Troppi rischi alla privacy per gli utenti Facebook, la DPIA del Garante norvegese

Il Garante Privacy norvegese, Datailsynet, ha svolto un’importante ricerca in tema di valutazione dei rischi conosciuta meglio come DPIA ossia Data Protection Impact Assessment, poichè lo stesso ha ipotizzato di utilizzare il canale social di Facebook per svolgere le proprie attività istituzionali attraverso la creazione di una pagina sul noto social network.

Cosa è la DPIA

La DPIA è uno strumento di elevata rilevanza per responsabilizzare gli utenti in tema di privacy e diritti, in quanto accompagnano i titolari del trattamento non soltanto per il rispetto dei requisiti del GDPR, ma servono anche a dimostrare che sono state utilizzate misure appropriate tali da garantire il rispetto del GDPR. La DPIA viene per questo motivo ripresa anche dalle linee guida in tema di DPIA del Garante Privacy italiano, le quali chiariscono l’importanza della valutazione d’impatto sulla protezione dei dati quale processo inteso a garantire e dimostrare la conformità.

Il GDPR sulla valutazione di impatto sulla protezione dei dati

La definizione appena riportata è possibile desumerla tramite le Linee guida del Garante, mancando nel regolamento generale sulla protezione dei dati la definizione formale del concetto di valutazione d’impatto sulla protezione dei dati.  La nozione ed i caratteri della di DPIA è possibile delinearli, con uno sforzo ermeneutico da parte degli interpreti, ai sensi dell’art. 35 par. 7 del GDPR.

Il Garante Privacy norvegese

Operata questa breve premessa, tornando al fatto che ci occupa, bisogna chiarire che l’intento originario del Garante norvegese era quello di creare una decisione informata “tuttavia – afferma Bjørn Erik Thon (direttore generale dell’Autorità per la protezione dei dati) – riteniamo che questa valutazione possa essere di grande interesse anche per molte altre imprese”.

Attraverso il DPIA si verifica sostanzialmente il rispetto – da parte di Facebook in questo caso – dei requisiti in tema di accountability imposti dalla normativa GDPR.Il risultato è stato purtroppo negativo: infatti il Garante Privacy norvegese ha bocciato in toto l’utilizzo della pagina Facebook per lo svolgimento delle proprie attività istituzionali in quanto non ha ritenuto sufficientemente tutelati i propri dati personali e da qui ha compreso l’importanza del documento che potesse essere d’esempio per molte aziende/imprese che abbiano intenzione di “lavorare” o “promuovere la propria attività” attraverso una pagina Facebook. È bene chiarire per DPIA facciamo riferimento ad un onere di accountability imposto dal GDPR in determinati casi presenti nell’art. 35 GDPR. Per effettuare questa valutazione dei rischi non viene indicato dalla normativa alcun “modello standard” da seguire per il suo svolgimento ma solo alcune indicazioni in merito al “contenuto minimo” che l’atto deve presentare ovvero:

-una descrizione dei trattamenti previsti e delle finalità del trattamento;

-una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

-una valutazione dei rischi per i diritti e le libertà degli interessati;

-le misure previste per affrontare i rischi.

Riassumendo l’attività svolta dall’Autorità garante della privacy norvegese ha avuto ad oggetto l’indagine sulla responsabilità per la protezione dei dati personali nel creare una pagina Facebook e sulla conformità di questa con la normativa Data Protection nonché sull’informativa privacy. L’autorità norvegese al termine della sua attività, come su anticipato, ha riscontrato elevate criticità in merito ai rischi legati al trattamento dei dati personali, questo perché Facebook non sarebbe in grado di mettere in atto quelle misure necessarie e sufficienti ad attenuarli; non sarebbe neppure conforme all’art. 26 GDPR sulla contitolarità del trattamento e circa l’esercizio dei diritti degli interessati, compreso il diritto all’oblio e il diritto alla cancellazione dei dati personali dal web. Orbene, non sarebbe possibile per l’Autorità rispettare i requisiti dell’art. 25 GDPR di privacy by default e by design. È evidente, dunque, che Facebook abbia un enorme potenziale, visto il grande interesse da parte di imprese e aziende sullo sviluppo dell’informazione e della comunicazione digitale nonché propaganda ma tale potenzialità deve essere attentamente valutata alla luce dei rischi evidenziati dal garante privacy norvegese nel suo DPIA.