In fase di definizione della proposta progettuale o dell’attività, il Responsabile della stessa deve comprendere il processo di trattamento, contestualizzarlo nella realtà in cui opera e considerare gli obiettivi previsti in rapporto all’organizzazione interna, i sistemi informatici utilizzati e i portatori d’interesse. Si tratta di un’analisi preliminare del trattamento che deve porre particolare attenzione a: tipologia di dati personali trattati, eventuali criticità, volume dei dati personali trattati, caratteristiche degli interessati ecc.. È inoltre necessario descrivere il ciclo di vita del dato, ossia il flusso del processo di trattamento, dalla raccolta, alla conservazione, alla cancellazione o anonimizzazione dei dati personali.

Individuato il trattamento è necessario definire i ruoli dei soggetti coinvolti e stabilire chi opera in qualità di Titolare e chi, eventualmente, in qualità di Responsabile.

Titolare è colui che, da solo o con altri, ha potere decisionale su tutto o parte del trattamento. È colui che può rispondere al perché il trattamento si svolge.

Un Responsabile agisce sul trattamento per conto del Titolare è può stabilire solo le modalità non essenziali del trattamento.

Una volta definiti i ruoli, qualora la struttura CNR agisca in qualità di titolare o contitolare, dovrà procedere con una Valutazione d’Impatto o almeno con una Valutazione del rischio, come indicato nei passaggi successivi. Qualora invece agisca come Responsabile di un trattamento dovrà limitarsi a trattare i dati secondo le indicazioni fornite dal titolare del trattamento. Al Responsabile è comunque consentito definire in autonomia i mezzi, non essenziali, del trattamento.

Può accadere che la struttura del CNR, che agisce da Titolare, determini le finalità e i mezzi del trattamento insieme ad uno o più soggetti (caso frequente, ad esempio, nella definizione di proposte progettuali in bandi di ricerca). In tal caso si determina una Contitolarità del trattamento fra più partner. I diversi Titolari definiscono quindi congiuntamente (complementandosi) le finalità e le modalità (essenziali) del trattamento.

In caso di contitolarità l’art. 26 del GDPR prevede che venga redatto un accordo tra contitolari che vincoli le parti ai principi di conformità al GDPR. Oltre a precisare l’oggetto del trattamento, lo scopo, il tipo di dati e le categorie di interessati; l’accordo deve dettagliare le rispettive responsabilità (riferendole al ciclo di vita del dato) nell’adeguamento al GDPR per tutte le fasi del trattamento in contitolarità, ossia: utilizzo dei dati, adozione delle misure di sicurezza, predisposizione dell’Informativa e gestione delle richieste degli interessati attraverso un punto di contatto, redazione della DPIA, eventuale ricorso a Responsabili esterni, esercizio dei diritti dell’interessato e trasferimento dei dati a Paesi terzi. L’estratto dell’accordo con i punti salienti deve essere messo a disposizione dell’interessato (ad es. può essere inserito nell’Informativa).

Lo EDPB, nelle Linee Guida relative alla valutazione d’impatto (WP 248 rev. 01), individua nove criteri ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”, mentre con il provv. 467/2018 del Garante italiano dell’11 ottobre 2018 sono state elencate dodici tipologie di trattamenti per i quali si rende necessaria la DPIA.

Prima di procedere con una Valutazione del rischio del trattamento è quindi opportuno considerare se il trattamento effettuato rientri in uno dei dodici casi previsti dal Garante. In tal caso, infatti, una Valutazione del rischio del trattamento non sarà, a priori, sufficiente e si procederà direttamente con una Valutazione d’Impatto (che comunque prevede anche la valutazione del rischio). Si faccia attenzione anche al chiarimento interpretativo (nella stessa pagina sopra linkata) in merito ai trattamenti su larga scala.

Ogni nuovo trattamento di dati personali può presentare dei rischi per i diritti e le libertà degli interessati; per tale ragione, in accordo con gli artt. 24, 25, e 32 del GDPR il titolare (cui ruoli e funzioni, nel CNR, vengono assunti dai Responsabili di struttura) deve sempre effettuare – per il tramite operativo del Responsabile scientifico/attività – una valutazione dei rischi per la protezione dei dati insiti nell’attività di trattamento. “Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati” (art. 32, par. 2). Il livello di rischio è il prodotto della probabilità che l’evento accada e della gravità che produce (a prescindere dalle misure implementate).

Il risultato della valutazione del rischio, condotta dal Responsabile scientifico/attività, viene valutata dal Responsabile della struttura (che opera da Titolare) al fine di valutare l’adeguatezza delle misure implementate per il trattamento, con il fine di limitare al massimo la possibilità che le minacce si concretizzino. In particolare, se il rischio è:

• basso: il rischio è accettabile dall’organizzazione e le misure organizzative e tecniche sono attuate in maniera idonea e sistematica;
• medio: il rischio potrebbe essere accettabile ma l’adozione delle misure tecnico-organizzative non è del tutto adeguata e deve essere monitorata su basi regolari;
• alto: il rischio è ad un livello non accettabile e necessita un rafforzamento delle misure di mitigazione.

In caso di rischio elevato, a prescindere dalle misure di mitigazione del rischio adottate, è opportuno procedere con una Valutazione d’Impatto.

Fra i compiti assegnati al Responsabile per la Protezione Dati (art. 39 del GDPR) vi è anche quello di “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati“.

La valutazione d’impatto (DPIA) viene condotta sul trattamento per documentare e dimostrare la conformità delle misure attuate e il rispetto del GDPR. Non è obbligatorio svolgere una DPIA per ciascun nuovo trattamento, ma solo quando si presentano condizioni che possono determinare un rischio elevato per i diritti e le libertà delle persone fisiche (art. 35, paragrafo 1). Al fine di ottenere un applicazione coerente del Regolamento sono previsti alcuni casi (si veda punto 6) in cui la DPIA è obbligatoria.

La DPIA va effettuata “prima del trattamento” (art. 35, par. 1 e 10, considerando 90 e 93). Nel caso in cui la DPIA debba essere svolta, le caratteristiche minime che essa deve contenere sono:

1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
2. una valutazione della necessità e proporzionalità del trattamento in relazione alle finalità;
3. una valutazione dei rischi per i diritti e le libertà degli interessati;
4. le misure previste per affrontare i rischi e dimostrare la conformità al Regolamento.

Le misure di mitigazione adottate a seguito del rischio rilevato nei confronti di possibili minacce, sono necessarie per proteggere gli strumenti utilizzati e i dati personali trattati, in modo da:

• salvaguardare i principi alla base del trattamento dei dati personali;
• ridurre l’impatto sugli interessati;
• tutelare le proprietà di sicurezza dei dati (disponibilità, riservatezza, integrità).

A seguito dell’attuazione delle misure di sicurezza, il titolare potrà rilevare eventuali carenze che lasciano un rischio residuo. Se tale rischio non è considerato accettabile sarà necessario procedere con l’applicazione di ulteriori misure di mitigazione del rischio. Qualora, nonostante le misure applicate il rischio dovesse mantenersi elevato o nel caso non sia possibile applicare misure per attenuare il rischio, sarà necessario procedere con una consultazione dell’autorità di controllo ai sensi dell’art. 36 del GDPR, richiesta che dovrà essere accompagnata dal parere del RPD.

L’art. 39, primo paragrafo, lettera c) del GDPR affida al RPD il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento”. Il titolare, pertanto, ai sensi dell’art. 35 del GDPR, si consulta con il RPD quando svolge una DPIA; il WP29 prevede che il RPD fornisca consulenza in merito a:

• se condurre o meno una DPIA;
• quale metodologia adottare nel condurre una DPIA;
• se condurre la DPIA con le risorse interne ovvero esternalizzandola;
• quali misure tecniche e organizzative applicare per attenuare i rischi per i diritti e le libertà delle persone interessate.

Per tale ragione il RPD può esprimere un parere se la DPIA sia stata condotta correttamente o meno, e se il trattamento risulti quindi conforme al GDPR. Come precisato dal WP29, qualora il titolare non sia d’accordo con le indicazioni fornite dal RPD, è necessario che la documentazione relativa alla DPIA riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni.

L’art. 24 par. 1 del GDPR assegna al titolare la responsabilità della conformità al GDPR per ogni trattamento in atto e in programma di attuazione. Spetta quindi al titolare (nel CNR, al Responsabile interno), dopo aver definito la metodologia attraverso cui condurre la DPIA in presenza di un rischio elevato:

• approvare e documentare la DPIA e le decisioni prese;
• consultare l’autorità di controllo se non è stato possibile trovare misure sufficienti per ridurre i rischi a un livello accettabile;
• riesaminare periodicamente la valutazione d’impatto sulla protezione dei dati, se è ipotizzabile una variazione del rischio rilevato.

Le persone autorizzate al trattamento dei dati personali (art. 4 par. 10 GDPR) o designati – come li definisce il Codice Privacy novellato dal D. lgs 101/2018 (art. 2 quaterdecies) –  sono i soggetti che effettuano materialmente le operazioni di trattamento sui dati personali e possono operare alle dipendenze del titolare, ma anche del responsabile se nominato. È fondamentale che gli autorizzati siano adeguatamente formati sull’attività da svolgere e che vengano fornite loro le istruzioni operative (art. 29 GDPR) e le informazioni sugli obblighi inerenti il rispetto delle misure di sicurezza e la riservatezza dei dati trattati.

L’art. 30 del GDPR prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del Registro delle attività di trattamento. Il registro è un documento contenente le principali informazioni relative alle operazioni di trattamento svolte dal titolare o dal responsabile del trattamento. Esso costituisce uno dei principali elementi di accountability del titolare ed è necessario anche per permettere la verifica successiva da parte dell’autorità di controllo del rispetto della normativa da parte dei soggetti obbligati. Per comprendere meglio si potrebbe pensare al registro rispetto al trattamento, come all’indice dei capitoli di un libro.

Il titolare è il soggetto a cui compete il rispetto dei principi generali di trattamento e deve essere in grado di “comprovarlo” (art. 24 par. 1 del GDPR); è, pertanto, importante che il Responsabile scientifico/attività documenti le scelte strategiche e le misure tecniche e organizzative adottate, con l’obiettivo di dimostrarne l’efficacia in rapporto ad alcuni indicatori idonei a rappresentare il livello di protezione raggiunta. Una puntuale e periodica documentazione facilita anche l’identificazione di cambiamenti in itinere che potrebbero influire sull’efficacia dell’operazione di trattamento, rendendo necessari interventi correttivi. Inoltre, nell’ambito della ricerca scientifica, allo scopo di “documentare che il trattamento sia effettuato per idonei ed effettivi scopi statistici o scientifici” è necessario che il trattamento sia documentato nell’ambito di “un progetto redatto conformemente agli standard metodologici del pertinente settore disciplinare” la cui documentazione andrà conservata per i cinque anni dalla chiusura del progetto stesso come richiesto dall’art. 3 delle Regole Deontologiche per i trattamenti a fini statistici o di ricerca scientifica.

A seguito dell’inserimento nel Registro, il trattamento di dati personali può essere messo in atto e il Piano di trattamento del rischio definito in fase di analisi va a regime, applicando le misure tecniche e organizzative “adeguate” al caso e volte a ridurre al minimo i rischi di distruzione o perdita dei dati, accesso non autorizzato, trattamento non consentito e modifica dei dati. La natura, l’ambito di applicazione, il contesto delle operazioni di trattamento ed il rischio possono mutare nel corso del trattamento; per tale ragione va promosso un monitoraggio continuativo al fine di garantire che vengano rispettati i principi e gli obblighi previsti dal Regolamento.