A più di tre anni dall’operatività del Regolamento Generale sulla Protezione dei Dati, il momento della Valutazione di Impatto continua a essere visto con “terrore”. La redazione della DPIA (Data Protection Impact Assessment) resta probabilmente il più ostico, tra gli adempimenti del GDPR, e sicuramente quello più impegnativo in termini di risorse.
Come ribadito anche dal nostro studio, la complessità sta nella necessità di coinvolgere più persone e coniugare competenze tecniche, legali e gestionali-organizzative. Ogni parte è richiesta per poter documentare in maniera uniforme elementi di diversa natura.
Quindi, la DPIA è innanzitutto un’avventura da affrontare necessariamente in gruppo, con la consapevolezza che l’obiettivo ultimo resta sempre il rispetto del principio di accountability.
In situazioni particolarmente complesse, il trattamento di dati può comportare rischi elevati difficili da mitigare. In questi casi, non ci si deve scordare che la DPIA deve obbligatoriamente passare al vaglio dell’Autorità Garante, a cui va richiesta una Consultazione preventiva (art. 36 GDPR). Questa, può “rimescolare le carte” e offrire diverse o maggiori raccomandazioni per mantenere controllato il rischio del trattamento.
Recentemente, il Garante è stato coinvolto in una Consultazione preventiva per l’uso di body-cam in situazioni critiche di ordine pubblico, eventi e manifestazioni. In particolare, si tratta di un sistema di telecamere indossabili che saranno utilizzati dai Reparti mobili della Polizia di Stato e dall’Arma dei Carabinieri. Serviranno per l’acquisizione, la gestione e la conservazione delle immagini realizzate nel corso dei servizi di ordine pubblico. Le relative DPIA sono state oggetto di due recenti pareri dell’Autorità Garante (doc. web n.9690691 e n. 9690902)
Dai pareri è possibile ricavare validi suggerimenti per una corretta redazione della DPIA e per comprendere meglio il significato di “rischio elevato per gli interessati”, che è il confine per individuare quando avviare la consultazione.
Vediamo intanto il caso.
Indice
Il caso delle body-cam in uso alle Forze dell’Ordine
I Carabinieri, nello svolgimento delle loro funzioni, si trovano spesso a dover fronteggiare situazioni di criticità in termini di ordine, sicurezza pubblica e condotte violente, tra cui eventi o manifestazioni pubbliche di varia natura. A partire da questa premessa, è facile individuare la finalità del trattamento delle immagini che saranno raccolte. L’utilizzo di videocamere portatili da parte dei militari, potrà soddisfare la necessità di documentare azioni illecite. Analogamente, servirà a raccogliere elementi di prova relativi a condotte di natura penale, e ad avere un effetto deterrente.
Il Garante, che da una parte ha riconosciuto la legittimità di tali trattamenti da parte dell’Arma, ha d’altra parte dovuto portare all’attenzione anche i loro eventuali effetti negativi. C’è la possibilità del verificarsi di episodi di discriminazione, sostituzione di identità, pregiudizio alla reputazione e ingiusta privazione di diritti e libertà. Come si usa nella valutazione dei rischi, segue poi una considerazione in termini di probabilità e gravità. Citando il Garante:
“Anche se la probabilità che tali rischi si concretizzino è ragionevolmente bassa tenuto conto del contesto, l’impatto che da essi conseguirebbe in danno degli interessati sarebbe elevato o molto elevato”.
Alcuni suggerimenti per la redazione della DPIA
Dalle raccomandazioni del Garante che sono seguite, ecco alcuni suggerimenti applicabili alla redazione di qualsiasi DPIA. (Per altri approfondimenti, leggi anche QUANDO OCCORRE FARE La valutazione d’impatto?)
Considerare il contesto specifico per definire il tipo di dato raccolto
Non solo la quantità, ma anche il tipo di dati raccolti influenza il rischio, che cresce all’aumentare della sensibilità e delicatezza delle informazioni. Solitamente le foto e i video che ritraggono persone (raccolte senza riconoscimento biometrico) corrispondono a semplici dati personali. E in un caso come quello dell’Arma, si potrebbe essere portati a escludere la categorizzazione del dato come “particolare”. Il contesto specifico in cui sono raccolte (manifestazioni pubbliche) diventa tuttavia centrale, poiché a seconda delle caratteristiche della manifestazione si rende probabile la raccolta di informazioni che rivelino l’origine etnica, le opinioni politiche, le convinzioni religiose, o l’appartenenza sindacale, dati relativi all’orientamento sessuale della persona.
Attenzione alle contraddizioni e alle incoerenze nella redazione della DPIA
La descrizione di un flusso di dati, dalla loro raccolta, ai possibili trasferimenti su diversi dispositivi, alla loro cancellazione, dovrebbe essere il più lineare possibile. E se è prevista una misura tecnica tale per cui si rende impossibile per i Carabinieri cancellare i dati registrati dalle videocamere prima di averli archiviati nel server centrale (onde evitare alterazioni o compromissioni), non è possibile dargli anche la possibilità di “individuare le registrazioni non pertinenti” affinché se ne eviti il salvataggio.
Raccogliere e allegare documentazione tecnica
Descrivere “quali” effetti si intende ottenere non è sufficiente senza aver espresso il “come”. Quindi, le dichiarazioni in merito all’applicazione di specifiche misure di sicurezza (es. modalità di cifratura, blocchi o limitazioni ai trasferimenti o agli accessi, ecc.) vanno sempre argomentate e corredate di dettagli tecnici ed evidenze (es. screenshot) a supporto di quanto si affermi.
Ragionare sul flusso nel suo complesso
Anche se il focus dell’attenzione, in un caso come quello delle body-cam, è rivolto in particolare alle videocamere (l’oggetto principale del nuovo trattamento), i dispositivi informatici che partecipano al trattamento sono molteplici. I rischi vanno individuati lungo tutto il flusso di trattamento. Nel considerare vulnerabilità e tutele, occorre pertanto considerare tutti i passaggi descritti nel flusso, ogni dispositivo chiamato in causa (es. postazioni remote, server, backup, ecc) e tutti gli attori che partecipano al trattamento.