Parere 04/2013 - WP205

concernente il modello di valutazione d'impatto sullaprotezione dei dati per la rete intelligente e i sistemi di misurazioneintelligenti ("modello di valutazione d'impatto sulla protezione dei dati)elaborato dal gruppo di esperti n. 2 della task force della Commissione per lereti intelligenti

Adottato il 22 aprile 2013 ²

IL GRUPPO PER LA TUTELA DELLEPERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituitoai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del24 ottobre 1995,

vistil'articolo 29 e l'articolo 30,

vistoil proprio regolamento interno,

HA ADOTTATO IL PRESENTE PARERE:

1 Contesto

1.1 Introduzione

Contesto

Il9 marzo 2012 la Commissione europea ha formulato una raccomandazione suipreparativi per l'introduzione di sistemi di misurazione intelligenti (inappresso "raccomandazione della Commissione") al fine di fornireorientamenti agli Stati membri per l'introduzione dei sistemi di misurazioneintelligenti nei mercati dell'energia elettrica e del gas. La raccomandazionedella Commissione intende offrire orientamenti sulle considerazioni relativealla protezione e alla sicurezza dei dati, sulla metodologia per la valutazioneeconomica dei costi e dei benefici a lungo termine dell'introduzione deisistemi di misurazione intelligenti1 e sui requisiti funzionali minimi comuni per i sistemi dimisurazione intelligenti nel settore dell'energia elettrica.

Relativamentealla protezione e alla sicurezza dei dati per i sistemi di misurazioneintelligenti e la rete intelligente, la raccomandazione della Commissione offreorientamenti agli Stati membri in materia di protezione dei dati fin dallaprogettazione e sulla protezione dei dati di default nonché sull'applicazionedi alcuni dei principi di protezione dei dati di cui alla direttiva 95/46/CE2. Laraccomandazione della Commissione prevede inoltre che gli Stati membri adottinoe applichino un modello di valutazione d'impatto sulla protezione dei dati("modello di valutazione d'impatto sulla protezione dei dati" - DPIA)che sarà messo a punto dalla Commissione e sottoposto al gruppo di lavoro perla tutela delle persone con riguardo al trattamento dei dati personali (WP29),il quale dovrà emettere un parere entro dodici mesi dalla pubblicazione dellaraccomandazione della Commissione. Gli Stati membri dovrebbero pertantoprovvedere affinché gli operatori di rete e gli operatori dei sistemi dimisurazione intelligenti adottino adeguate misure tecniche e organizzative perassicurare la protezione dei dati personali conformemente al modello divalutazione d'impatto sulla protezione dei dati, tenendo conto del parere delWP29 relativo al modello stesso³.

Laraccomandazione della Commissione prevede inoltre che il modello di valutazioned'impatto sulla protezione dei dati dovrebbe "recare una descrizionedel trattamento previsto, una valutazione dei rischi per i diritti e le libertàdegli interessati, le misure previste per affrontare i rischi, le garanzie, lemisure di sicurezza e i meccanismi per garantire la protezione dei datipersonali e contribuire a dimostrare il rispetto della direttiva 95/46/CE,tenuto conto dei diritti e dei legittimi interessi degli interessati e di altrepersone".

Preparativi

Afebbraio 2012 la Commissione ha rinnovato il mandato del gruppo di esperti n. 2("GE2") della sua task force per le reti intelligenti("SGTF"), al fine di fornire un modello di valutazione d'impattosulla protezione dei dati per le reti intelligenti. Il GE2, composto principalmenteda rappresentanti dell'industria, ha tenuto quattro seminari nel 2012. Il CNIL⁴, ilGEPD⁵ e l'ICO⁶ hanno partecipato ai seminari come osservatori per conto delWP29.

Il26 ottobre 2012 il WP29 ha inviato una lettera alla direzione generaledell'Energia ("DG ENER") della Commissione europea al fine dirichiamare l'attenzione della Commissione su vari aspetti del progetto dimodello di valutazione d'impatto sulla protezione dei dati per il quale eranonecessari, secondo il WP29, importanti miglioramenti. Tra le altre cose,secondo le raccomandazioni della lettera, il modello dovrebbe:

i) individuare chiaramente gli operatori e le relativeresponsabilità;

ii) prestare attenzione ai rischi per la protezione dei datie la vita privata degli interessati;

iii) orientare meglio gli operatori per associare a ciascunrischio controlli adeguati, e

iv)offrire orientamenti più specifici e pratici in merito a come far fronte airischi per la protezione dei dati e la vita privata nel contesto delle retiintelligenti.

Detteosservazioni sono state formulate ferma restando la valutazione finale delmodello di valutazione d'impatto sulla protezione dei dati dal WP29.

Modello di valutazione d'impatto sulla protezione dei dati

L'8gennaio 2013 la Commissione ha presentato al WP29 la versione finale delmodello di valutazione d'impatto sulla protezione dei dati elaborata dalleparti interessate del GE2. Nella lettera di accompagnamento del modello di DPIAin questione, la Commissione ha osservato di poter considerare, fatte salve leosservazioni del WP29 e un'adeguata conciliazione, l'adozione del modelloelaborato dalle parti interessate del GE2 nella forma di una raccomandazionedella Commissione⁷.

Ilpresente parere fornisce osservazioni sul modello proposto.

Strutturadel parere

Lasezione 1.2 sottolinea l'importanza della protezione dei dati e della vitaprivata per la corretta attuazione della rete intelligente. La sezione 1.3descrive gli obiettivi del processo di valutazione d'impatto sulla protezionedei dati. La sezione 2 contiene la valutazione del modello da parte del WP29.La sezione 3 trae le conclusioni finali. L'allegato I integra la sezione 2fornendo osservazioni e suggerimenti più dettagliati.

1.2 Reti intelligenti e protezione dei dati

IlWP29 ricorda il suo parere precedente sui contatori intelligenti (WP183)⁸,nonché il parere del Garante europeo della protezione dei dati("GEPD") dell'8 giugno 2012 sulla raccomandazione della Commissione⁹.

Entrambii pareri sottolineano l'importanza della protezione dei dati nel contesto dellereti intelligenti e dei sistemi di misurazione intelligenti e fornisconoorientamenti e raccomandazioni su come tutelare i diritti alla protezione deidati personali in relazione all'introduzione dei sistemi di misurazioneintelligenti e alle reti intelligenti in Europa. La presente sezione descrivepertanto solo brevemente il contesto e le principali preoccupazioni sotto ilprofilo della protezione dei dati.

Isistemi di misurazione intelligenti e le reti intelligenti intendono consentirela produzione, distribuzione e utilizzazione intelligenti e razionalizzatedell'energia.

Unacaratteristica fondamentale dei contatori intelligenti del gas e dell'energiaelettrica risiede nel fatto che essi possono fornire i dati tramitecomunicazioni remote tra il contatore e i fornitori di energia, gli operatoridi rete e altri soggetti terzi. I contatori intelligenti consentono altresì unacomunicazione più frequente. Grazie a questo tipo di contatori sarà possibileleggere e registrare il consumo di energia con una frequenza molto elevata, peresempio, ogni quindici minuti.

Isistemi di misurazione intelligenti costituiscono elementi costitutiviimportanti per la rete intelligente, che rappresenta una rete di energiaelettrica bidirezionale intelligente che combina le informazioni degli utentidella rete al fine di pianificare, tra l'altro, la fornitura di energiaelettrica in modo più efficace ed economico.

L'introduzionedi "sistemi di misurazione intelligenti" a livello europeo consenteuna raccolta massiccia delle informazioni personali delle famiglie europee,fino al momento senza precedenti a livello di dettagli e copertura globale: isistemi di misurazione intelligenti possono consentire il controllo sulla vitaprivata dei membri di una famiglia e pertanto la creazione di profilidettagliati di tutti i soggetti in base alle loro attività domestiche.

Daidati dettagliati relativi al consumo di energia raccolti attraverso i contatoriintelligenti, è possibile dedurre molte informazioni relative all'uso da partedei consumatori di specifici beni o dispositivi, abitudini quotidiane,sistemazioni abitative, attività, stili di vita e comportamento¹⁰.

L'utilizzodi reti e sistemi di misurazione intelligenti crea pertanto nuovi rischi pergli interessati con un impatto potenziale in diversi settori (per esempiodiscriminazione di prezzo, profilazione per la pubblicità comportamentale,fiscalità, accesso dei servizi di contrasto della criminalità, sicurezza dellefamiglie) che non esistevano in precedenza nel settore dell'energia ed eranopiù tipici e già presenti solo in altri ambienti (telecomunicazioni, commercioelettronico e Web 2.0).

Isistemi di misurazione intelligenti sono annoverati inoltre tra le primeapplicazioni diffuse che prefigurano il futuro del cosiddetto "Internetdegli oggetti". I rischi rappresentati dalla raccolta e dalladisponibilità di dati dettagliati relativi al consumo di energia probabilmenteaumenteranno in futuro considerando la crescente disponibilità di dati da altrefonti, quali i dati relativi all'ubicazione geografica, i dati disponibilitramite monitoraggio e profilazione su Internet, i sistemi di videosorveglianzae i sistemi di identificazione a radiofrequenza (RFID), con cui è possibilecombinare i dati dei sistemi di misurazione intelligenti¹¹.

1.3 Obiettivi del modello di valutazione d'impattosulla protezione dei dati

Conla sua raccomandazione, la Commissione europea intende incoraggiare iresponsabili del trattamento dei dati a svolgere una valutazione d'impattosulla protezione dei dati al fine di conseguire i seguenti vantaggi:

∑-una valutazione d'impatto sulla protezione dei dati dovrebbe recare unadescrizione del trattamento previsto, una valutazione dei rischi per i dirittie le libertà degli interessati, le misure previste per affrontare i rischi, legaranzie, le misure di sicurezza e i meccanismi per garantire la protezione deidati personali e dimostrare il rispetto della direttiva 95/46/CE;

∑-una valutazione d'impatto sulla protezione dei dati dovrebbe altresìconsentire alle autorità nazionali di protezione dei dati di verificare laconformità del trattamento e, in particolare, i rischi esistenti per laprotezione dei dati personali dell'interessato e le relative garanzie, nel casoin cui vengano consultate dai responsabili del trattamento dei dati prima diprocedere al trattamento stesso, secondo quanto previsto dalla raccomandazionedella Commissione¹². Le valutazioni d'impatto sulla protezione dei datidovrebbero pertanto anche aiutare il responsabile del trattamento a dimostrareil rispetto della direttiva 95/46/CE¹³.

Inoltre,le valutazioni d'impatto possono consentire ai consumatori, ai responsabili deltrattamento dei dati, alle autorità di protezione dei dati, alle autorità diregolamentazione nel settore energetico, alle organizzazioni per la tutela deiconsumatori e ad altre parti interessate di acquisire una conoscenza piùapprofondita degli aspetti specifici riguardanti la protezione dei dati delleapplicazioni relative ai sistemi di misurazione intelligenti e alle retiintelligenti. Le informazioni delle valutazioni d'impatto sulla protezione deidati possono altresì consentire alle autorità di protezione dei dati diindividuare sia le migliori pratiche sia i possibili settori di riferimento adalto rischio degli audit.

NegliStati membri in cui la notifica previa e il controllo preliminare sononecessari per le applicazioni relative ai sistemi di misurazione intelligenti ealle reti intelligenti, la valutazione d'impatto può semplificare il processoper le autorità di protezione dei dati e i responsabili del trattamento. Levalutazioni d'impatto sulla protezione dei dati dovrebbero pertanto ancheaiutare il responsabile del trattamento a dimostrare il rispetto delladirettiva 95/46/CE.

Infine,occorre sottolineare che il regolamento sulla protezione dei dati¹⁴ proposto aumenterà l'importanza del processo di valutazioned'impatto, che è considerato uno strumento fondamentale in grado di contribuirea garantire la responsabilità di quanti si occupano del trattamento dei dati.

1.4 Sintesi del modello di valutazione d'impattosulla protezione dei dati proposto

Ilgruppo di esperti n. 2 spiega di avere considerato come punto di partenza peril suo lavoro l'esperienza acquisita nell'ambito dell'elaborazione e dellarevisione, seguendo le osservazioni e i pareri del gruppo di lavoro articolo 29("WP29"), della "Proposta dell'industria relativa a un quadroper la realizzazione di valutazioni di impatto sulla protezione della vitaprivata e dei dati per le applicazioni RFID".

Ilmodello di DPIA proposto dal GE2 illustra in primo luogo l'obiettivo, laportata, i vantaggi e le parti interessate del processo. Successivamenteelabora un approccio che consente di effettuare una valutazione d'impatto sullaprotezione dei dati in otto fasi e fornisce orientamenti per gradi alresponsabile del trattamento in merito alle modalità di svolgimento dellavalutazione stessa.

2 Analisi del modello di valutazione d'impatto sullaprotezione dei dati

IlWP29 riconosce l'ampio lavoro svolto dalle parti interessate del GE2 e accogliecon favore i suoi obiettivi principali, evidenziati nelle sezioni introduttivedel modello di valutazione d'impatto sulla protezione dei dati.

Sebbene,in generale, l'approccio a otto fasi illustrato nel documento proposto siasolido, il WP29 ha individuato diversi punti critici relativi alla metodologia,nonché al contenuto del modello stesso, che sono descritti in modo dettagliatonelle sezioni riportate di seguito.

2.1 Mancanza di chiarezza sulla natura e sugliobiettivi della valutazione d'impatto sulla protezione dei dati

Comedefinito alla sezione 3, lettera c), della raccomandazione della Commissioneper "valutazione d'impatto sulla protezione dei dati" si intende una"procedura sistematica di valutazione dell'impatto potenziale deirischi nei casi in cui il trattamento dei dati può comportare rischi specificiper i diritti e le libertà delle persone interessate in considerazione dellanatura, della portata o delle finalità del trattamento stesso",condotta dal responsabile del trattamento o dall'incaricato del trattamento,ovvero dal secondo per conto del primo.

IlWP29 concorda con la definizione di cui sopra e l'obiettivo di una valutazioned'impatto dovrà consistere pertanto nel valutare gli impatti dei rischi sullepersone interessate.

IlWP29, tuttavia, deplora il fatto che il modello di valutazione d'impattopresentato non tratti direttamente gli impatti effettivi sulle personeinteressate, per esempio la perdita finanziaria derivante da una fatturazioneinadeguata, la discriminazione di prezzo o i reati agevolati dalla profilazionenon autorizzata. Anche se possono essere molti utili per agevolare laconformità, gli obiettivi relativi alla protezione dei dati e alla vita privataelencati all'allegato I non sono sufficienti nel contesto di un approcciobasato sui rischi. La valutazione degli impatti potenziali sugli interessaticostituisce un elemento indispensabile di tale approccio.

Pertanto,il WP29 ritiene che il modello, nella sua forma attuale, non possa conseguireil suo obiettivo stabilito dalla raccomandazione della Commissione. Lavalutazione d'impatto sulla protezione dei dati non fornisce uno strumentopratico per valutare l'impatto sugli interessati.

Sei rischi e il loro impatto sulle persone interessate non sono presi inconsiderazione nella loro totalità, non è possibile identificare e attuarecorrettamente i controlli e le garanzie necessari.

2.2 Carenze metodologiche nel modello di valutazioned'impatto sulla protezione dei dati

Inaggiunta e a volte congiuntamente alla principale carenza individuata inprecedenza, il WP29 ritiene che il modello di valutazione d'impatto sullaprotezione dei dati presenti numerose carenze metodologiche che ne ostacolanol'applicazione.

Inprimo luogo, il modello proposto confonde spesso rischi e minacce¹⁵.

Insecondo luogo, non vi è alcuna corrispondenza tra i rischi da ridurre el'elenco dei possibili controlli di cui all'allegato II. Anche se ciascunoscenario di rischio è specifico e deve essere valutato nella sua specificità, èspesso possibile individuare determinate categorie di controlli efficaci nelridurre categorie di rischi specifiche. Un tipico esempio in tal senso èrappresentato dalla norma ISO/IEC 27002:2005 sulla sicurezza dell'informazionein cui i controlli sono presentati come migliori pratiche per ridurre i rischiin taluni settori. Le misure di attenuazione suggerite, sebbene nonsostituiscano la necessità di una procedura basata sui rischi, possono fornireun riferimento per un approccio efficace e coerente. Ad esempio, il rischio diintercettazione dei dati relativi al consumo di energia dei consumatori lungoun canale non protetto può essere in genere ridotto mediante tecniche dicifratura. La valutazione del rischio specifica potrebbe pertanto condurre allascelta di determinati algoritmi di cifratura e lunghezze di chiave o di misuredi attenuazione alternative o complementari o persino all'accettazione o altrasferimento del rischio (e pertanto a nessuna misura di attenuazione).

Inoltre,il modello proposto non fornisce dettagli sufficienti e un orientamentospecifico in merito al concetto di vulnerabilità, alle modalità di calcolo e diassegnazione delle priorità per i rischi, di scelta dei controlli opportuni edi valutazione dei rischi residui che persistono dopo l'esecuzione deicontrolli. Sebbene si faccia riferimento a un documento esterno, il WP29avrebbe apprezzato ulteriori orientamenti e spiegazioni nel modello stesso, alfine di fornire al lettore un documento indipendente. Non è inoltre chiaro comecompilare i moduli proposti.

Infine,il modello non fornisce suggerimenti sufficienti su come determinare i ruoli ele responsabilità relativi alla protezione dei dati delle varie parti interessate.Vi è solo un riferimento a un altro documento del GE2. Le prossime applicazionirelative alle reti intelligenti saranno varie e offerte da più partiinteressate. Pertanto sembra fondamentale fornire all'industria linee guida checonsentano l'identificazione dei responsabili del trattamento dei dati e degliincaricati del trattamento. Per esempio, il modello di valutazione d'impattopotrebbe includere nella terza fase una quarta sezione intesa a determinare lediverse responsabilità delle varie entità che partecipano al trattamento deidati.

Ulterioridettagli su queste e ulteriori carenze riscontrate nella metodologia vengonoforniti all'allegato 1.

2.3 Il modello di valutazione d'impatto sullaprotezione dei dati è privo di contenuto settoriale: i rischi specifici perl'industria e i controlli pertinenti per far fronte a tali rischi devono essereidentificati e associati

Ilmodello di valutazione d'impatto sulla protezione dei dati è privo di contenutosettoriale. Sia i rischi sia i controlli elencati nel modello sono di naturagenerica e solo occasionalmente contengono orientamenti specifici al settoreindustriale, vale a dire migliori pratiche che potrebbero essere realmenteutili. In sintesi, i rischi e i controlli non rispecchiano l'esperienza dell'industriain relazione alle principali preoccupazioni e migliori pratiche.

IlWP29 ritiene che il GE2 stia attualmente lavorando su una raccolta di"migliori tecniche disponibili" ("BATs") che consentano aun'organizzazione che effettua una valutazione d'impatto sulla protezione deidati di scegliere le misure adeguate se necessario, affrontando pertanto alcunecritiche sollevate nella sezione precedente. Il WP29 insiste sull'importanza diquesto documento, complementare al modello di valutazione d'impatto.

Tuttavia,il documento di BATs non può sostituire l'identificazione dei rischi specificidell'industria più comuni e dei possibili controlli associati a tali rischi nelmodello stesso. Ciò è tanto più vero dal momento che, a differenza del modellodi valutazione d'impatto, il documento di BATs non sarà presentato al WP29 perun'ulteriore valutazione e orientamento e non se ne prevede l'adozione da partedella Commissione. Considerate le carenze riscontrate del modello divalutazione, la Commissione deve considerare l'integrazione delle BATs epresentare il documento integrato al WP29 per la formulazione di un parere.

Inoltre,il concetto di modello di valutazione è diverso da quello di quadro divalutazione d'impatto sulla protezione dei dati. Un quadro deve individuareobiettivi, delineare una metodologia e definire la portata della valutazione intermini di limiti del sistema/processo sottoposto ad analisi. Un modello deveandare oltre e fornire uno strumento operativo per gestire i rischi del sistema/processospecifico e i suoi casi di utilizzo, suggerire possibili controlli e lemigliori tecniche disponibili per ridurre tali rischi nonché fornireorientamenti specifici. Ciò è particolarmente necessario nei casi in cui nonsia disponibile alcuna competenza specifica (per esempio PMI o, come nel casodi reti intelligenti, in un'industria che ha affrontato in precedenzarelativamente pochi problemi di protezione dei dati e della vita privata).

Ilmodello deve mirare a sviluppare orientamenti più settoriali e di più sempliceutilizzo. In particolare, è necessario definire meglio gli impatti potenzialisugli interessati nel contesto delle reti intelligenti e offrire linee guidapiù precise relativamente al tipo di controlli che possono essere attuati.

LaCommissione avrebbe potuto fornire al GE2 una metodologia generica divalutazione del rischio per la protezione dei dati e della vita privata¹⁶. Asua volta, il GE2 avrebbe potuto applicare tale metodologia e, in base a essa,rendere il modello più settoriale. Tale approccio avrebbe consentito al GE2 diincentrarsi su questioni pertinenti, per esempio rischi e controlli specificidelle reti intelligenti basandosi al contempo sul quadro di riferimento per gliaspetti metodologici fondamentali. Il WP29 suggerisce che il GE2 e laCommissione adottino tale approccio per lo sviluppo futuro del modello divalutazione d'impatto e per qualsiasi altro modello di valutazione settoriale.

3 Conclusioni e raccomandazioni

IlWP29 riconosce i progressi compiuti rispetto alle versioni precedenti e glielementi utili che il modello di valutazione d'impatto sulla protezione deidati già contiene. Tuttavia, è del parere che il modello, nella sua formaattuale, non sia sufficiente maturo e ben sviluppato.

Pertanto,il WP29 raccomanda alla Commissione di intraprendere i passi necessari pergarantire che il lavoro sul modello continui e che il risultato finale offraorientamenti pratici sufficientemente specifici, utili e chiari ai responsabilidel trattamento dei dati.

Peragevolare l'ulteriore lavoro, il WP29 fornisce alcune raccomandazioni piùspecifiche nell'allegato 1 al presente parere. Tuttavia, considerando lecarenze metodologiche del documento e la sua mancanza di specificità per ilcontesto delle reti intelligenti, il WP29 non si trova nella condizione perfornire in questa fase ulteriori contributi, più dettagliati e definitivi.

Consideratele carenze riscontrate del modello di valutazione, il WP29 raccomanda inoltrealla Commissione di considerare l'integrazione delle BATs nel modello di DPIAnonché di presentare il documento integrato al WP29 per la formulazione di unparere¹⁷.

Inoltre,e in senso più ampio, il WP29 raccomanda alla Commissione di prendere inconsiderazione la valutazione del lavoro passato e attuale nel settore dellevalutazioni d'impatto sulla protezione dei dati¹⁸ nonché di considerare la possibilità di definire unametodologia generica della valutazione d'impatto dalla quale possano trarrevantaggi gli sforzi settoriali.

Infine,relativamente alla necessità di una valutazione d'impatto obbligatoria, il WP29rimanda all'esperienza acquisita con il PIAF per le applicazioni RFID esottolinea che le statistiche disponibili negli Stati membri mostrano che ladiffusione delle valutazioni d'impatto per le applicazioni RFID è stataestremamente scarsa. Se da un lato queste statistiche possano avere diversimotivi di fondo, uno dei principali fattori sembra essere decisamente l'attualemancanza di un requisito obbligatorio di effettuare tale valutazione d'impatto.

Fattoa Bruxelles, il 22 aprile 2013

Per il gruppo

Il presidente

Jacob KOHNSTAMM 12

Allegato 1: Osservazioni specificherelative al modello di valutazione d'impatto sulla protezione dei dati

Ilpresente allegato integra la sezione 2 del parere. La struttura delleosservazioni segue la struttura del modello di valutazione d'impatto sullaprotezione dei dati.

. -Portatadella valutazione d'impatto sulla protezione dei dati

∑ -Il modello non fornisce una definizione e una descrizioneprecise dei tipi di trattamenti dei dati soggetti a una valutazione d'impattosulla protezione dei dati. Inoltre, la portata della valutazione non èaccuratamente definita nella sezione 1.2 del modello di DPIA. Laraccomandazione della Commissione definisce chiaramente le valutazionid'impatto come "una procedura sistematica di valutazione dell'impattopotenziale dei rischi nei casi in cui il trattamento dei dati può comportarerischi specifici per i diritti e le libertà delle persone interessate in considerazionedella natura, della portata o delle finalità del trattamento stesso". Ladefinizione include i diritti fondamentali di cui agli articoli 7 e 8 dellaCarta dei diritti fondamentali dell'Unione europea (la "Carta"),rispettivamente il diritto alla vita privata e il diritto alla protezione deidati di carattere personale. Occorre tenere conto che il modello è connessoalla protezione dei dati personali di cui alla direttiva 95/46/CE¹⁹.

∑-Come evidenziato nelle osservazioni generali, il modello deve incentrarsisull'impatto per la persona interessata. Se da un lato occorre conseguire ilrispetto degli obiettivi di protezione dei dati e della vita privataidentificati all'allegato I nonché la conformità al diritto in materia diprotezione dei dati, quest'ultima non rappresenta un obiettivo fine a sestesso. L'obiettivo ultimo del processo di valutazione d'impatto consistepertanto nell'individuare i controlli che riducono qualsiasi impatto negativosui diritti e sulle libertà delle persone interessate.

∑-I seguenti esempi possono contribuire a illustrare la differenza tra unapproccio ridotto a un semplice controllo di conformità e uno basato sullavalutazione dei rischi reali che hanno concrete ripercussioni sugliinteressati.

- Rischi connessi ai reati: se le misure tecniche eorganizzative intraprese per garantire la sicurezza dei dati relativi alconsumo di energia sono inadeguate, è possibile che si acceda illecitamente aidati relativi al consumo di energia di una singola famiglia. Ciò può aumentareil rischio che il consumatore interessato sia vittima di un reato. Per esempio,la conoscenza dello schema di comportamento che può essere dedotto dai datirelativi al consumo di energia, in particolare che una casa è vuota a un'oraspecifica, può aumentare il rischio di intrusioni e furti.

-Ai soggetti possono essere addebitate spese erronee se i dati relativi alconsumo di energia vengono manipolati²⁰.

- Profilazione, esclusione, discriminazione, invio dimateriale pubblicitario non richiesto: la maggiore disponibilità di dati suiconsumatori delle reti intelligenti può generare una maggiore profilazione che,a sua volta, potrebbe creare discriminazione di prezzo ed esclusione (peresempio liste nere, tariffe più elevate), pubblicità comportamentale mirata nonrichiesta, nonché uno squilibrio complessivo della situazione economica delconsumatore rispetto ai fornitori di servizi/responsabili del trattamento deidati che possono essere di conseguenza utilizzati in modo improprio.

-I rischi di utilizzo incompatibile e illecito da parte delle autorità dicontrasto o di altri soggetti terzi, il rischio di maggiore controllo delgoverno (che potrebbe essere attenuato, per esempio, riducendo al minimo i datipersonali trattati).

∑-Gli esempi descritti in precedenza e altri esempi di rischi nonché ilpossibile impatto sugli interessati devono essere presi in considerazione einclusi nella valutazione d'impatto.

.Stakeholders-

∑ -Il modello di DPIA non considera i ruoli e le funzioni deidiversi soggetti nell'ecosistema delle reti intelligenti e, di conseguenza, nonopera una distinzione tra le loro responsabilità. Tuttavia, le retiintelligenti possono solo conseguire i loro obiettivi con una cooperazioneorganizzata e uno scambio di dati tra le diverse organizzazioni partecipanti.Al fine di elaborare una valutazione d'impatto sulla protezione dei datisignificativa, i partecipanti dovranno collaborare tra loro. Il modello di DPIAproposto non fornisce orientamenti sufficienti sulle modalità di svolgimento diuna valutazione d'impatto quando sono coinvolti diversi operatori che svolgonole relative attività di trattamento dei dati.

∑-Nella sezione 1.3.3. il termine "operatore della rete intelligente"è molto generico e non tiene conto del fatto che diversi portatori d'interessipossono espletare funzioni diverse nello scenario delle reti intelligenti, ilche influenza fortemente i limiti e la portata della valutazione svolta²¹.Queste funzioni dovrebbero essere descritte sottolineando il loro ruolo nelloscambio di informazioni personali necessarie a eseguire i processi aziendalidelle reti intelligenti. Nel modello di valutazione d'impatto dovrà essereinclusa una definizione concisa e aggiornata dei ruoli dei portatorid'interessi (stakeholders) nel processo di valutazione d'impatto sullaprotezione dei dati (cfr., per esempio, la relazione del GE2 del 16 febbraio2011²²).

∑-Occorre ricordare inoltre la necessità di rispettare la legislazione applicabile.

∑-Il modello deve inoltre menzionare come portatori d'interessi; i) idestinatari dei dati e ii) i garanti della protezione dei dati (se presenti)dell'organizzazione.

. -Fase -1 -

∑ -» necessario considerare nuovamente i criteri di valutazionepreventiva. Di conseguenza, occorre rivedere anche il questionario di cui allasezione 3.1, garantendo in tal modo anche la coerenza con la sezione 2.1.

∑-L'ordine dei criteri dovrà essere modificato al fine di seguire l'ordinelogico in cui devono essere esaminati:

1. Vengono trattati dati personali?

2. L'organizzazione è il responsabile del trattamento deidati?

3. Ci sono impatti sui diritti e sulle libertà a causa deltrattamento dei dati?

4.Quando sarà il momento giusto e quale sarà la motivazione?

∑-Tra i tipi di dati elencati nel modello che possono essere considerati datipersonali, alcuni non sono chiaramente dati personali (previsioni della domandadell'edificio, del campus e dell'organizzazione). Di contro, alcuni datipotenzialmente personali non sono elencati o sono erroneamente elencati (latemperatura interna di un'abitazione può essere un dato personale poiché puòmostrare se l'abitazione è o meno occupata da un soggetto, i diversi punti incui una macchina elettrica è stata caricata rappresentano un dato personale,dal momento che mostrano la posizione dell'utente, ecc.). Occorre forniremaggiori orientamenti al fine di consentire all'organizzazione di individuare idati personali che saranno trattati.

∑-Inoltre, sempre in merito al criterio 1, deve essere eseguita una valutazioned'impatto anche per i sistemi esistenti che non sono stati creati tenendo contodella "protezione fin dalla progettazione" e per i quali non è statasvolta alcuna valutazione precedente. Questo aspetto deve essere evidenziato neltesto, per esempio in un punto aggiuntivo dell'elenco degli elementi diattivazione già elaborati sotto l'intestazione "Tempistica corretta"o in un paragrafo distinto dopo l'elenco puntato.

. -Fase -2 -

∑ -» importante garantire, qualora le risorsedell'organizzazione lo consentano, che il gruppo incaricato della valutazioned'impatto sia indipendente dal gruppo incaricato dell'applicazione relativaalle reti intelligenti. Ciò contribuirà all'equità e all'oggettività dellavalutazione d'impatto: tale requisito non è contenuto nel documento.

. -Fase -3 -

∑ -La descrizione del sistema è priva di una chiara descrizionedelle risorse su cui si basa il trattamento dei dati personali (per esempio unabanca dati che funge da archivio dei dati raccolti in una determinata area).Questo elemento sarà importante dal momento che alcune minacce riguarderannoanche tali risorse. I diversi tipi di dati personali trattati nonché gli scopie il modo in cui avviene il trattamento devono essere inoltre identificati inmodo completo. Occorre inoltre indicare i periodi di conservazione proposti.

. -Fase -4 -

∑ -Questa fase si basa principalmente sull'elenco delle minacceelencate nei questionari del modello di DPIA. Sembra esserci confusione traminacce e rischi (cfr. sezione 2.2. del presente parere). Inoltre, alcunielementi elencati riguardano la "mancanza di misure" (per esempio,meccanismo di registrazione insufficiente, mancanza di unificazione nelmeccanismo relativo alle richieste di accesso dei soggetti) anziché le minacce.

. -Fase -5 -

∑ -L'impatto delle minacce alla protezione dei dati è valutatoin termini di impatto sugli obiettivi in materia di protezione della vitaprivata e dei dati di cui all'allegato I e non in termini di impatto suisoggetti coinvolti (persone interessate). Inoltre, il modello stesso noncontiene orientamenti adeguati sul tipo di impatto e sulla metodologia.

∑-La probabilità di materializzazione del rischio è descritta come combinazionedel livello di vulnerabilità e facilità di sfruttamento della vulnerabilità.Tuttavia, dal momento che nella fase 3 non sono state individuate le risorse asostegno dei dati personali, non vi è alcuna indicazione dell'elemento a cui siriferisce la vulnerabilità.

. -Fase -6 -

∑ -» inoltre fondamentale per il modello abbinare chiaramenteogni rischio a uno o più controlli adeguati per la riduzione del rischio(chiarendo al contempo che, laddove pertinenti e adeguatamente motivati, alcunirischi possono essere anche trasferiti o accettati). Tale relazione devediventare un elemento essenziale del documento. L'attuale struttura del modellonon sostiene un approccio integrato di questo tipo, come il WP29 ha giàevidenziato nella sua lettera di ottobre 2012.

∑-Relativamente ai rischi residui (sezione 6), come il WP29 ha già menzionatonelle sue osservazioni di ottobre 2012, il diritto alla protezione dei datipersonali è un diritto fondamentale e il suo rispetto costituisce un obbligogiuridico chiaro e di alto livello. Ciò deve essere evidenziato più chiaramentequando ci si riferisce alla possibilità di accettare un certo livello di rischiresidui. » possibile spiegare che indipendentemente dal risultato dellavalutazione del rischio, occorre rispettare gli obiettivi relativi allaprotezione dei dati e alla vita privata: per esempio, le persone interessatedevono ricevere un avviso adeguato in tutti i casi e deve sussistere unlegittimo motivo alla base del trattamento (per esempio un obbligo giuridico oun consenso da parte dell'interessato). » fondamentale essere molto chiari sulfatto che il diritto in materia di protezione dei dati debba essere rispettatoin tutti i casi. La valutazione del rischio può contribuire a individuare ilmetodo migliore per conformarsi al diritto in materia di protezione dei dati.Per esempio, quale tipo di cifratura utilizzare per garantire l'adeguatolivello di sicurezza dei dati, in che misura si può considerare adeguato unperiodo di conservazione o come meglio ridurre al minimo la quantità di datiraccolti e successivamente trattati. Tuttavia, la valutazione del rischio nondeve essere utilizzata per giustificare il mancato rispetto dei requisitigiuridici nei casi in cui i rischi sembrino relativamente inferiori. Comeconsiderazione più generale relativa alla questione, non esistono indicazioniin merito alle modalità di determinazione del livello di rischio residuo chepuò essere accettato.

Allegato II - Elenco dei possibilicontrolli

Icontrolli elencati all'allegato II non sono sufficientemente specifici dafornire orientamenti utili ai responsabili del trattamento dei dati. La maggiorparte di loro non affronta inoltre le specificità del contesto delle retiintelligenti e non riflette l'esperienza dell'industria in merito all'individuazionedelle principali preoccupazioni e migliori pratiche.

Perillustrare le nostre aspettative in merito al livello di dettagli e di esempipratici attesi dal modello, desideriamo sottolineare alcune delle questioni piùimportanti che a nostro parere il modello deve affrontare in modo approfondito.

Basegiuridica e scelta

IlWP29 auspica che vengano introdotti nel modello ulteriori orientamenti sullabase giuridica da scegliere per il trattamento e sulla scelta che deve essereconcessa agli interessati. In particolare, occorre un orientamento chiaro sucosa può essere fatto senza il consenso dell'utente e su cosa richiede ilconsenso dell'utente. Occorre prestare particolare attenzione all'attuazionedello switch-off remoto e delle letture granulari²³.

Nellamaggior parte dei casi, sarà richiesto un consenso libero, specifico, informatoed esplicito per ogni trattamento che va oltre il trattamento richiesto per i)la fornitura di energia, ii) la relativa fatturazione, iii) l'individuazione difrodi rappresentate dall'utilizzo non pagato dell'energia fornita²⁴, eiv) la preparazione dei dati aggregati necessari per la manutenzione efficientedal punto di vista energetico della rete (previsione e definizione)²⁵.Esempi di dove sarà richiesto il consenso includono il monitoraggio e laprofilazione per la pubblicità mirata.

Affinchéil consenso sia valido, i consumatori devono comprendere cosa accade ai lorodati. » essenziale, in caso di profilazione, che essi abbiano il diritto diconoscere i loro profili individuali e la logica degli algoritmi utilizzati perl'estrapolazione dei dati. Le informazioni sulla funzionalità remota on/offsono parimenti importanti: gli utenti devono conoscere quali eventi possonoattivare uno switch-off.

Riduzioneal minimo dei dati e tecnologie di rafforzamento della riservatezza

Ilmodello deve altresì incoraggiare le imprese interessate a garantire che sianoraccolti e trattati esclusivamente i dati personali assolutamente necessari. Atal fine, è possibile prendere in considerazione diversi metodi e si consigliadi descrivere brevemente e in modo tecnologicamente neutrale nel modello diDPIA almeno le tecnologie dirafforzamento della tutela della vita privata ("PET") e altre"migliori tecniche disponibili" per la riduzione al minimo dei dati;esse saranno poi ulteriormente descritte in dettaglio nel documento di BATs diaccompagnamento che il GE2 deve produrre, per contribuire a promuovere l'introduzionecompatibile con la protezione dei dati di tecnologie di sistemi di misurazioneintelligenti e reti intelligenti.

Inparticolare, esistono PET innovative, attualmente in diverse fasi di ricerca esviluppo, che possono rendere possibile il raggiungimento degli obiettivi dibase del sistema di misurazione intelligente [fatturazione, manutenzioneefficiente dal punto di vista energetico della rete (previsione e definizione)e garanzia della sicurezza (inclusa la prevenzione della frode)], in modo dapoter evitare nel complesso, almeno per gli scopi di base, che il contatoreintelligente o l'unità abitativa dove il contatore è installato debbanorinunciare alle letture di contatori dettagliati. Potrebbero altresì essereesaminati i seguenti aspetti:

∑ -frequenza delle letture del contatore: l'intrusione nellavita privata aumenta ampiamente man mano che le letture del contatore diventanopiù frequenti. Il WP29 apprezzerebbe la presenza nel modello di ulterioriorientamenti, inclusi alcuni riferimenti26ed esempi su questa questione;

∑ -campionamento: l'utilizzo del campionamento (vale a direraccolta di dati solo di una percentuale rappresentativa di tutte le famiglie)potrebbe contribuire a eliminare la raccolta e il trattamento dei dati da tuttele famiglie per determinati scopi (per esempio per le previsioni). Anche gliesempi illustrati in questa sede dovrebbero essere inclusi nel modello;

∑ -aggregazione associata all'eliminazione: per determinatiscopi, ivi comprese le previsioni, deve essere sufficiente mantenere le letturedi contatori dettagliati solo fino al calcolo dell'aggregazione. In tali casi idati possono essere eliminati in modo permanente non appena questa proceduraviene conclusa. Occorre pertanto, anche in questo caso, fornire esempi;

∑ -immediata raccolta di dati aggregati (invece dellaraccolta di dati individuali e successivamente aggregazione degli stessi). Perdeterminate finalità (inclusi alcuni scopi connessi alle previsioni, allamanutenzione della rete e all'individuazione delle frodi), deve esseresufficiente per l'operatore della rete di distribuzione dell'energia elettricao del gas raccogliere i dati dai contatori che non misurano il consumo dellesingole famiglie, ma piuttosto da contatori posizionati in aree all'internodella rete di distribuzione dove possono solo misurare il consumo aggregato divarie famiglie (per esempio un grande condominio, una strada o un distretto).In questi casi, per tali scopi, la raccolta di dati a livello dettagliato disingole famiglie può essere del tutto evitata. Ancora una volta, sarebbe utileinserire nel DPIA esempi illustrativi reali per incoraggiare il rispetto deldiritto in materia di protezione dei dati e delle buone pratiche;

∑-per contribuire a ridurre al minimo non solo la quantità di dati raccolti, maanche il periodo di tempo per il quale tali dati saranno conservati, il modellodeve altresì fornire maggiori orientamenti sui periodi di conservazione. Anostro parere, in linea di principio, la conservazione di dati dettagliati suiconsumi delle singole famiglie raccolti a fini di fatturazione dovrebbe essereammessa fino alla conclusione del periodo entro il quale la fattura può esserelegittimamente contestata o il pagamento richiesto (fatto salvo certamente ildiritto del consumatore a una conservazione più lunga basata sul consenso, adesempio per ottenere consigli mirati sull'energia, e altri possibili scopilegittimi).

Glossario

Il WP29raccomanda di rivedere attentamente il glossario per garantire che laterminologia sia in linea con quella impiegata attualmente della direttiva95/47/CE e compatibile anche con il nuovo quadro di protezione dei datiproposto.

NOTE                                            
1 L'introduzione e l'analisicosti-benefici sono richieste dalla i) direttiva 2009/72/CE relativa a normecomuni per il mercato interno dell'energia elettrica (GU L 211 del 14.8.2009,pag. 55) e dalla ii) direttiva 2009/73/CE relativa a norme comuni per ilmercato interno del gas naturale (GU L 211 del 14.8.2009, pag. 94). Ladirettiva 2012/27/UE sull'efficienza energetica (GU L 315 del 14.11.2012, pag.1) comprende ulteriori disposizioni sulla misurazione intelligente. Per ilmercato dell'energia elettrica, la direttiva 2009/72/CE prevede che qualoral'introduzione sia valutata positivamente, almeno l'80% dei consumatori saràdotato di contatori intelligenti entro il 2020. Non è stabilito alcuncalendario preciso per il mercato del gas.

2Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995relativa alla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati (GU L 281 del23.11.1995, pag. 31).

3Il gruppo di esperti n. 2 ha considerato come punto di partenza l'esperienzaacquisita nell'ambito dell'elaborazione e della revisione, a seguito delleosservazioni e dei pareri del gruppo di lavoro articolo 29 ("WP29"),della "Proposta dell'industria relativa a un quadro per la realizzazionedi valutazioni di impatto sulla protezione della vita privata e dei dati per leapplicazioni RFID".

4La Commission Nationale de l'Informatique et des Libertés, autorità nazionalefrancese di vigilanza per la protezione dei dati personali.

5Garante europeo della protezione dei dati, autorità di vigilanza per laprotezione dei dati personali delle istituzioni e degli organismi dell'UE.

6 Information Commissioner's Office, autorità nazionale divigilanza per la protezione dei dati personali del Regno Unito.

7Il 17 gennaio 2013 il modello di DPIA è stato presentato anche al consigliodelle autorità di regolamentazione nel settore energetico (CEER). Il presidentedel CEER ha risposto il 5 marzo accogliendo con favore il lavoro intrapreso dalGE2 e il progetto di modello di valutazione d'impatto sulla protezione dei datirisultante. La lettera ha ribadito l'importanza della sicurezza, dellaprotezione dei dati e la necessità per gli utenti di poter controllare i propridati, ha fatto riferimento al precedente parere del CEER pubblicato nel 2011chiedendo una rapida azione finalizzata al completamento del modello in questione.

8Parere 12/2011 del gruppo di lavoro articolo 29 per laprotezione dei dati sui contatori intelligenti (smart metering),adottato il 4 aprile 2011 (WP183).

9Il parere del GEPD è disponibile sul sito Internet del GEPD all'indirizzo http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-06-08SmartmeteringIT.pdf

10Per illustrare tale concetto è stato dimostrato che, con un intervallo dilettura di 2 secondi, è possibile individuare anche il contenuto multimedialeutilizzato da una famiglia: http://www.its.fh-muenster.de/greveler/pubs/preprintonline.pdf.

11Raccomandazione CM/Rec.(2010)13 del Comitato dei ministri del Consigliod'Europa del 23 novembre 2010 agli Stati membri sulla protezione delle personefisiche con riguardo al trattamento automatizzato di dati personali nelcontesto di attività di profilazione.

12La presente raccomandazione lascia impregiudicato l'obbligo legale delcontrollo preliminare negli Stati membri, secondo le caratteristiche deltrattamento dei dati.

13Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995relativa alla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati (GU L 281 del23.11.1995, pag. 31).

14Il 25 gennaio 2012 la Commissione ha adottato un pacchetto di riforma delquadro europeo sulla protezione dei dati. Il pacchetto include i) una"comunicazione" (COM(2012)9 final), ii) una "proposta diregolamento generale sulla protezione dei dati" (COM(2012)11 final) e iii)una "proposta di direttiva sulla protezione dei dati" (COM(2012)10final).

15Vedere la definizione ISO/IEC 27005:2008 di rischio nelsettore della sicurezza dell'informazione come "la possibilità che unadata minaccia sfrutti le vulnerabilità di una risorsa o di un gruppo dirisorse, arrecando pertanto danno all'organizzazione". Le minacce nonhanno una definizione diretta, ma è possibile trarre una definizione operativadalla norma ISO/IEC 27001:2005. Di conseguenza, le minacce sono riferite allacapacità di sfruttare le vulnerabilità sulle risorse da proteggere. Esseavranno pertanto un impatto su tali risorse in termini di perdita di proprietàin materia di sicurezza. Esempi di minacce tipiche connesse alla sicurezza sonoelencati all'allegato C della norma ISO/IEC 27005:2008.

Cfr. altresì lametodologia del CNIL:http://www.cnil.fr/fileadmin/documents/en/CNIL-ManagingPrivacyRisks-Methodology.pdfe lo scenario di minaccia ENISA: https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/ENISAThreatLandscape/atdownload/fullReport.

16Cfr., per esempio, la metodologia del CNIL già citata in precedenza.

17Ciò non esclude che il documento di BATs possa essere periodicamente aggiornatoin futuro per rispecchiare le modifiche tecnologiche e lo stato dell'arte.

18 Cfr., per esempio, il progetto PIAF: http://www.piafproject.eu/Index.htmlnonché le metodologie esistenti a cui si fa riferimento in precedenza.

19Qualsiasi riferimento al concetto di "riservatezza deidati" o tentativo di fornire una definizione ad hoc per "vitaprivata" nella sezione 1.2 o nel glossario non è necessario e potrebbeessere fuorviante. Ove possibile, deve essere impiegata la terminologia di cuialla direttiva 95/46/CE. Gli articoli 7 e 8 della Carta possono essere citati epresi come riferimento per ulteriori orientamenti.

20Rischi simili possono anche valere per i proprietari di pannelli solari oimpianti di microcogenerazione in relazione alla relativa fatturazione.

21Cfr., per esempio, http://collaborate.nist.gov/twiki-sggrid/bin/view/SmartGrid/SGConceptualModel#SmartGridConceptualModelDoma.

22Cfr. http://ec.europa.eu/energy/gaselectricity/smartgrids/doc/expertgroup2.pdf.14

23Cfr. per es. paragrafo 48 del parere del GEPD dell'8 giugno 2012, a cui si fariferimento alla nota a piè di pagina n. 3 di cui sopra.

24Ovviamente, il trattamento dei dati ai fini dell'individuazione delle frodideve ancora conformarsi a tutte le altre garanzie pertinenti in materia diprotezione dei dati, incluso il requisito di proporzionalità, e al principio diriduzione dei dati al minimo.

25Laddove applicabili, tali obiettivi, per i quali non è richiesto alcunconsenso, coincidono di solito con gli obblighi regolamentati dei responsabilidel trattamento dei dati.

26Cfr. GE2.P.1 in "Essential Regulatory Requirements andRecommendations for Data Handling, Data Safety, and Consumer Protection"(http://ec.europa.eu/energy/gaselectricity/smartgrids/doc/expertgroup2deliverable.pdf)