Chi deve farla, cosa si rischia e chi paga se si omette o si svolge in maniera superficiale o furbescamente
Abstract: in tutti i casi in cui si adottano nuove tecnologie e, soprattutto, in presenza di qualsiasi sistema di videosorveglianza fissa o mobile, compresi i sistemi di rilevamento della velocità, del passaggio con il rosso, della copertura assicurativa o della regolare revisione, le barriere ZTL, è sempre obbligatoria la valutazione d’impatto o DPIA. Non basta un adempimento formale, un documento copiato da altri o, peggio, redatto da consulenti inesperti o infedeli, poiché le responsabilità in questi casi, anche quando non si aggiorna a scadenza il documento, prevedono sanzioni rilevanti che raggiungono importi sino a 10.000.000 di euro che le Corti dei Conti addebitano ai dipendenti a titolo di danno erariale.
Keywords: #valutazionedimpatto #DPIA #privacy #videosorveglianza #sanzioniprivacy #dirittodellaprotezionedeidati #massimilianomancini #ethicasocietasupli #ethicasocietasrivista #ethicasocietas #rivistascientifica #scienzeumane #scienzesociali
Chi deve fare la valutazione d’impatto
La valutazione d’impatto sulla protezione dei dati, nota anche con l’acronimo DPIA (Data Protection Impact Assessment) è obbligatoria, come regola generale, in tutti i casi nei quali un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35 par. 1 GDPR[1], considerando 85[2]) a causa di:
- implementazione di nuove tecnologie;
- natura, oggetto, contesto o finalità del trattamento.
Ci sono anche dei casi specifici in cui essa è inderogabile (art. 35 par. 3 GDPR[3]):
- valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche (art. 35 par. 3 lett. a GDPR), come ad esempio nel caso di sistemi automatizzati di sanzionamento di qualsiasi tipo (autovelox, fotored, controllo revisione e copertura assicurativa, ZTL, ecc.);
- trattamento, su larga scala, di categorie particolari di dati personali (art. 9 GDPR), come avviene negli uffici che si occupano di sanità e servizi sociali;
- sorveglianza sistematica su larga scala di una zona accessibile al pubblico (art. 35 par. 3 lett. c GDPR), in questa ipotesi rientrano in particolare tutti i trattamenti che impieghino sistemi di ripresa di immagini fisse e in movimento (Linee guida videosorveglianza), a maggior ragione quando si utilizzano sistemi molto invasivi come le bodycam oppure i droni.
La valutazione d’impatto obbligatoria anche per i trattamenti di polizia
Gli stessi obblighi sono previsti, senza deroghe, anche per i trattamenti finalizzati ad attività di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, salvaguardia e prevenzione di minacce alla sicurezza pubblica eseguito dalle competenti autorità, noti in ambito europeo anche come “Law Enforcement Purposes” da cui l’acronimo LEP, che sono esclusi dall’ambito di applicazione materiale del regolamento (UE) 2016/679 (art. 2 par. 2 lett. d GDPR[4] e art. 1 d. lgs. 51/2018[5]) e sono disciplinati dalla c.d. “direttiva di polizia”, nota con l’acronimo LED da “Law Enforcement Directive”, che è la direttiva (UE) 2016/680[6], recepita in Italia con il decreto legislativo 18 maggio 2018, n. 51.
Anche questi trattamenti sono soggetti all’obbligo di valutazione d’impatto sulla protezione dei dati-DPIA quando, per l’uso di nuove tecnologie e per la loro natura, per l’ambito di applicazione, per il contesto e per le finalità, presenta un rischio elevato (considerando 53 Direttiva europea 2016/680[7] per i diritti e le libertà delle persone fisiche (art. 23 d. lgs. 51/2018).
Le furberie non sono mai una scelta saggia
Poiché la disciplina giuridica europea (art. 35 GDPR) e le indicazioni per l’applicazione (Linee guida videosorveglianza e Linee Guida DPIA) non forniscono alcun metodo e tantomeno la disciplina tecnica per svolgere la valutazione d’impatto sulla protezione dei dati-DPIA, rimettendo il tutto al principio generale dell’ “accountability” che consiste nell’ “essere in grado di dimostrare, che il trattamento è effettuato conformemente” a tutte le norme sulla protezione dei dati (art. 24 par. 1 GDPR[8]), è necessario utilizzare un metodo oggettivo che dimostri l’affidabilità e l’impegno concreto e non meramente formale del titolare del trattamento.
L’utilizzo di semplicissimi software finalizzati alla preliminare valutazione della necessità della DPIA e non già allo svolgimento e alla quantificazione del rischio secondo parametri oggettivi e delle misure di sicurezza, come quello elaborato dall’Autorità nazionale francese Framework CNIL, non dimostra l’accountability e non esclude la responsabilità del titolare del trattamento che è responsabile dell’inadeguatezza della procedura di valutazione d’impatto.
Occorre quindi fare riferimento a discipline tecniche dettagliate e riconosciute a livello internazionale e che consentano:
- definizioni della terminologia e dei concetti di base in maniera univoca (risk vocabulary);
- metodi di valutazione e misurazione del rischio standardizzato e oggettivo (risk evaluation);
- procedure affidabili di analisi e gestione del rischio (risk management).
Altrimenti non avrebbe alcuna affidabilità la valutazione d’impatto sul trattamento dei dati e il titolare del trattamento non potrebbe nemmeno rilevare oggettivamente la sussistenza dell’obbligo o, laddove non fosse elevato il rischio, valutare compiutamente l’opportunità di inviare la valutazione d’impatto per l’approvazione preventiva all’autorità garante (art. 36 GDPR[9]).
Si deve diffidare soprattutto dei consulenti che furbescaente propongono dei documenti copiati da altre amministrazioni oppure che presentano una valutazione d’impatto molto superficiale che in meno di 50 pagine, a volte anche solo 15, si fanno pagare un documento finto se non truffaldino, privo di analisi, descrizione completa dei trattamenti e delle misure di sicurezza, valutazione e misurazione dei rischi secondo le norme ISO, definizione e misurazione dell’efficacia delle misure di attenuazione del rischio e quindi calcolo del rischio residuo.
Ci si deve sempre ricordare che se si adotta un documento incompleto o invalido ne risponde solo il titolare e non anche il consulente infedele.
Quanto si paga se si omette di fare una seria valutazione d’impatto
Non svolgere la valutazione d’impatto, come fanno molti enti pubblici credendo che la loro natura pubblica oppure che il fine di pubblico interesse che essi perseguono possa salvarli dalle sanzioni, anche se lo stesso Garante ha detto esplicitamente che nessun fine giustifica i mezzi, è molto pesante.
Il GDPR dal 2016 ha rivoluzionato il sistema sanzionatorio sulle violazioni in tema di privacy, eliminando tutte le precedenti fattispecie penali, oggi ridotte davvero a poche ipotesi, per sostituirle con due sole sanzioni amministrative particolarmente rilevanti che si applicano linearmente a tutti, privati, aziende ed enti pubblici.
La violazione dell’obbligo di redazione ovvero di corretta redazione o di aggiornamento della valutazione d’impatto (art. 35 GDPR), è sanzionato ai sensi dell’art. 83 par. 4 lett. a del regolamento (UE) 2016/679 con una sanzione pecuniaria sino a 10.000.000 di euro[10], un importo che, anche se applicato al minimo, può determinare il dissesto di qualsiasi amministrazione pubblica.
Chi paga?
Le sanzioni amministrative per le violazioni alle norme sulla protezione dei dati si applicano al titolare del trattamento (art. 4 par. 1 punto 7 GDPR), che nel caso degli enti pubblici è l’ente stesso, da non confondersi con il capo dell’amministrazione (sindaco, sindaco metropolitano, presidente della provincia, presidente della regione) che non è mai titolare bensì legale rappresentante del titolare del trattamento.
Tuttavia le sanzioni che colpiscono in prima battuta l’ente vengono valutate, sempre più spesso, dalla Corte dei Conti, poiché esse scaturiscono da gravi omissioni e violazioni, e così sempre più frequentemente si condannano i dei dipendenti dell’ente addebitando ad essi il risarcimento del danno erariale.
NOTE
[1] Reg. (UE) 2016/679 GDPR, art. 35: «1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche,[…]».
[2] Reg. (UE) 2016/679 GDPR, considerando 85: «Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Pertanto, non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento dovrebbe notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Oltre il termine di 72 ore, tale notifica dovrebbe essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo.».
[3] Reg. (UE) 2016/679 GDPR, art. 35 «3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.».
[4] Reg. (UE) 2016/679 GDPR, art. 2 (Ambito di applicazione materiale): «2. Il presente regolamento non si applica ai trattamenti di dati personali:…omissis… d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.».
[5] D. lgs. 51/2018 art. 1 (Oggetto e ambito di applicazione): «1. Il presente decreto attua nell’ordinamento interno le disposizioni della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, e che abroga la decisione quadro 2008/977/GAI del Consiglio. 2. Il presente decreto si applica al trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e al trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o ad esso destinati, svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica.».
[6] Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio d’Europa, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (c.d. direttiva di polizia).
[7] Direttiva (UE) 2016/680, considerando 53: «La tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni della presente direttiva. L’attuazione di tali misure non dovrebbe dipendere unicamente da considerazioni economiche. Al fine di poter dimostrare la conformità̀ con la presente direttiva, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che aderiscano in particolare ai principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita. Se il titolare del trattamento ha effettuato una valutazione d’impatto sulla protezione dei dati ai sensi della presente direttiva, è opportuno prenderne in considerazione i risultati in fase di sviluppo delle misure e delle procedure suddette. Le misure potrebbero consistere, tra l’altro, nell’utilizzo della pseudonimizzazione il più̀ presto possibile. L’utilizzo della pseudonimizzazione ai fini della presente direttiva può essere strumentale per agevolare, in particolare, la libera circolazione dei dati personali all’interno dello spazio di libertà, sicurezza e giustizia.».
[8] Reg. (UE) 2016/679 GDPR, art. 24 (Responsabilità del titolare del trattamento: «1. […] il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. […]».
[9] Reg. (UE) 2016/679 GDPR, art. 36 (Consultazione preventive): «1. Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.. […]».
[10] Reg. (UE) 2016/679 GDPR, art. 83 (Condizioni generali per infliggere sanzioni amministrative pecuniarie) «4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; […omissis…]».
ALTRI ARTICOLI SULLA PRIVACY
PILLOLE DI PRIVACY PER GLI ENTI PUBBLICI CON AGOSTINO GHIGLIA [CON VIDEO]
PILLOLE DI PRIVACY PER GLI ENTI PUBBLICI-Parte 6 [CON VIDEO]
INTERVISTA A PASQUALE STANZIONE PRESIDENTE GARANTE PRIVACY [CON VIDEO]
INTERVISTA A GINEVRA CERRINA FERONI VICE PRESIDENTE GARANTE PRIVACY [CON VIDEO]
INTERVISTA A MARCO MENEGAZZO COMANDANTE GRUPPO GDF TUTELA PRIVACY [CON VIDEO]
GLI ULTIMI 5 ARTICOLI DI MASSIMILIANO MANCINI
LE NUOVE REGOLE SUGLI AUTOVELOX
NON SI POSSONO REGISTRARE LE RIUNIONI SINDACALI
GLI ISPETTORI AMBIENTALI SONO INUTILI SE NON ILLEGITTIMI
LA POLIZIA LOCALE NON PUÒ UTILIZZARE LIBERAMENTE I DRONI
ANCHE LE POLIZIE LOCALI SOVRACOMUNALI IN PRIMA LINEA PER LA SICUREZZA STRADALE [CON VIDEO]
GLI ULTIMI 5 ARTICOLI PUBBLICATI
IL WHISTLEBLOWER PUO’ AVERE RESPONSABILITA’ PENALI?
LE NUOVE REGOLE SUGLI AUTOVELOX
IL CONVEGNO NAZIONALE DI POZZUOLI 2024 [CON VIDEO]
NON SERVE UNA NUOVA LEGGE PER LA POLIZIA LOCALE, SERVE UN CONTRATTO [CON VIDEO]
Copyright Ethica Societas, Human&Social Science Review © 2024 by Ethica Societas UPLI onlus.
ISSN 2785-602X. Licensed under CC BY-NC 4.0