 GDPR[3]).
Nessun fine giustifica i mezzi e quindi in nessun caso si può derogare dalla DPIA perché come ha detto Guido Scorza, membro del Collegio del Garante per la Protezione dei Dati Personali, intervenendo in un nostro evento: “: «…lo Stato e il Governo non possono farsi canaglia per assicurare alla giustizia una canaglia.».
In tutti i casi in cui si ometta oppure non sia realizzata correttamente, la sanzione applicata dal Garante può arrivare sino a dieci milioni di euro (art.35 p.1 e art.83 p.4[4] Reg. UE 2016/679 GDPR).
CONTENUTO MINIMO DELLA DPIA SECONDO LE NORME
La DPIA è un processo più che un documento, oggetto di un lavoro specializzato svolto da esperti nella misurazione del rischio e costantemente aggiornato, che deve contenere almeno:
- descrizione e valutazione dettagliata di tutti i mezzi tecnologici e delle procedure del trattamento, la loro legittimità e la sicurezza (art. 35 p. 7 lett. a Reg. UE 2016/679 GDPR[5]);
- valutazione della necessità e della proporzionalità dei trattamenti in relazione alle finalità (art. 35 p. 7 lett. b Reg. UE 2016/679 GDPR[6]);
- valutazione e misurazione dei rischi per i diritti e le libertà degli interessati (art. 35 p. 7 lett. c Reg. UE 2016/679 GDPR[7]);
- le misure di gestione, mitigazione e prevenzione dei rischi, le procedure di sicurezza e i meccanismi per garantire la protezione dei dati personali (art. 35 p. 7 lett. d Reg. UE 2016/679 GDPR[8]).
Per la misurazione e rendere oggettive le valutazioni e le misurazioni, che devono indicare in valore numerico il rischio indicando i parametri di calcolo, si utilizzano le procedure internazionali UNI EN ISO 31000.
GLI ADEMPIMENTI FORMALI CHE NON SALVANO DALLE SANZIONI
Quindi non basta avere un documento qualsiasi, fatto da chiunque o, peggio ancora, dal DPO che è sempre incompetente poiché, essendo organo di controllo (art. 39 p. 1 lett. c Reg. UE 2016/679[9]), è in evidente conflitto d’interesse trovandosi ad essere controllore e controllato.
Non si è in regola e non si evitano le sanzioni se si acquistare un prodotto preconfezionato prescindendo da come sia realizzato e da chi, omettendo di verificare se abbia misurazioni oggettive e specifiche dettagliate delle quali risponde il titolare del trattamento, gabbati dai venditori di aziende che, come nei bazar cinesi, vendono un po’ di tutto per tutti, pur restando cineserie, perché come dice Guido Scorza, membro del Collegio del Garante per la Protezione dei Dati Personali, intervenendo in un nostro evento:: «.«La privacy non è un insieme di adempimenti formali… Molto spesso sembra che la forma prevalga sulla sostanza e che l’adempimento sia un fatto meramente burocratico-amministrativo ma in realtà la privacy è tutto tranne che questo! Un elemento ricorrente in tutti i provvedimenti del Garante è quello di andare oltre l’apparenza, è difficile che nelle nostre istruttorie ci si lasci travolgere dal fiume di carta che il titolare del trattamento ha lasciato dietro di se per da a vedere di aver fatto le cose perbene. Le nostre domande sostanziali sono sempre le stesse: ‘Ma ti sei posto il problema che mentre facevi qualcosa magari ledevi il diritto di qualcun’altro, che magari hai esagerato rispetto l’obiettivo che perseguivi?’ Quello che conta è la sostanza non quello che si scrive! Dopo essersi poste queste domande bisogna anche documentarlo e, anche dopo molti anni, si deve essere in grado di provare, al Garante o direttamente all’interessato, di essersi posti il problema [della correttezza del trattamento n.d.r.]. Quindi il diritto alla privacy è tutto fuorché forma e difficilmente capita che qualcuno la faccia franca con la Guardia di Finanza, che è la forza che noi utilizziamo per le investigazioni, nascondendosi dietro alla carta».
Quindi, come ci ha spiegato Agostino Ghiglia, membro del Collegio del Garante per la Protezione dei Dati Personali, nell’intervista che ci ha rilasciato: «… La DPIA, che noi consigliamo sempre e vivamente, deve essere non qualche paginetta copiata, non un format, ma deve essere un disegno attento di quello che sono i rischi che i dati personali, in quella determinata struttura corrono».
A CHI AFFIDARSI PER SVOLGERE LA DPIA
Per svolgere seriamente la valutazione d’impatto e quindi essere in compliance con la normativa sulla protezione dei dati e al sicuro dalle sanzioni è necessario evitare sia il DPO, che è incompatibile a svolgerla e soprattutto evitare di affidarsi alle offerte preconfezionate delle grandi aziende commerciali di servizi per gli enti locali, che offrono prodotti standard realizzati da sconosciuti soggetti che non offrono alcuna garanzia.
Il compito di redigere e aggiornare la valutazione d’impatto-DPIA richiede competenze altamente specialistiche e multidisciplinari giuridiche, informatiche, tecnologiche e di risk evaluation e management che possono offrire solo imprese di consulenza che dispongono di un team specializzato.
NOTE:
[1] Reg. UE/2016/679 GDPR, art.35 «3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: […omissis…] c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.».
[2] EDPB-European Data Protection Board. Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video. Versione 2.0 29 gennaio 2020. Punto 2 Ambito di applicazione «7. La sorveglianza sistematica e automatizzata di uno spazio specifico con mezzi ottici o audiovisivi […omissis…]. Ciò si riflette nel RGPD all’articolo 35 paragrafo 3 lettera c) che impone l’esecuzione di una valutazione d’impatto sulla protezione dei dati in caso di sorveglianza sistematica su vasta scala di un’area accessibile al pubblico[…omissis…].».
[3] Reg. UE/2016/679 GDPR, art.25 (Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita) «1. Tenendo conto dello stato dell’arte e dei costi di attuazione nonché della natura dell’ambito di applicazione del contesto e delle finalità del trattamento come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate […omissis…]».
[4] Reg. UE/2016/679 GDPR, art.83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie) «4. In conformità del paragrafo 2 la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR o per le imprese fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8 11 da 25 a 39 42 e 43…omissis…”.
[5] Reg. UE/2016/679 GDPR, art.35 «7. La valutazione contiene almeno: a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento; […omissis…]».
[6] Reg. UE/2016/679 GDPR, art.35 «7. La valutazione contiene almeno: […omissis…] b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità; […omissis…]».
[7] Reg. UE/2016/679 GDPR, art.35 «7. La valutazione contiene almeno: […omissis…] c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; […omissis…]».
[8] Reg. UE/2016/679 GDPR, art.35 «7. La valutazione contiene almeno: […omissis…] d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.».
[9] Reg. UE/2016/679 GDPR, art.39 (Compiti del responsabile della protezione dei dati) «1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti: […omissis…] c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; […omissis…]».
GLI ULTIMI 5 ARTICOLI SUL TEMA DELLA PRIVACY
LA VIDEOSORVEGLIANZA SENZA ACCORDO SINDACALE È REATO
LA VIDEOSORVEGLIANZA DEVE ESSERE CONFORME ALLA LEGGE PER CONTRASTARE L’ILLEGALITÀ [CON VIDEO]
REGOLAMENTI COMUNALI SULLA VIDEOSORVEGLIANZA ILLEGITTIMI (E SPESSO ILLECITI)
LA DPIA È SEMPRE OBBLIGATORIA PER LA VIDEOSORVEGLIANZA
È ILLEGITTIMO L’AFFIDAMENTO ESTERNO DEL SERVIZIO DI GESTIONE DELLE IMMAGINI DELLE FOTOTRAPPOLE
GLI ULTIMI 5 ARTICOLI DELLO STESSO AUTORE
PER GLI INTERESSI SUL DEBITO PUBBLICO ITALIANO SI SPENDE QUANTO PER L’ISTRUZIONE
I PARCHEGGI ROSA SONO ILLEGALI
DAL 1 SETTEMBRE CAMBIA TUTTO SUI SEGGIOLINI PER BAMBINI
DAL 30 GIUGNO DEVONO ESSERE ASSICURATI ANCHE I VEICOLI SU AREA PRIVATA
NESSUNA RIFORMA SENZA UN CONTRATTO AUTONOMO PER LA POLIZIA LOCALE [CON VIDEO]
GLI ULTIMI 5 ARTICOLI PUBBLICATI
BIOETICA, SPORT E FILOSOFIA DELLA MENTE SPORTIVA, IL CONFLITTO TRA MENTE E CORPO DELL’ATLETA
LA DONNA ALL’81° MOSTRA INTERNAZIONALE DEL CINEMA DI VENEZIA
ESTINZIONE DEI REATI AMBIENTALI
Copyright Ethica Societas, Human&Social Science Review © 2024 by Ethica Societas UPLI onlus.
ISSN 2785-602X. Licensed under CC BY-NC 4.0 
