Rischio inerente il trattamento e valutazione di impatto privacy

di Marco Soffientini - Esperto di Privacy e Diritto delle Nuove Tecnologie e docente Ethos Academy

Le recenti linee Guida n.3/2019 sui trattamenti attraverso strumenti video hanno ribadito, nella progettazione di un sistema di Videosorveglianza by design e by default, il ruolo centrale della valutazione di impatto privacy nella gestione del rischio inerente il trattamento, cioè degli eventuali impatti negativi sui diritti, libertà fondamentali e dignità dell’interessato. Come noto, la data Protection impact assessment è il principale accountability tool in mano al titolare per dimostrare la sua conformità alla disciplina sulla protezione dei dati. Ne segue che, a parte i casi di obbligatorietà, la sua conduzione può risultare opportuna e fondamentale per dimostrare di aver agito con perizia e diligenza.

Per comprendere la portata dell’Istituto analizziamo un provvedimento del 10 Giugno 2021 [doc. web 9685922] con il quale l’Autorità Garante ha sanzionato un titolare del trattamento per aver implementato senza una valutazione di impatto privacy una piattaforma ai fini della gestione del whistleblowing in violazione dei principi della privacy by design e by default. Il caso riguardava l’utilizzo di una piattaforma SaaS nell’ambito del c.d. Whistleblowing (disciplina sulla segnalazione degli illeciti da parte dei lavoratori). Vedi art. 54-bis del d.lgs. 30 marzo 2001, n. 165, introdotto dall’art. 1, comma 51, della l. n. 190/2012 e l. 30 novembre 2017, n. 179 “Disposizioni per la tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell’ambito di un rapporto di lavoro pubblico o privato”. L’applicativo, esposto su rete Internet, non utilizzava un protocollo di rete sicuro (quale il protocollo https). Con riferimento alla conservazione dei dati relativi alle segnalazioni, era poi emerso che la piattaforma non prevedeva la cifratura dei dati personali (dati identificativi del segnalante, informazioni relative alla segnalazione, nonché eventuale documentazione allegata) conservati nel relativo database, raccomandata dall’ANAC. Vedi Linee guida in materia di tutela del dipendente pubblico che segnala illeciti - c.d. whistleblower, adottate con determinazione n. 6 del 28 aprile 2015. 

Mancato utilizzo di crittografia

Il mancato utilizzo di strumenti di crittografia, osserva il Garante, per il trasporto e la conservazione dei dati non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 del Regolamento che, al suo par. 1, lett. a), individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio. Vedi anche cons. 83 del Regolamento nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”. Il Garante ha rilevato che la Società ha posto in essere trattamenti di dati personali di dipendenti e altri interessati, mediante l’utilizzo dell’applicativo per l’acquisizione e gestione delle segnalazioni illecite, in maniera non conforme ai principi di “integrità e riservatezza”, della “protezione dei dati fin dalla progettazione” e della “protezione dei dati per impostazione predefinita”, in violazione degli artt. 5, par. 1, lett. f), e 25 del Regolamento; in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, in violazione dell’art. 32 del Regolamento; non avendo effettuato una valutazione di impatto sulla protezione dei dati, in violazione dell’art. 35 del Regolamento.

Il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, anche avvalendosi del supporto del responsabile della protezione dei dati ove nominato, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio (cfr. artt. 5, par. 2, 24, 25 e 32 del Regolamento). In tale prospettiva, il titolare del trattamento deve eseguire una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento. Vedi, in particolare, la disciplina in materia di whistleblowing, ma anche le norme nazionali e di maggior tutela per gli interessati con riguardo ai trattamenti in ambito lavorativo, art. 88 del Regolamento in relazione agli artt. 113 e 114 del Codice. Sotto tale ultimo profilo, con riguardo a operazioni di tracciamento delle connessioni a siti Internet da parte di dipendenti).

In conclusione, una corretta e precisa valutazione di impatto privacy ai sensi dell’articolo 35 Reg. UE 679/2016 avrebbe rappresentato non solo un utile e fondamentale accountability tool, ma anche uno strumento idoneo per il rispetto dei principi di privacy by design e by default.