Sarebbe riduttivo interpretare il GDPR come un insieme di norme precettive, mentre è più corretto intenderlo come un “framework normativo” disegnato dal legislatore europeo per creare un sistema che garantisca la protezione dei dati personali, funzionale allo sviluppo dell’economia digitale nell’epoca della “quarta rivoluzione”[1].
Tale sistema obbliga tutti i players (titolari, responsabili, DPO) a valutare continuamente i rischi connessi alle attività di trattamento dei dati personali, aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
Ma “cosa” è effettivamente questo rischio? Come si individua? Come va valutato?
Indice degli argomenti
Comprendere la “natura” dell’attività di trattamento dati
Per dare una risposta concreta e soprattutto utile, occorre partire dal riconoscimento della “natura” dell’attività di trattamento dei dati personali, la quale risulta essere, senza dubbio, un’attività pericolosa.
Non a caso, l’abrogato art. 15 del Codice privacy sanciva la risarcibilità dei danni cagionati per effetto del trattamento dei dati personali, agganciandola alla disciplina di cui all’art. 2050 cod. civ., che regola appunto la responsabilità per l’esercizio delle attività pericolose[2].
Che l’attività di trattamento sia un’attività pericolosa è confermato anche dal titolo dello stesso GDPR: “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”, nonché dalla lettera del paragrafo 1 dell’art. 1 dello stesso Regolamento che “… stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali”.
Quindi appare evidente come il GDPR sia volto a proteggere le persone fisiche dal pericolo costituito dal trattamento dei dati personali.
La differenza tra pericolo e rischio
A questo punto occorre chiedersi: se il sistema è caratterizzato dal risk based approach, che rilevanza assume il pericolo? Che differenza sussiste tra pericolo e rischio?
Atteso che gli attori dell’ecosistema di data protection sono anche operatori del diritto, devono necessariamente rispondere a questa domanda, facendo riferimento – non a norme tecniche o a standards internazionali – ma a norme giuridiche promananti dall’ordinamento europeo.
Bisogna quindi far riferimento al Decreto Legislativo 81/2008 “Testo Unico sulla Salute e Sicurezza sul lavoro” che all’art. 2, comma 1, lettera r) definisce il pericolo come “proprietà o qualità intrinseca di un determinato fattore avente il potenziale di causare danni”. Tradotto dal legalese: il pericolo è quindi una proprietà intrinseca di un oggetto, di una sostanza, di un’attività, di poter arrecare un danno.
La possibilità di poter arrecare il danno è cioè intrinseca a come è fatto un oggetto, a come è composta una sostanza o a come deve essere svolta una particolare attività.
Lo stesso D.lgs. 81/2008 all’art.2, comma 1, lettera s) pone anche la definizione di rischio, come “probabilità di raggiungimento del livello potenziale di danno nelle condizioni di impiego o di esposizione ad un determinato fattore o agente oppure alla loro combinazione”. Il rischio è, quindi, un concetto probabilistico; è la probabilità che esponendosi ad una sorgente di danno (pericolo) possa accadere un certo evento non desiderato che può causare un danno di una certa gravità.
Si può quindi affermare che il rischio è una condizione in cui una persona si trova quando è esposta ad un pericolo.
Tradizionalmente si porta l’esempio del coltello che, essendo un oggetto tagliente, costituisce un pericolo. La possibilità del coltello di cagionare un danno (ad esempio un taglio su una persona) è connessa alle sue caratteristiche oggettive, alla sua qualità intrinseca. Ma se il coltello rimane chiuso in un cassetto, cioè se nessuna persona si espone al pericolo, non vi è il rischio, cioè la probabilità che il coltello possa determinare un danno. Però, se qualche persona prende il coltello e lo utilizza per affettare una mela sussiste il rischio. Se deve tagliare del cuoio il rischio aumenta.
Quindi, se esiste un pericolo ma non vi è esposizione al pericolo, non c’è il rischio.
Il GDPR e l’approccio basato sul rischio
Il pericolo è qualcosa di oggettivo e non può quindi essere misurato, va solo individuato, mentre il rischio è un concetto più astratto che dipende da:
- pericolo;
- tipo e durata di esposizione;
- persona esposta.
Il pericolo resta sempre uguale, a meno che non cambino le sue caratteristiche intrinseche; il rischio invece varia in relazione alle condizioni e agli elementi da cui dipende e può quindi essere misurato.
Questo paradigma ci aiuta così a comprendere l’approccio basato sul rischio che caratterizza il GDPR.
Il trattamento di dati personali è un pericolo che va riconosciuto tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento stesso.[3]
Quindi se è necessario avviare il trattamento, si dovrà essere consapevoli di esporsi ad un rischio cioè alla probabilità che dal trattamento derivi un danno di una certa gravità per i diritti e le libertà fondamentali delle persone fisiche. Tale rischio va misurato e va mitigato con misure che possano diminuire sia la probabilità di accadimento (chiamata anche frequenza) sia la gravità (chiamata anche magnitudo) del danno qualora il rischio si verifichi.
E questo è lo schema chiaramente disegnato dal Considerando 76 GDPR che testualmente sancisce che “La probabilità e la gravità del rischio per i diritti e le libertà dell’interessato dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento” (cioè riconoscendo precisamente il pericolo). Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato.
Quindi, ricalcando lo schema offerto dalle linee guida ISO 31000, in fase di riesame ed aggiornamento delle misure tecniche e organizzative strumentali alla compliance[4], vanno individuati tutti i processi aziendali consistenti nel trattamento di dati personali che, come si è detto, costituiscono oggettivamente un pericolo. Poi, tra questi, vanno identificati eventuali processi non necessari (magari perché non più in linea con gli obiettivi di business o – per le P.A. – non più aderenti alle fonti giuridiche) i quali vanno espunti dalle politiche aziendali.
In questi particolari casi, evidentemente eliminando il pericolo, il rischio risulta insussistente.
I due fattori che caratterizzano il rischio: probabilità e gravità
Riguardo gli altri processi aziendali “di trattamento dei dati personali”, vanno identificati, analizzati e ponderati i relativi rischi, attraverso valutazioni oggettive. I due “fattori” che caratterizzano il rischio – probabilità (frequenza) di accadimento e gravità (magnitudo/ impatto) del danno – vanno misurati, cioè bisogna attribuire convenzionalmente a tali fattori un valore numerico che esprime una “misura”.
Generalmente vengono utilizzate metriche specifiche, mutuate proprio dal sistema disegnato dal citato D.lgs. 81/2008.
Il rischio, così misurato, potrà risultare elevato e non elevato. Invero il GDPR supera il paradigma della ponderazione del rischio, indicando alcuni eventi dannosi che, per loro natura, prescindendo da un’attività di ponderazione, comportano sempre un rischio elevato[5]. In tali casi l’attenzione dei Titolari dovrà essere massima e si dovrà eseguire una valutazione di impatto sulla protezione dei dati personali[6].
La fase finale prevede il trattamento del rischio attraverso l’applicazione di misure che concretamente possano mitigare la probabilità o la gravità fino ad un livello ritenuto accettabile. Ovviamente il rischio non potrà essere mai azzerato, se non eliminando il pericolo cioè il trattamento di dati personali; infatti, graficamente la curva del rischio è un asintoto.
Conclusioni
Quindi nessuna organizzazione potrà mai sviluppare trattamenti di dati personali a rischio zero; “no silver bullet” scrisse in un suo famoso saggio Fred Brooks, facendo riferimento al proiettile d’argento, come unica arma efficace contro mostri invincibili della tradizione sassone.
Certamente, però, il sistema disegnato dal GDPR se applicato con la giusta attenzione potrà contribuire a creare e a proteggere il valore delle aziende, tutelando contestualmente i diritti e le libertà fondamentali delle persone fisiche e determinando la fiducia necessaria a far sviluppare l’economia.
NOTE
- Cfr. Luciano Floridi, La quarta rivoluzione. Come l’infosfera sta trasformando il mondo, Raffaello Cortina Editore, 2017. Vedasi anche: Franco Pizzetti “Protezione dei dati personali in Italia tra GDPR e codice novellato”, Giappichelli, 2021. ↑
- Secondo lo schema del combinato disposto degli artt. 15 del Codice e 2050 cod. civ., il danneggiato era tenuto solo a provare il danno e il nesso di causalità con l’attività di trattamento dei dati, mentre spettava al convenuto la prova di aver adottato tutte le misure idonee ad evitare il danno. Ora, con l’entrata in vigore del GDPR, la risarcibilità (prevista dall’art.82) non è collegata solo all’attività di trattamento ma a qualsiasi violazione del Regolamento ed il titolare del trattamento– o a diverso titolo – il responsabile del trattamento, è esonerato dalla responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile. ↑
- Vds. ad esempio, artt. 24, par.1, 25, par.1 e 32, par. 1 GDPR. ↑
- Art. 24, par. 1 GDPR. ↑
- Vds. Considerando 75 GDPR. ↑
- Art. 35 GDPR, Wp 248 rev. 01, Provvedimento GDPD n.467 dell’11 ottobre 2018. ↑