Registro, valutazione d’impatto e violazione di dati personali: tre attività apparentemente separate che si rivelano estremamente collegate adottando l’approccio basato sul rischio, nell’ambito delle incombenze da realizzare per ottemperare al GDPR. Esse sono, rispettivamente: mandatoria praticamente sempre, obbligatoria al ricorrere di determinati presupposti oggettivi o soggettivi e doverosa al verificarsi dell’evento.
Definizione di registro
Il registro, infatti, oltre agli ormai cementati criteri che ne determinano l’obbligatorietà di redazione definiti dall’art. 30 del GDPR, come si premura di precisare il Garante nelle sue FAQ pubblicate l’8 ottobre 2018, “Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione” e “il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso”.
Il registro, quindi, è un utilissimo strumento in cui raccogliere le evidenze fattuali o, almeno, di progettazione di un qualsiasi trattamento. Tali elementi, nel concreto, rappresentano le caratteristiche qualitative e quantitative di una serie di variabili che non dovrebbero essere ignorare nella normale conduzione di una valutazione del rischio che un trattamento fa gravare sui diritti e le libertà degli interessati e delle persone. Se ragioniamo sul fatto che una valutazione d’impatto sulla protezione dei dati personali debba essere effettuata nel caso in cui un trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone interessate (rischio che può essere effettivamente valutato in autonomia dal titolare del trattamento, oppure essere determinato a presunzione di legge), si comprende appieno il primo grande e importante collegamento tra il registro delle attività di trattamento e la valutazione d’impatto sulla protezione dei dati.
Già in fase di redazione del registro, infatti, il titolare è in grado di rendersi conto della presenza di determinati elementi pericolosi e forieri di rischio, se non, addirittura, di individuare i trattamenti che, per le loro peculiari caratteristiche, rappresentano un rischio elevato da sottoporre a valutazione d’impatto. Conoscere e identificare le finalità permette di valutare al meglio la necessità e la proporzionalità del trattamento e, conseguentemente, di effettuare un più accurato esame del bilanciamento degli interessi; censire le categorie di interessati e le categorie di dati personali permette di avere parametri affidabili con cui determinare l’entità del danno provocabile dal trattamento (pericoloso per sua natura); indicare i flussi di dati (ossia le categorie di destinatari o la destinazione dei dati) permette di individuare le fonti esterne di rischio; avere contezza dei tempi di conservazione aiuta nella determinazione della probabilità che il danno correlato al trattamento si verifichi; infine, sapere quali misure di sicurezza sono state adottate, sia organizzative che tecniche, supporta l’operazione della valutazione del rischio residuo.
Quando occorre la valutazione d’impatto
Se tale rischio residuo è elevato, allora si dovrà procedere con la valutazione d’impatto.
È lapalissiano, a questo punto, che se un trattamento è particolarmente rischioso, soprattutto se rappresenta un rischio elevato ed è obbligatoriamente da sottoporre a valutazione d’impatto, che, spostandoci sul tema della violazione dei dati – essendo anch’essa un trattamento di dati – non possiamo non considerare le risultanze ottenute come indice di una presunta gravità della violazione o, quantomeno, come elemento per determinarla.
In pratica, lo schema logico dovrebbe essere il seguente:
- censire e descrivere i trattamenti nel registro;
- usare il registro e gli elementi indicati per supportare la valutazione del rischio sul singolo trattamento;
- identificare i trattamenti che rappresentano un rischio elevato;
- effettuare la valutazione d’impatto sui trattamenti che rappresentano un rischio elevato.
- prepararsi a fronteggiare le violazioni di dati, sapendo che i trattamenti che rappresentano un rischio elevato potrebbero essere oggetto delle violazioni di maggior gravità, che dovrebbero essere comunicate al Garante e all’interessato.
Conclusioni
In altre parole, se un trattamento è così rischioso da dover essere sottoposto a valutazione d’impatto, difficilmente sarà sostenibile la tesi secondo cui una violazione che colpisce quel determinato trattamento non sia da considerarsi così grave da poter non essere comunicata al Garante e, se del caso, all’interessato.
Ancora una volta, quindi, emerge come il GDPR guardi più ai sistemi di gestione che alle “liste” di adeguamenti tout court e alle facili soluzioni chiavi-in-mano.