Analisi e valutazione dei rischi e analisi dei ruoli privacy: la riflessione del Team di Area Legale

I Coffee Privacy delle due ultime settimane hanno impegnato il Team su tematiche eminentemente pratiche, concentrandosi su due aspetti centrali della data protection:

• l’analisi e valutazione dei rischi;
• l’analisi dei ruoli privacy.

ANALISI E VALUTAZIONE DEI RISCHI

L’analisi e valutazione dei rischi rappresenta indubbiamente la chiave di volta del sistema di gestione dei dati, in quanto ogni trattamento di dati personali presuppone un risk based approach e la previa analisi dei rischi per i diritti e le libertà delle persone fisiche. Infatti, da simile valutazione deriva la corretta individuazione delle misure tecniche e organizzative adeguate che debbono essere adottate dal Titolare per garantire che i trattamenti siano conformi al GDPR.

Il Team e gli illustri ospiti esterni che hanno partecipato al Coffee si sono confrontati sulle singole metodologie utilizzate da ciascuno, fornendo preziosissimi spunti di miglioramento degli strumenti utilizzati, con riferimento sia a quelli più conosciuti (come ad esempio quello di ENISA https://www.enisa.europa.eu/risk-level-tool/methodology), sia rispetto a tool home-made creati ad hoc e perfezionati nel tempo sulla base dell’esperienza maturata in campo.

L’aspetto di maggior interesse è stato soprattutto quello dell’individuazione di criteri di oggettività tali da costruire un processo/metodologia effettivamente ‘utilizzabile’ ed efficace, conformemente al dettato di cui (tra gli altri) al Considerando 76, che ricorda come «il rischio dovrebbe essere considerato in base ad una valutazione oggettiva».

Nodo particolarmente ostico da sciogliere, l’individuazione di un criterio oggettivo per stabilire l’efficacia delle misure tecniche ed organizzative scelte per mitigare le diverse tipologie di rischio.

A ciò si è poi aggiunta una riflessione circa la necessità di semplificare il processo/metodologia in uso, così da rendere comprensibili ai data owner i razionali sottesi. 

In tal modo si ottiene infatti un duplice risultato:

1. da un lato si garantisce il ricorso capillare alla analisi e valutazione dei rischi, soprattutto prima dell’avvio di un nuovo processo aziendale che, magari, preveda l’acquisto o lo sviluppo di un software;
2. dall’altro si assicura il costante aggiornamento delle misure di mitigazione adottate.

Molte sono state le proposte di apertura verso un approccio ‘multi compliance’, che tenga conto di ulteriori framework oltre a quello della protezione dei dati, e l’idea di costituire una task force di soggetti adibiti alla gestione sistematica dell’analisi dei rischi.

L’ormai noto strumento del “Comitato Privacy” (attivato con successo in molte Aziende ed Enti) potrebbe essere ottimamente sfruttato come catalizzatore dei nuovi progetti-processi in chiave di privacy by design e approccio risk-based.

RUOLI PRIVACY

Altra tematica di indubbio interesse pratico – e mai scontato – è poi quello della corretta individuazione dei ruoli privacy.

Il Team è tornato nuovamente, a distanza di oltre un anno, sull’approfondimento delle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate dall’EDPB il 7 luglio 2021 a seguito di pubblica consultazione.

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_it

L’analisi svolta si è focalizzata soprattutto su casistiche complesse, tramite un confronto basato sulle esperienze vissute e le problematiche incontrate dai partecipanti.

I concetti di titolare del trattamento, contitolare, responsabile, terzo e destinatario, svolgono un ruolo fondamentale nell’applicazione del GDPR.

Da ciò deriva la centralità della loro corretta interpretazione, in quanto – come ribadito in plurimi passaggi dall’EDPB – si tratta di concetti funzionali, che perseguono il preciso obiettivo di ripartire le responsabilità rispetto ai ruoli effettivi delle parti.

Le Linee guida percorrono le disposizioni dedicate del GDPR con estrema linearità, proponendo numerosi esempi con i quali viene definito il perimetro di ciascun ruolo.

Nonostante tali esempi non sempre possano essere mutuati per risolvere casistiche analoghe (poiché talvolta il Board riporta fattispecie particolarmente specifiche e complesse) in ogni caso forniscono elementi utili a comprendere i ragionamenti.

Com’è noto il Titolare stabilisce le finalità e i mezzi del trattamento, ossia il motivo e le modalità del trattamento. Le Linee guida ricordano come tale Titolarità possa essere definita da una norma di legge – nazionale od europea – ovvero possa derivare da un’analisi degli elementi di fatto o delle circostanze del caso.

Tra le casistiche di maggior interesse emerse e lungamente discusse durante il Coffee, ulteriori rispetto a quelle proposte dall’EDPB, citiamo Piattaforme di welfare, Compagnie assicuratrici, Brokers assicurativi, Partners scelti dalle aziende per implementare la formazione del personale (Società di formazione, Università).

Il dibattito si è poi acceso sulla disamina del ruolo del Responsabile del trattamento e del rapporto con il Titolare, soprattutto rispetto alla differenziazione tra c.d. «mezzi non essenziali» – relativi agli aspetti più prettamente pratici legati all’implementazione del trattamento, in quanto tali delegabili al Responsabile del trattamento, ad es. l’utilizzo di un certo software – e c.d. «mezzi essenziali», ossia quelli strettamente legati alla finalità e alla portata del trattamento, ad es. quali dati sono trattati, per quanto tempo, ecc.

Il confronto si è a lungo soffermato sull’esempio riportato al punto 31 delle Linee guida, laddove si rimarca come la semplice decisione di avvalersi di un fornitore di servizi standardizzati – rispetto ai quali di fatto non residui alcun margine decisionale o capacità di personalizzazione al Titolare – valga di per sé, quasi come regola generale, quale sintomo di una titolarità, con tutte le complicazioni pratiche connesse a tale automatismo.

A fronte del denso confronto sorto sul tema il Team ha deciso di dedicare un secondo Coffee privacy alle Linee guida, così da affrontare gli argomenti residui trattati nelle Linee guida, quali la contitolarità, le nozioni di terzo e destinatario, ma soprattutto l’interessantissima Parte II delle Linee guida, dedicata alle “Conseguenze derivanti dai diversi ruoli attribuiti” ed alle conseguenze della scelta, da parte del Responsabile, di trattare per finalità proprie dati il cui trattamento gli è stato in origine delegato dal Titolare.