Premessa
Il presente documento rappresenta il documento di autovalutazione dei rischi previsto dall’articolo 35 del Regolamento Europeo numero 2016/679 (cosiddetto DPIA).
Parte generale — Finalità e indicazioni metodologiche
Il documento di valutazione dei rischi per la protezione dei dati personali, noto come DPIA (Data Protection Impact Assessment), ha lo scopo di descrivere il trattamento dei dati, valutarne la necessità e la proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche coinvolte.
Gli elementi essenziali che devono essere inclusi nella DPIA sono definiti nell'articolo 35, paragrafo 7 del regolamento, e comprendono:
- Una descrizione sistematica dei trattamenti pianificati e delle finalità del trattamento posto in essere dal titolare, compresi eventuali interessi legittimi del titolare del trattamento;
- Una valutazione sulla necessità e proporzionalità dei trattamenti rispetto alle finalità;
- Una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
- Le misure previste per affrontare tali rischi, comprese garanzie, misure di sicurezza e meccanismi per la protezione dei dati personali e per dimostrare la conformità al regolamento, tenendo conto dei diritti e degli interessi legittimi degli interessati e delle altre persone coinvolte.
Il valore e l’importanza della DPIA sono altresì evidenziati nel considerando n. 84 del Regolamento, che afferma: «Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio.»
La mancata esecuzione della DPIA quando richiesta (art. 35, paragrafi 1 e 3-4 del Regolamento), l'esecuzione errata della DPIA (art. 35, paragrafi 2 e 7-9 del Regolamento) o la mancata consultazione dell'autorità di controllo competente quando necessario (art. 36, paragrafo 3, lettera e) del Regolamento) possono comportare l'applicazione di sanzioni amministrative pecuniarie fino a un massimo di 10 milioni di Euro o, se si tratta di un'impresa, fino al 2% del fatturato annuo globale totale dell'esercizio finanziario precedente, se superiore alla suddetta soglia di 10 milioni di Euro.
È possibile effettuare una singola DPIA per valutare più trattamenti che presentano somiglianze in termini di caratteristiche, ambito, contesto, finalità e rischi.
Il concetto di "rischio" si riferisce a uno scenario che descrive un evento e le sue conseguenze, valutato in base alla sua gravità e probabilità. La "gestione dei rischi" indica invece un insieme di attività coordinate finalizzate a guidare e controllare un’organizzazione riguardo ai rischi.
L'articolo 35 fa riferimento al potenziale rischio elevato «per i diritti e le libertà delle persone fisiche». Secondo la dichiarazione del Gruppo di lavoro dell'articolo 29 sulla protezione dei dati riguardo al ruolo di un approccio basato sul rischio nei quadri giuridici per la protezione dei dati, il riferimento ai «diritti e libertà» degli interessati riguarda principalmente i diritti alla protezione dei dati e alla privacy, ma include anche altri diritti fondamentali come la libertà di parola, di pensiero, di movimento, il divieto di discriminazione e il diritto alla libertà di coscienza e religione.
Situazioni di rischio e criteri di valutazione
Sono considerate situazioni di rischio particolari quelle in cui il Titolare del trattamento svolge, all'interno della propria organizzazione:
- Una valutazione sistematica e completa di aspetti personali riguardanti persone fisiche, basata su un trattamento automatizzato, inclusa la profilazione, che influisce significativamente sulle decisioni che riguardano tali persone e che hanno effetti giuridici o analoghi (considerando 71 del regolamento);
- Il trattamento su larga scala di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e reati come indicato all’articolo 10 (considerando 75);
- La sorveglianza sistematica su larga scala di un’area accessibile al pubblico.
L'autorità di controllo competente ha anche identificato le seguenti categorie di titolari che svolgono attività a rischio (considerando 75, 76, 92, 116):
- I trattamenti valutativi o di scoring, inclusa la profilazione e le attività predittive, specialmente riguardanti aspetti come il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato (considerando 71 e 91). A titolo esemplificativo: un istituto finanziario che valuta i propri clienti tramite un database di rischio creditizio o di prevenzione frodi/AML-CTF; una società di biotecnologie che fornisce test genetici direttamente ai consumatori per la predizione del rischio di determinate patologie.
- Le decisioni automatizzate che hanno effetti giuridici significativi o di natura analoga: trattamenti finalizzati a prendere decisioni sugli interessati che portano a effetti giuridici o che incidono in modo analogo significativamente su dette persone (art. 35, par. 3, lett. a). Ad esempio, un trattamento può comportare l’esclusione di una persona da determinati benefici o la sua discriminazione.
- Il monitoraggio sistematico: trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati tramite reti o la sorveglianza sistematica di un’area accessibile al pubblico (art. 35, par. 3, lett. c). La raccolta può avvenire in circostanze in cui gli interessati non sono consapevoli di chi la effettua e per quale scopo, e talvolta non sono in grado di evitarla.
- Dati sensibili o di natura estremamente personale: categorie particolari di dati di cui all’art. 9 (es. opinioni politiche), nonché dati relativi a condanne penali o reati (art. 10). Rilevano anche altri dati legati alla sfera familiare o privata (comunicazioni elettroniche, dati di localizzazione, dati finanziari, documenti personali, e-mail, informazioni di applicazioni che tracciano lo stile di vita).
- Trattamenti di dati su larga scala. Per determinare se un trattamento avviene su larga scala si considerano in particolare: il numero di persone interessate (in valore assoluto o in percentuale sulla popolazione di riferimento); il volume e l’ampiezza delle tipologie di dati trattati; la durata o persistenza del trattamento; l’ambito geografico.
- Combinazione o raffronto di insiemi di dati, per esempio derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dalle ragionevoli aspettative dell’interessato.
- Dati relativi a interessati vulnerabili (considerando 75): esiste uno squilibrio di potere più accentuato tra interessato e titolare. La categoria include i minori, i gruppi di popolazione particolarmente vulnerabili (persone con patologie psichiatriche, richiedenti asilo, anziani, pazienti) e ogni interessato in situazione di squilibrio nella relazione con il titolare.
- Utilizzi innovativi di applicazioni esistenti o applicazione di nuove soluzioni tecnologiche o organizzative. L’uso di una nuova tecnologia (art. 35, par. 1, e considerando 89 e 91) può richiedere la conduzione di una nuova DPIA, poiché può generare nuove forme di raccolta e utilizzo dei dati a rischio elevato.
- Tutti quei trattamenti che, di per sé, impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (art. 22 e considerando 91). Ad esempio, lo screening dei clienti di una banca tramite un sistema di gestione dei rischi per determinare se ammetterli o meno a un finanziamento.
Il concetto di "sistematico" può essere interpretato come: ciò che avviene in modo organizzato, pianificato o regolare; ciò che è parte di un insieme più ampio o di un progetto complessivo di raccolta di dati; ciò che è condotto all’interno di una strategia o di una metodologia specifica.
Il titolare del trattamento deve consultare il responsabile della protezione dei dati (RPD/DPO), se designato (art. 35, par. 2). Tale consultazione e le decisioni adottate dal titolare devono essere documentate nel contesto della DPIA. Il RPD è anche responsabile del monitoraggio dell’esecuzione della DPIA (art. 39, par. 1, lett. c).
In base a queste premesse giuridiche, è sempre opportuno redigere il documento di valutazione al fine di documentare alle autorità di controllo e vigilanza l’adozione delle misure minime necessarie per una corretta valutazione della protezione dei dati trattati dal Titolare.
In particolare, per valutare i rischi e le modalità operative effettive per la corretta protezione dei dati delle terze parti, chiamate "interessati", abbiamo esaminato il tipo effettivo di dati raccolti e trattati, il modo in cui vengono raccolti e trattati, e i metodi di conservazione, custodia e protezione dei dati. L’obiettivo è sviluppare un piano adeguato di iniziative per adempiere agli obblighi imposti dal Regolamento Generale sulla Protezione dei Dati (GDPR).
Lo schema adottato è il seguente:
- descrizione del trattamento;
- valutazione di necessità e proporzionalità;
- misure previste per dimostrare l’osservanza di proporzionalità e necessità;
- valutazione dei rischi per diritti e libertà degli interessati;
- misure previste per affrontare i rischi;
- documentazione;
- monitoraggio e revisione.
Attraverso una serie di domande specifiche e predefinite, basate sulle disposizioni del Regolamento, abbiamo identificato i singoli punti critici nella gestione dei dati delle terze parti. È stata inoltre effettuata una valutazione complessiva per determinare l’esistenza o meno di rischi; nel caso in cui KYD presenti una situazione complessa, potrebbe essere necessario presentare una richiesta formale all’Autorità Nazionale (Garante).
Abbiamo identificato internamente i criteri per adottare un piano di interventi mirato a risolvere le criticità individuali e il livello complessivo di criticità. Infine, sono state proposte diverse tipologie di intervento, di natura tecnica, contrattuale o concettuale, per garantire il rispetto delle norme e delle disposizioni previste dal Regolamento.
Definizioni
Le definizioni contenute nel presente documento sono conformi a quelle stabilite dal Regolamento (articolo 4), tra cui:
- Regolamento (GDPR):
- Regolamento Europeo 2016/679 del Parlamento Europeo del 27.4.2016.
- Dato personale:
- qualsiasi informazione relativa a una persona fisica identificata o identificabile (detta "interessato"). Si considera identificabile la persona che può essere direttamente o indirettamente identificata tramite nome, numero di identificazione, dati di ubicazione, identificatore online o altri elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
- Trattamento:
- qualsiasi operazione o insieme di operazioni svolte su dati personali, compresa la raccolta, registrazione, organizzazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il confronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
- Limitazione di trattamento:
- l’indicazione che i dati personali vengono conservati al fine di limitarne il trattamento futuro.
- Profilazione:
- qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzarli per valutare aspetti personali relativi a una persona fisica, come l’analisi o la previsione delle prestazioni lavorative, la situazione economica, la salute, le preferenze e gli interessi personali, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti.
- Pseudonimizzazione:
- il trattamento dei dati personali in modo tale che essi non possano essere attribuiti a un individuo specifico senza l’utilizzo di ulteriori informazioni, purché tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative adeguate.
- Archivio:
- un insieme organizzato di dati personali accessibili secondo criteri specifici, indipendentemente dalla sua struttura centralizzata, decentralizzata o distribuita in modo funzionale o geografico.
- Titolare del trattamento (o Titolare):
- persona fisica o giuridica, autorità pubblica, servizio o altra entità che, da sola o insieme ad altre, determina le finalità e i mezzi del trattamento dei dati personali.
- Responsabile del trattamento:
- persona fisica o giuridica, autorità pubblica, servizio o altra entità che tratta dati personali per conto del titolare del trattamento.
- Destinatario:
- persona fisica o giuridica, autorità pubblica, servizio o altra entità che riceve comunicazioni di dati personali, siano essi terzi o meno. Le autorità pubbliche che ricevono dati nell’ambito di specifiche indagini non sono considerate destinatari.
- Terzo:
- persona fisica o giuridica, autorità pubblica, servizio o altra entità diversa dall’interessato, dal titolare, dal responsabile e dalle persone autorizzate al trattamento sotto l’autorità diretta del titolare o del responsabile.
- Consenso dell’interessato (o Consenso):
- l’espressione di volontà libera, specifica, informata e inequivocabile dell’interessato, mediante una dichiarazione o un’azione positiva chiara, che acconsente al trattamento dei dati personali che lo riguardano.
- Violazione dei dati personali:
- una violazione della sicurezza che comporta accidentalmente o illegalmente la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o altrimenti trattati.
- Dati genetici:
- i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica, che forniscono informazioni uniche sulla sua fisiologia o salute e che sono ottenuti dall’analisi di un campione biologico.
- Dati biometrici:
- i dati personali ottenuti tramite un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che ne consentono o confermano l’identificazione univoca (es. immagine facciale o dati dattiloscopici).
- Dati relativi alla salute:
- i dati personali che riguardano la salute fisica o mentale di una persona fisica, inclusa la prestazione di servizi sanitari, e che rivelano informazioni sul suo stato di salute.
- Stabilimento principale:
- per il titolare con sedi in più Stati membri, il luogo della sede amministrativa principale nell’UE (salvo che le decisioni su finalità e mezzi siano prese in altra sede dotata del potere di ordinarne l’attuazione); per il responsabile con sedi in più Stati membri, il luogo dell’amministrazione centrale nell’UE o, in mancanza, lo stabilimento in cui si svolgono le principali attività di trattamento.
- Rappresentante:
- persona fisica o giuridica stabilita nell’UE, designata per iscritto dal titolare o dal responsabile ai sensi dell’art. 27 per rappresentarli e adempiere agli obblighi previsti.
- Autorità di controllo (o Garante):
- entità pubblica indipendente istituita da uno Stato membro ai sensi dell’art. 51 del Regolamento.
- Trattamento transfrontaliero:
- il trattamento che avviene nell’ambito delle attività di stabilimenti in più Stati membri da parte di un titolare o responsabile nell’Unione; ovvero il trattamento che avviene nell’ambito di un unico stabilimento nell’Unione ma che ha o è suscettibile di avere un impatto sostanziale su interessati in più di uno Stato membro.
- Obiezione pertinente e motivata (o Obiezione):
- un’obiezione al progetto di decisione circa la sussistenza di una violazione del Regolamento o la conformità dell’azione prevista, che dimostri la rilevanza dei rischi per i diritti e le libertà fondamentali degli interessati e, se applicabile, per la libera circolazione dei dati nell’Unione.
- Servizio della società dell’informazione:
- il servizio definito all’art. 1, par. 1, lett. b) della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio.
- Organizzazione internazionale:
- un’organizzazione e gli organismi di diritto internazionale pubblico ad essa subordinati, o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.
- Contitolare (art. 26):
- un soggetto che, a causa della struttura, organizzazione o modalità di gestione di KYD, ha diritti e obblighi congiunti al pari del Titolare.
- Responsabile per la protezione dei dati — RPD/DPO (art. 37):
- persona nominata, tra individui con competenze specifiche nella protezione dei dati (anche informatiche), quando: il trattamento è effettuato da un’autorità o organismo pubblico (escluse le autorità giurisdizionali); le attività principali richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; le attività principali riguardano il trattamento su larga scala di categorie particolari di dati (art. 9) o di dati relativi a condanne penali e reati (art. 10).
- Documento di valutazione (art. 35):
- documento che contiene la valutazione dell’impatto dei trattamenti pianificati sulla protezione dei dati personali, necessario quando il trattamento potrebbe comportare un rischio elevato per i diritti e le libertà delle persone fisiche.
- Dati "particolari" o "sensibili" (art. 9):
- dati che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, nonché dati genetici, dati biometrici per l’identificazione univoca, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale. Il loro trattamento su larga scala è consentito solo nel rispetto delle rigorose condizioni di legge.
- Dati relativi a condanne penali e reati (art. 10):
- il trattamento su larga scala di questa categoria di dati è consentito solo se rispettate le rigorose condizioni stabilite dal Regolamento.
- Rischio:
- qualsiasi evento che potrebbe compromettere i diritti e le libertà delle persone interessate. È principalmente legato al diritto alla privacy, ma può includere altri diritti fondamentali come libertà di espressione e pensiero, libertà di movimento, divieto di discriminazione, libertà di coscienza e religione.
Se, sulla base della valutazione effettuata, si identificano rischi per le persone interessate derivanti dal trattamento dei dati, è necessario consultare preventivamente l’Autorità di controllo o il Garante.
Criteri WP29 per una DPIA adeguata
Il WP29 (Gruppo di lavoro dell’articolo 29) suggerisce i seguenti criteri che i titolari possono utilizzare per determinare se una DPIA, o una specifica metodologia, include un numero sufficiente di elementi per garantire il rispetto del Regolamento.
Descrizione sistematica del trattamento (art. 35, par. 7, lett. a)
- Si considera la natura, l’ambito, il contesto e le finalità del trattamento (considerando 90);
- Vengono indicati i dati personali trattati, i destinatari e il periodo previsto di conservazione;
- Viene fornita una descrizione funzionale del trattamento;
- Vengono specificati gli strumenti utilizzati (hardware, software, reti, persone, supporti cartacei o canali di trasmissione cartacei);
- Si tiene conto del rispetto di codici di condotta approvati (art. 35, par. 8).
Valutazione di necessità e proporzionalità (art. 35, par. 7, lett. b)
- Misure che contribuiscono alla proporzionalità e necessità del trattamento: finalità specifiche, esplicite e legittime (art. 5(1) lett. b); liceità del trattamento (art. 6); utilizzo di dati adeguati, pertinenti e limitati a quanto necessario (art. 5(1) lett. c); periodo limitato di conservazione (art. 5(1) lett. e);
- Misure a tutela dei diritti degli interessati: informazioni agli interessati (artt. 12, 13, 14); diritto di accesso e portabilità (artt. 15 e 20); diritto di rettifica e cancellazione (artt. 16, 17, 19); diritto di opposizione e limitazione (artt. 18, 19, 21); relazioni con i responsabili (art. 28); garanzie per i trasferimenti internazionali (Capo V); consultazione preventiva (art. 36).
Gestione dei rischi per diritti e libertà (art. 35, par. 7, lett. c)
- Si determina l’origine, la natura, la particolarità e la gravità dei rischi (considerando 84), per ciascun rischio (accesso illegittimo, modifiche indesiderate, indisponibilità dei dati) dal punto di vista degli interessati;
- Si considerano le fonti di rischio (considerando 90);
- Si identificano gli impatti potenziali sui diritti e le libertà degli interessati;
- Si individuano le minacce che potrebbero causare accesso illegittimo, modifiche indesiderate o indisponibilità dei dati;
- Si stimano la probabilità e la gravità dei rischi (considerando 90);
- Si stabiliscono le misure previste per gestire tali rischi (art. 35, par. 7, lett. d e considerando 90).
Coinvolgimento dei soggetti interessati
- Si richiede il supporto e la consulenza del Responsabile per la protezione dei dati (RPD/DPO) (art. 35, par. 2);
- Si cerca il parere degli interessati o dei loro rappresentanti (art. 35, par. 9), se necessario.
Attraverso questo documento, il titolare si impegna ad aderire ai suddetti criteri.
Il registro dei trattamenti
Secondo l’articolo 30 del Regolamento, i titolari di trattamento sono tenuti a mantenere, sotto la loro responsabilità, un registro delle attività di trattamento. La norma è formulata in modo generico e le interpretazioni possono variare: nel presente documento si adotta un’interpretazione cauta e ragionevole.
Il registro dei trattamenti è uno strumento estremamente utile per tracciare i flussi di dati. Se utilizzato e aggiornato regolarmente, può dimostrare, durante eventuali ispezioni, l’attenzione del Titolare alla normativa sulla sicurezza dei dati. Può essere utile indicarvi quali database contengono le informazioni trattate, quali software le elaborano e quali server sono coinvolti.
È opportuno separare le diverse modalità di trattamento dei medesimi dati in base alle finalità. Ad esempio, i dati identificativi di un cliente possono essere trattati per almeno due finalità distinte: (a) per adempiere al contratto tra titolare e interessato; (b) per scopi fiscali. Poiché le finalità sono diverse, è consigliabile prevedere che i dati per la finalità (a) siano conservati per il tempo necessario ad adempierla, mentre per la finalità (b) per il tempo previsto dalle norme tributarie, adottando misure che evitino il trattamento dei dati (a) quando il termine utile sia scaduto.
Nel registro è utile indicare se il trattamento richiede il consenso dell’interessato e quando è stato raccolto, se l’informativa è stata correttamente fornita e quando, o qualsiasi altra informazione rilevante.
Il registro non è un documento statico, ma uno strumento di lavoro da modificare e mantenere aggiornato in modo continuo. È fondamentale individuare nell’organizzazione le persone con una visione completa delle attività di trattamento e coinvolgerle nella redazione e nell’aggiornamento, responsabilizzandole. Il registro dovrebbe essere gestito in modo centralizzato, evitando copie non coordinate.
Non esiste uno strumento obbligatorio per la gestione del registro: può essere un foglio di calcolo o persino un registro cartaceo. Considerandone l’importanza, il titolare ha deciso di dotarsi di tale strumento.
Il sistema sanzionatorio
Il sistema sanzionatorio previsto dall’art. 83 del Regolamento prevede sanzioni fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato mondiale dell’impresa, per le violazioni degli obblighi del titolare e del responsabile di cui agli articoli:
- 8 (Consenso dei minori); 11 (Trattamenti che non richiedono l’identificazione dell’interessato);
- 25 (Protezione dei dati fin dalla progettazione e per impostazione predefinita); 26 (Contitolari); 27 (Rappresentanti di titolari/responsabili non stabiliti nell’Unione);
- 28 (Responsabile del trattamento); 29 (Trattamento sotto l’autorità del titolare o del responsabile); 30 (Registri delle attività di trattamento); 31 (Cooperazione con l’Autorità di controllo);
- 32 (Sicurezza del trattamento); 33 (Notifica di una violazione all’autorità di controllo); 34 (Comunicazione di una violazione all’interessato);
- 35 (Valutazione d’impatto); 36 (Consultazione preventiva); 37, 38, 39 (Designazione, posizione e compiti del RPD/DPO);
- 42 e 43 (Certificazione e Organismi di certificazione), nonché gli obblighi imposti dall’organismo di certificazione e dall’organismo di controllo relativi ai codici di condotta (art. 41, comma 4).
Il medesimo art. 83 prevede sanzioni fino a 20 milioni di euro o, se superiore, fino al 4% del fatturato mondiale dell’impresa, per le violazioni di:
- principi di base del trattamento (artt. 5, 6, 7, 9);
- diritti degli interessati (artt. 12-22: informazioni e trasparenza, informazioni in caso di raccolta presso e non presso l’interessato, accesso, rettifica, cancellazione/oblio, limitazione, notifica, portabilità, opposizione, processo decisionale automatizzato e profilazione);
- trasferimenti illeciti di dati a destinatari di paesi terzi o organizzazioni internazionali;
- norme adottate dallo Stato nazionale;
- inosservanza di un ordine, di una limitazione provvisoria o definitiva del trattamento, di un ordine di sospensione dei flussi di dati dell’autorità di controllo, o negato accesso ai dati in favore dell’autorità di controllo.
Base giuridica del trattamento
Il titolare deve garantire che la base giuridica per il trattamento dei dati sia chiara e univoca per ciascuna finalità. A tal fine si adottano procedure adeguate per separare, quando necessario, la raccolta del consenso per i dati che non trovano una base legale nelle seguenti circostanze:
- Obbligo di legge o regolamento: il trattamento è necessario per adempiere a un obbligo imposto dalla legge o da un regolamento;
- Contratto con l’interessato o esecuzione di un rapporto contrattuale: il trattamento è necessario per l’esecuzione di un contratto o per adempiere a una richiesta dell’interessato nell’ambito di un rapporto contrattuale;
- Legittimo interesse del titolare: il trattamento è basato su un legittimo interesse del titolare o di un terzo, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato;
- Tutela degli interessi vitali dell’interessato o di un’altra persona fisica;
- Esecuzione di un compito di interesse pubblico o nell’esercizio di pubblici poteri conferiti al titolare.
Quando vengono raccolti e trattati dati che non rientrano in una di tali circostanze, o non sono strettamente pertinenti ad esse, il titolare può opzionalmente richiedere il consenso dell’interessato per il trattamento di ulteriori dati, per finalità dichiarate nel modulo di informativa.
Parte speciale — Titolare del trattamento
Il titolare del trattamento ai sensi della normativa vigente è: Metadonors. Il titolare ha sede nell’Unione Europea.
Il servizio KYD — Know Your Donor
Il servizio denominato KYD – Know Your Donor costituisce una funzionalità specialistica finalizzata alla verifica e all’aggiornamento delle informazioni anagrafiche relative ai soggetti presenti nei database delle organizzazioni utilizzatrici, mediante interrogazione di banche dati anagrafiche e fonti informative autorizzate accessibili attraverso la piattaforma OpenAPI e i relativi fornitori di servizi di informazione certificata. Il servizio consente al titolare di verificare la persistenza in vita dei soggetti censiti nei propri archivi e, in caso di decesso, di acquisire informazioni relative all’esistenza e al numero dei potenziali eredi risultanti dalle fonti consultabili, al fine di aggiornare correttamente le proprie banche dati, evitare trattamenti non pertinenti o eccedenti nei confronti di soggetti deceduti, garantire la qualità e l’esattezza delle informazioni trattate e consentire l’eventuale gestione di rapporti giuridici o amministrativi che richiedano l’individuazione dei successori del soggetto originariamente registrato.
Il funzionamento del servizio si basa sull’interrogazione puntuale di fonti informative esterne tramite interfacce applicative (API) messe a disposizione da OpenAPI o da ulteriori fornitori qualificati, mediante la trasmissione dei dati strettamente necessari all’identificazione del soggetto da verificare (nome, cognome, codice fiscale e altri eventuali identificativi disponibili presso il titolare). L’interrogazione genera un esito informativo che può comprendere la conferma dello stato in vita del soggetto, l’indicazione dell’eventuale decesso risultante dalle banche dati consultate e, ove consentito dalla normativa e dalle informazioni rese disponibili dal fornitore, dati relativi all’esistenza e al numero degli eredi individuabili. Le informazioni ottenute vengono restituite al titolare e possono essere registrate nei sistemi informativi dell’organizzazione, esclusivamente per le finalità dichiarate e nel rispetto dei principi di necessità, pertinenza e minimizzazione previsti dal Regolamento (UE) 2016/679.
Categorie di dati e finalità del trattamento
L’utilizzo del servizio KYD comporta il trattamento di dati personali relativi sia ai soggetti oggetto di verifica sia, indirettamente, a soggetti terzi individuati quali eredi o aventi causa. Le categorie di dati trattati possono comprendere dati identificativi e anagrafici, dati relativi allo stato civile e alla condizione di esistenza in vita del soggetto, nonché informazioni relative alla successione ereditaria nei limiti consentiti dalle fonti consultate. Sebbene tali informazioni non rientrino ordinariamente nelle categorie particolari di dati di cui all’art. 9 del Regolamento, esse presentano un elevato grado di delicatezza sotto il profilo della tutela della vita privata, in quanto consentono di desumere eventi personali rilevanti quali il decesso di una persona fisica e l’esistenza di rapporti familiari o successori.
Le finalità perseguite consistono principalmente nell’aggiornamento e nella bonifica delle basi dati detenute dal titolare, nella verifica dell’attualità delle informazioni anagrafiche, nell’eliminazione o limitazione di trattamenti non più pertinenti nei confronti di soggetti deceduti, nella corretta gestione di rapporti amministrativi, patrimoniali o informativi connessi alla posizione del soggetto verificato e, ove sussista una base giuridica adeguata, nell’individuazione di soggetti aventi titolo a subentrare in rapporti giuridici o relazionali precedentemente riferiti alla persona deceduta. Il trattamento è funzionale al perseguimento del legittimo interesse del titolare alla corretta gestione dei propri archivi, alla qualità dei dati trattati e all’esercizio o difesa di propri diritti, fermo restando l’obbligo di verificare caso per caso la sussistenza della base giuridica applicabile e la compatibilità delle operazioni con le finalità originarie per le quali i dati sono stati raccolti.
Rischi per i diritti e le libertà degli interessati
Sotto il profilo della protezione dei dati personali, l’utilizzo del servizio comporta specifici rischi per i diritti e le libertà degli interessati, derivanti principalmente dalla possibilità di acquisire informazioni inesatte, non aggiornate o riferite a soggetti diversi da quelli effettivamente oggetto della verifica, nonché dalla potenziale divulgazione non autorizzata di informazioni relative allo stato di decesso o alla situazione successoria di una persona. Ulteriori rischi possono derivare dall’accesso abusivo ai risultati delle interrogazioni, dall’utilizzo delle informazioni per finalità ulteriori rispetto a quelle dichiarate o dalla conservazione dei dati per periodi eccedenti rispetto a quelli necessari. Tali rischi assumono particolare rilevanza in considerazione del carattere potenzialmente sensibile delle informazioni trattate e della loro capacità di incidere sulla sfera privata e familiare delle persone coinvolte.
Misure tecniche e organizzative
Al fine di mitigare tali rischi, il titolare è tenuto ad adottare adeguate misure tecniche e organizzative, tra cui: la limitazione degli accessi al servizio ai soli soggetti espressamente autorizzati; la registrazione e tracciatura delle interrogazioni effettuate; la definizione di procedure che disciplinino i presupposti e le finalità delle verifiche anagrafiche; la verifica periodica della correttezza delle informazioni acquisite; la conservazione dei risultati esclusivamente per il tempo necessario al perseguimento delle finalità.
Dovranno inoltre essere disciplinati contrattualmente i rapporti con OpenAPI e con gli eventuali ulteriori fornitori coinvolti nel trattamento, verificando il ruolo privacy assunto da ciascuno e garantendo che il trasferimento e l’elaborazione delle informazioni avvengano nel rispetto del Regolamento e delle misure di sicurezza applicabili. Assumono particolare rilevanza la cifratura dei dati in transito, l’utilizzo di canali sicuri di comunicazione, la segregazione degli accessi, la conservazione dei log di consultazione e l’adozione di procedure di audit periodico finalizzate a verificare la liceità e la correttezza delle interrogazioni effettuate.
Necessità e proporzionalità
Alla luce delle caratteristiche del trattamento, il servizio KYD si configura come uno strumento destinato a migliorare l’accuratezza e l’aggiornamento delle informazioni detenute dal titolare, consentendo di ridurre il rischio di mantenere nei propri archivi dati non più aggiornati o riferiti a soggetti deceduti. L’utilizzo del servizio appare pertanto necessario e proporzionato rispetto alle finalità perseguite, purché le interrogazioni vengano effettuate esclusivamente in presenza di un’idonea base giuridica, nel rispetto dei principi di minimizzazione, limitazione della finalità, esattezza dei dati e accountability previsti dal Regolamento (UE) 2016/679, e purché siano adottate misure adeguate a garantire che le informazioni ottenute non vengano utilizzate per finalità incompatibili con quelle per le quali sono state acquisite.
Base legale e gestione del consenso
Il trattamento dei dati ha una base legale che può essere: (A) obbligo di legge o regolamento; (B) contratto con l’interessato o esecuzione di un contratto; (C) legittimo interesse del titolare o di terzi; (D) interesse vitale e urgente dell’interessato; (E) consenso esplicito dell’interessato; (F) esecuzione di un compito di interesse pubblico. Le finalità del trattamento sono: adempiere al contratto, adempiere a un obbligo di legge, tutelare i propri diritti o quelli di terzi.
Il Titolare potrebbe trattare dati per il proprio legittimo interesse senza richiedere il consenso preventivo, dopo aver bilanciato i propri interessi con quelli degli interessati. A tale scopo si adotta come criterio di base la valutazione del diritto degli interessati a non ricevere comunicazioni non necessarie o indesiderate, a non vedere trattati i propri dati oltre i limiti degli interessi del titolare e per periodi di tempo eccessivi. Eventuali dati trattati per il legittimo interesse saranno cancellati tempestivamente non appena diventano potenzialmente obsoleti.
Gli interessati saranno informati del loro diritto di presentare un reclamo presso l’Autorità Garante, come specificato nell’informativa sul trattamento dei dati che verrà loro fornita.
Nel caso in cui sia previsto il trasferimento dei dati all’estero ma all’interno dell’Unione Europea, è necessario informare gli interessati attraverso un apposito paragrafo nello strumento di informativa. Nel caso di trasferimento dei dati in un paese esterno all’Unione Europea, è necessario stipulare un contratto con il soggetto terzo che garantisca la protezione e il trattamento dei dati in conformità al Regolamento; alcuni soggetti hanno aderito a protocolli di portata generale (come Google, Amazon).
L’invio dei dati a un paese terzo non appartenente all’UE deve essere sottoposto a una valutazione di adeguatezza del paese di destinazione, basata sulle valutazioni della Commissione Europea. Se il trattamento con il terzo non è stato adeguatamente regolamentato, la trasmissione è vietata. In ogni caso, è vietato il trasferimento dei dati a un paese terzo su richiesta delle autorità giudiziarie di quel paese, salvo accordi di cooperazione internazionale.
Il Titolare informerà gli interessati, tramite apposito paragrafo nell’informativa, sulla durata di conservazione dei dati o sui criteri utilizzati per determinarla (ad esempio nel rispetto dei termini di prescrizione dei diritti o degli obblighi fiscali).
Il Titolare raccoglierà i dati degli interessati e otterrà il loro consenso in modo esplicito, ove richiesto. La modulistica utilizzata, cartacea o elettronica, deve essere separata da qualsiasi altra documentazione ed essere chiara e facilmente individuabile. Nella raccolta elettronica è necessario utilizzare un sistema informatico che registri l’accesso al server, salvi il modulo e apponga un timestamp.
L’interessato potrà revocare in qualsiasi momento il consenso eventualmente prestato al trattamento dei propri dati. Tuttavia, se il consenso viene revocato, il Titolare valuta se sussistano propri diritti o obblighi di conservare i dati, limitando comunque il trattamento esclusivamente all’adempimento degli obblighi di legge o alla tutela dei propri diritti, anche nei confronti dell’interessato, eventualmente attraverso azioni legali.
Quando la raccolta dei dati avviene per il rispetto di un obbligo di legge, il trattamento è considerato lecito senza richiedere il consenso. I dati saranno raccolti nel rispetto del principio di minimizzazione, trattando solo i dati necessari a concludere e adempiere al contratto o agli obblighi di legge che ne derivano. Prima della raccolta, gli interessati vengono informati, tramite apposita sezione dell’informativa, sui dati oggetto di trattamento, sulle finalità specifiche e sulle conseguenze dell’eventuale mancato conferimento. Il Titolare separerà le richieste di consenso tra i dati indispensabili per l’esecuzione del contratto e quelli non necessari, per i quali l’interessato può rifiutare totalmente o parzialmente il consenso. Eventuali altre finalità saranno trattate e regolate separatamente.
Diritti degli interessati
Il Titolare adotterà misure adeguate per consentire agli interessati di accedere ai propri dati, apportando le modifiche necessarie al modulo informativo a vantaggio dell’interessato. Metterà a disposizione una procedura idonea a rispondere tempestivamente (entro un massimo di 30 giorni) alle richieste di accesso, garantendo risposta scritta, anche in formato elettronico, con informazioni sul periodo di conservazione e sulle garanzie relative al trasferimento dei dati all’estero.
Il Titolare verificherà l’eventuale sussistenza delle circostanze in cui è possibile negare i diritti dell’interessato previsti dall’art. 2-undecies del d.lgs. 196/2003, giustificando in tal caso il rifiuto all’interessato in conformità alla legge. Adotterà inoltre procedure per l’identificazione del richiedente, manuali o informatiche, che offrano una ragionevole certezza dell’identità.
Il Titolare potrebbe dover trasferire i dati a terze parti e ne informerà l’interessato, indicando le categorie di terze parti destinatarie. In caso di trasferimento verso un paese esterno all’Unione Europea, verificherà preventivamente l’adesione del destinatario alle norme del Regolamento (mediante contratto o atto volontario generale); se il paese non è ritenuto adeguato, il trasferimento avverrà solo previo consenso dell’interessato.
Non è previsto che le finalità del trattamento possano essere modificate; qualora ciò accada, il Titolare adotterà procedure per informare gli interessati, consentendo loro di esercitare il diritto di opposizione al cambiamento delle finalità.
Il Titolare verificherà e adeguerà le procedure di rettifica dei dati esistenti, informando l’interessato del proprio diritto tramite il modulo informativo. Implementerà inoltre procedure adeguate per garantire il diritto all’oblio e alla cancellazione, individuando e attuando procedure che consentano la cancellazione dei dati anche in presenza di obblighi di conservazione di diversa natura, ove possibile, e configurando i propri processi affinché i dati vengano cancellati automaticamente al termine dei periodi specificati, compatibilmente con costi e disponibilità tecnica ed economica.
Il Titolare, ad eccezione dei dati obbligatori da conservare per legge, decide di cancellare i dati non necessari degli interessati entro un periodo di 10 anni.
Il Titolare informerà gli interessati dei diritti di limitazione del trattamento e adotterà procedure apposite per limitarlo (parcheggio dei dati). Metterà inoltre in atto misure informative sulla cancellazione dei dati effettuata autonomamente e implementerà procedure automatiche di trasmissione dei dati (portabilità) in un formato leggibile da macchine, informando gli interessati di tale diritto tramite il modulo informativo.
Il Titolare non prevede di raccogliere dati in modo che siano immutabili per natura, destinazione o modalità di conservazione. Qualora si presenti tale esigenza, gli interessati saranno informati, tramite comunicazione specifica nel modulo informativo, della possibilità che i dati raccolti non possano essere modificati in alcun modo.
Sicurezza dei sistemi, data breach e continuità
Il Titolare, eventualmente tramite il DPO se nominato, deve segnalare eventuali incidenti al Garante entro 72 ore se ritiene sussistano rischi per i diritti e le libertà degli interessati. La segnalazione deve includere una descrizione dell’incidente, i dati del Responsabile del Trattamento o del DPO se nominato, le conseguenze dell’incidente e le misure adottate per proteggere i dati e contrastarne gli effetti. Gli interessati devono essere informati solo in presenza di un rischio elevato che li riguarda, salvo siano state adottate misure di protezione adeguate (prima e dopo l’incidente) o salvo che l’avviso richieda uno sforzo sproporzionato (in tal caso può essere sufficiente un avviso pubblico).
Dovranno essere previste misure di protezione per i sistemi informatici e i dati, tra cui:
- misure di pseudonimizzazione;
- misure tecniche per garantire l’integrità, la disponibilità e la resilienza dei sistemi, definite nelle procedure tecniche appropriate stabilite con il responsabile informatico;
- capacità di ripristinare tempestivamente i dati in caso di incidente fisico o tecnico (backup attivo);
- procedure per testare e verificare l’efficacia delle misure tecniche adottate;
- valutazione dei rischi in caso di perdita, distruzione, modifica o divulgazione, accesso accidentale o illegale ai dati;
- adozione di sistemi di crittografia dei dati, secondo le procedure tecniche stabilite con il responsabile informatico.
La protezione dei dati in caso di disastro sarà garantita. Sono in atto meccanismi adeguati per il ripristino dei dati da copie di backup effettuate quotidianamente o più volte al giorno. Il Titolare detiene un piano documentato che descrive le attività di ripristino e stabilisce un limite massimo di tempo entro il quale i sistemi devono tornare operativi.
Sono implementati sistemi di backup e ridondanza. Vengono eseguiti backup regolari, sia in loco sia in altre sedi, e i sistemi di backup sono protetti da intrusioni o eventi catastrofici. È previsto un piano di ripristino dei dati con un limite massimo di tempo per il ritorno operativo dei sistemi.
Sono state progettate e implementate misure adeguate per prevenire, bloccare e individuare intrusioni nei sistemi informatici del titolare, con l’aiuto di un DPO/RPD o di un consulente di sicurezza informatica. Tali misure vengono regolarmente aggiornate in base al rischio.
Trasferimenti dei dati all’estero
Qualora i dati oggetto di trattamento vengano trasferiti all’estero, si è stabilito che potranno essere trasferiti in uno Stato dell’Unione Europea in base ad accordi assunti con il destinatario, che si impegni al pieno rispetto del Regolamento: quest’ultimo, trovando piena applicazione in tutta l’Unione, deve considerarsi norma fondante la liceità del trasferimento ai sensi dell’art. 45, comma 2, lett. a). Sarà di volta in volta verificato se il destinatario si sia adeguato spontaneamente alle normative europee con provvedimento di carattere generale o contrattuale.
Ai fini del trasferimento in paesi esterni all’Unione Europea, oltre alla stipula di eventuali specifici contratti con il destinatario che lo vincolino al rispetto del Regolamento, il Titolare si impegna a valutare preventivamente se sussista un giudizio di adeguatezza del paese destinatario, compiuto dalla Commissione Europea, di modo che il paese rispetti le condizioni di cui all’art. 45, comma 2, lett. a) (Stato di diritto, diritti umani, legislazione in materia di sicurezza e protezione dei dati), lett. b) (esistenza e funzionamento di un’autorità equiparabile alle autorità Garanti) e lett. c) (assunzione di impegni internazionali vincolanti per la protezione del trattamento dei dati).
Valutazione dei rischi residui
Si è anche valutato che attualmente non sussistono i seguenti rischi per la sicurezza e la libertà delle persone:
- un livello di esposizione del Titolare e del servizio KYD ai rischi di attacchi informatici premeditati e su larga scala, in ragione del posizionamento sul mercato e della visibilità nei mezzi di comunicazione;
- il rischio di violazione o intrusione da parte di terze parti malevole nei documenti elettronici e cartacei, in particolare per i dati critici;
- il rischio di perdita o cancellazione accidentale o tecnica dei dati.
Inoltre, tenendo conto del fatto che il Titolare, nell’impiego del servizio KYD fornito da Metadonors:
- al momento non tratta dati di minori di età compresa tra 14 e 18 anni;
- potrebbe implementare nel tempo nuove misure tecnologiche di sicurezza;
- al momento non deve gestire dati con diverse durate di conservazione.
Revisione del documento
Si ritiene necessario stabilire che il presente documento di autovalutazione venga revisionato almeno una volta ogni dodici mesi, o più frequentemente in caso di importanti sviluppi tecnologici o di nuove pratiche o pareri delle autorità che ne suggeriscano la revisione.
Sottoscrizione
Il presente documento è redatto e sottoscritto dal Titolare del trattamento, Metadonors Srl, con il supporto del Responsabile della protezione dei dati (DPO).