Risk based approach: in cosa consiste e come evitarlo

Il principio del risk based approach

di Redazione

Versione PDF del documento

Risk based approach: in cosa consiste

Questo contributo è stato tratto da 

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Strettamente connesso al principio di accountability è quello del risk based approach.
Ai soggetti chiamati ad adeguarsi al rispetto della normativa privacy innovata e cristallizzata con l’emanazione del GDPR viene sostanzialmente chiesto di effettuare
una valutazione prodromica del livello di risk del trattamento medesimo, ovvero verificare quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori). Per meglio comprendere la ratio di tale principio, appare utile rivolgere un pratico sguardo al medesimo principio già applicato in materia di antiriciclaggio e contenuto nella normativa indirizzata a tutti gli operatori del settore finanziario, ovvero della normativa di recepimento della direttiva 2005/60/CE ed in particolare, del d.lgs. n. 231 del 21 novembre 2007. In pratica, viene chiesto ai citati operatori di graduare ed orientare i sistemi e le procedure interne degli intermediari valutando il “rischio di riciclaggio dei proventi di attività criminose o di finanziamento del terrorismo” da definire in funzione del tipo di cliente, rapporto continuativo, piuttosto che prodotto o transazione.
Le stesse procedure e gli stessi sistemi devono prevedere delle sezioni dedicate alla valutazione e gestione di tale tipologia di rischio. Si tratta dunque, in estrema
sintesi, di una misura, sia essa qualitativa o quantitativa, della probabilità di esposizione a fenomeni di riciclaggio o di finanziamento del terrorismo del cliente, rischio che deve tener conto non solo delle caratteristiche di quest’ultimo, ma anche della tipologia di operazioni/rapporti/prodotti/transazioni richieste. In altri termini, il risk in ambito finanziario viene utilizzato come parametro per determinare gli obblighi – di segnalazione alle autorità competenti, ad esempio – applicabili in capo agli intermediari e, dunque, consentire una graduazione della disciplina in funzione, appunto, della rischiosità del singolo cliente/operazione/rapporto.

 

Parimenti, il GDPR obbliga i titolari del trattamento a svolgere una valutazione di impatto – DPIA – prima di darvi inizio, consultando l’Autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti, cioè quando il rischio residuale per i diritti e le libertà degli interessati resti elevato. Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l’osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio. Le linee guida del WP29 offrono alcuni illuminanti chiarimenti sul punto; in particolare, precisano quando una valutazione di impatto sia obbligatoria (oltre ai casi espressamente indicati dal regolamento all’art. 35), chi debba condurla (il titolare, coadiuvato dal responsabile della protezione dei dati, se designato), in cosa essa consista (fornendo alcuni esempi basati su schemi già collaudati in alcuni settori), e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum. Le linee guida chiariscono, peraltro, anche quando una valutazione di impatto non sia richiesta: ciò vale, in particolare, per i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e non presentino modifiche significative prima del 25 maggio 2018, data di piena applicazione del Regolamento. Il messaggio finale delle linee guida (già sottoposte a consultazione pubblica) è che la valutazione di impatto costituisce una buona prassi al di là dei requisiti di legge, poiché attraverso di essa il titolare può ricavare indicazioni importanti e utili a prevenire incidenti futuri. In questo senso, la valutazione di impatto permette di realizzare concretamente l’altro fondamentale principio fissato nel regolamento 2016/679, ossi la protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento. Il Gruppo di lavoro ha individuato alcuni casi di obbligatorietà della DPIA, precisando come l’elenco previsto dall’art. 35 del GDPR non deve essere interpretato come esaustivo e completo. Operazioni di trattamento definite “lowrisk”, infatti, potrebbero comunque comportare rischi altrettanto elevati in funzione della natura dei dati trattati o delle tecnologie adottate per il loro trattamento.
In considerazione di ciò, dunque, compito del titolare del trattamento, utilizzando caso per caso un “risk-based approach”, sarà quello (prima che i dati vengano trattati) di individuare, nello specifico, l’origine, la natura, la probabilità e la gravità del rischio, l’ambito di applicazione, il Una contesto e le finalità del trattamento stesso in quanto più è elevata la rischiosità del dato, più alte sono le conseguenze in termini d’impatto per gli interessati.

Gli elementi della DPIA

DPIA dovrà, quindi, tenere conto sia del grado di rischio che il trattamento possa presentare per i diritti e le libertà delle persone fisiche sia del grado di innovatività della tecnologia con cui viene effettuato il trattamento (tecnologie poco conosciute potrebbero infatti comportare rischi non ancora valutati e impatti potenziali elevati sugli interessati). Il titolare dovrà comprendere, per esempio, se si tratti di un dato più o meno rischioso (es. un dato “sensibile” in cui il rischio è già intrinseco), se questo sia o meno diffuso pubblicamente, se sia trattato unitamente ad altri dati (si pensi il caso della profilazione) o se sia comunicato ad un vasto numero di persone. Il documento del Gruppo di lavoro definisce non solo un elenco di operazioni di trattamento di dati personali rispetto alle quali l’effettuazione della valutazione d’impatto debba ritenersi obbligatoria (quali, il trattamento di dati genetici o di salute dei pazienti in un ospedale, l’uso di un sistema di telecamere per monitorare il comportamento di guida in autostrada o, in materia di controllo a distanza dei lavoratori, le operazioni di monitoraggio effettuate dalla società sulle attività dei propri dipendenti inclusa la loro postazione di lavoro) ma individua criteri utili da seguire per tutte quelle operazioni di trattamento che richiedono una DPIA (per esempio l’assegnazione di un punteggio ad aspetti quali la situazione economica o la salute, il numero degli interessati, il volume di dati e l’eventuale trasferimento di dati al di fuori dell’Unione europea ecc.). L’art. 35 del GDPR prevede, inoltre, ipotesi di esonero dall’effettuazione della valutazione d’impatto. In particolare il Gruppo di lavoro, nell’interpretazione della norma, ha precisato come una DPIA non sia obbligatoria per tutte quelle operazioni in cui il trattamento non presenti un rischio elevato per l’interessato, sia già stato autorizzato, trovi nel diritto dell’Unione o dello Stato membro una base giuridica oppure quando, per la natura o finalità del trattamento, questo sia molto simile ad un altro trattamento per cui la DPIA è già stata effettuata.

Questo contributo è stato tratto da 

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Monica Mandico, 2019, Maggioli Editore

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad...



Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!