La protezione dei dati nelle smart city: a cosa serve la valutazione d’impatto e come farla

Non può esistere una smart city senza la privacy. Non solo quella formale del GDPR, ma anche quella sostanziale. Così la valutazione l’impatto (DPIA) non è solo un adempimento burocratico

In una smart city le organizzazioni pubbliche e private sviluppano sistematicamente, e talvolta anche congiuntamente, processi di produzione di beni e servizi. Questi processi comportano un’elaborazione massiva di dati personali (gli Urban Big Data), con conseguenti rischi elevati per i diritti e le libertà fondamentali delle persone.

L’obbligo della DPIA: come e per chi

In questi casi, la specifica normativa in materia di protezione dei dati personali, introdotta dal Regolamento UE 2016/679 (G.D.P.R.: General Data Protection Regulation), pone l’obbligo di eseguire una valutazione di impatto privacy nota con l’acronimo DPIA (Data Protection Impact Assessment). Tale obbligo è posto a carico delle pubbliche amministrazioni e delle imprese che, determinando finalità e mezzi dei trattamenti di dati personali, assumono il ruolo privacy di “titolare del trattamento”.

Peraltro, negli ultimi tempi la rilevanza di questo particolare adempimento è ulteriormente aumentata. Si consideri, infatti, che l’art. 29 della proposta della Commissione UE di un Regolamento sull’AI, pone l’obbligo a carico degli utilizzatori di sistemi di Intelligenza Artificiale «ad alto rischio», di effettuare appunto una DPIA.

La mancata DPIA costa cara

Si pensi che la mancata esecuzione di una DPIA espone i titolari del trattamento all’irrogazione di elevate sanzioni da parte del Garante della Privacy.

Tale autorità potrebbe anche, come è avvenuto recentemente, disporre la confisca degli asset utilizzati per sviluppare i processi “non conformi”.

Tutto questo a prescindere dai conseguenti inevitabili danni reputazionali.

Quindi, parafrasando un noto spot pubblicitario, si potrebbe ben dire: No DPIA? No BUSINESS!

Gli effetti positivi della DPIA

Sulla base di queste considerazioni, si può affermare che la valutazione di impatto privacy, oltre a creare solidi contesti che garantiscono una adeguata protezione dei dati, contribuisce anche a garantire la sicurezza delle pubbliche amministrazioni e delle imprese che agiscono quali titolari dei trattamenti.

Si fa qui riferimento all’etimologia del termine sicurezza: cioè “sine cura” = senza preoccupazione. Ecco come, in questa particolare prospettiva, la DPIA appare concretamente funzionale alla tranquillità del titolare del trattamento e alla sostenibilità dei processi aziendali.

Vediamo allora sinteticamente in cosa consiste la DPIA e come va eseguita.

Come si fa una DPIA

La DPIA è, essenzialmente, un processo che serve a garantire, dimostrare e potenziare la conformità, alla normativa privacy, dei trattamenti di dati personali, eseguiti da una pubblica amministrazione o un’impresa che, rivestendo il ruolo di titolare, esegua trattamenti a rischio elevato.

Il GDPR, all’art.35, paragrafo 7 e nei Considerando 84 e 90, ha fissato le caratteristiche minime di una DPIA per la cui esecuzione, invero, i titolari del trattamento possono ricorrere a metodologie diverse.

Però attenzione! Per poter essere effettivamente compliant al GDPR, gli stessi titolari devono necessariamente scegliere una metodologia che, comunque sia conforme agli specifici criteri fissati nell’allegato 2 alle Linee Guida dei Garanti Europei WP248 rev.01.

Questi criteri sono stati fissati per strutturare tutto il processo di valutazione, il quale può essere declinato nelle sottonotate 4 fasi:

–    descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;

–    valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

–    valutazione dei rischi per i diritti e le libertà degli interessati;

–    applicazione delle misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR.

L’esito della valutazione va preso in considerazione per determinare le opportune misure da adottare al fine di dimostrare che il trattamento dei dati personali rispetta il GDPR.

Laddove, però, la DPIA indichi che le misure adottate dal titolare non hanno adeguatamente mitigato i rischi, per poter avviare il trattamento deve essere consultata l’Autorità Garante della Privacy.

La DPIA non è solo burocrazia

Alla luce di quanto descritto, appare evidente come la DPIA non sia una “pratica da mettere a posto”, cioè un adempimento meramente burocratico, ma, piuttosto, una importante leva di efficienza organizzativa che vale a migliorare i flussi di lavoro e, contestualmente, ad evitare disfunzioni e sprechi.

In una parola, può dirsi che eseguire bene una DPIA è certamente SMART! 

Giuseppe Alverone