GRUPPO DI LAVORO PER LA TUTELA DEI DATI EX ART. 29 Parere 07/2013 - WP209 IL GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDOAL TRATTAMENTO DEI DATI PERSONALI istituitoai sensi della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del24 ottobre 1995, vistil'articolo 29 e l'articolo 30, vistoil proprio regolamento interno, HA ADOTTATO IL PRESENTE PARERE: 1 Contesto 1.1 Introduzione Contesto Il9 marzo 2012 la Commissione europea ha formulato la raccomandazione 2012/148/UEsui preparativi per l'introduzione di sistemi di misurazione intelligenti (inappresso "raccomandazione della Commissione") al fine di fornire orientamentiagli Stati membri per l'introduzione di sistemi di misurazione intelligenti neimercati dell'energia elettrica e del gas. La raccomandazione della Commissioneintendeva offrire orientamenti in materia di protezione e sicurezza dei dati,di metodologia per la valutazione economica dei costi e dei benefici a lungotermine dell'introduzione dei sistemi di misurazione intelligenti Relativamentealla protezione e alla sicurezza dei dati per i sistemi di misurazioneintelligenti e la rete intelligente, la raccomandazione della Commissione offreorientamenti agli Stati membri per quanto riguarda la protezione dei dati findalla progettazione e la protezione cosiddetta di "default" e l'applicazione dialcuni dei principi di protezione dei dati di cui alla direttiva 95/46/CE Laraccomandazione della Commissione prevede inoltre che il modello di valutazioned'impatto sulla protezione dei dati presenti "una descrizione deltrattamento previsto, una valutazione dei rischi per i diritti e le libertàdegli interessati, le misure previste per affrontare i rischi, le garanzie, lemisure di sicurezza e i meccanismi per garantire la protezione dei datipersonali e contribuire a dimostrare il rispetto della direttiva 95/46/CE,tenuto conto dei diritti e dei legittimi interessi degli interessati e di altrepersone". Fasepreparatoria Afebbraio 2012 la Commissione ha rinnovato il mandato del gruppo di esperti n. 2("GE2") della sua task force per le reti intelligenti ("SGTF") incaricata dipresentare un modello di valutazione d'impatto sulla protezione dei dati per lereti intelligenti. Da allora il GE2, composto principalmente da rappresentantisettore industriale, ha tenuto diversi seminari, cui i rappresentanti del WP29hanno partecipato in qualità di osservatori. Il26 ottobre 2012 il WP29 ha inviato una lettera alla direzione generaledell'Energia ("DG ENER") della Commissione europea per richiamare l'attenzionedella Commissione su vari aspetti del progetto di DPIA che necessitavano,secondo il WP29, importanti miglioramenti. Primaversione del modello di valutazione d'impatto sulla protezione dei dati L'8gennaio 2013 la Commissione ha presentato al WP29 la prima versione del modellodi valutazione d'impatto sulla protezione dei dati elaborata dalle partiinteressate del GE2. Nella lettera di accompagnamento del modello di DPIA inquestione, la Commissione osservava che, fatti salvi in rilievi del WP29 e unaloro adeguata riconciliazione, avrebbe potuto considerare l'opportunità diadottare il modello elaborato dalle parti interessate del GE2 in forma diraccomandazione della Commissione4 Il22 aprile 2013 il WP29 ha formulato il parere 04/2013 nel quale, da un lato,riconosceva il significativo lavoro svolto dalle parti interessate del GE2 e neaccoglieva con favore gli obiettivi e, dall'altro, individuava diversi punticritici, che possono essere così riassunti: i.mancanza di chiarezza sulla natura e sugli obiettivi della valutazioned'impatto sulla protezione dei dati; ii.carenze metodologiche nel modello di valutazione d'impatto sulla protezione deidati; iii.mancanza di contenuti specifici per il settore: i rischi specifici per ilsettore e i controlli pertinenti per far fronte a tali rischi devono essereidentificati e associati. IlWP29 ha pertanto concluso che il modello di DPIA non era sufficientementematuro e ben sviluppato e ha invitato la Commissione a garantire che il lavorosul modello continui e che il risultato finale offra orientamenti praticisufficientemente specifici, utili e chiari ai responsabili del trattamento deidati. IlWP29 ha inoltre raccomandato alla Commissione di considerare l'integrazionedelle migliori tecniche disponibili (BAT, definite al punto 3, lettera f),della raccomandazione) nel modello di DPIA e di presentare il documentointegrato al WP29 per ottenerne un parere. Ha inoltre raccomandato allaCommissione di tenere conto del lavoro passato e attuale in materia divalutazione d'impatto sulla protezione dei dati e di considerare la possibilitàdi definire una metodologia generica della valutazione d'impatto dalla qualepossano beneficiare gli interventi a livello settoriale. Secondaversione del modello di valutazione d'impatto sulla protezione dei dati LaCommissione ha risposto al parere del WP29 il 27 maggio 2013. Nella lettera laCommissione invitava il GE2 a presentare un modello rivisto e prendeva attodella disponibilità del WP29 a contribuire ai lavori del GE2, mantenendo alcontempo il proprio ruolo specifico. Inoltre la Commissione optava per nonintegrare le BAT nel modello vista la loro portata limitata ai requisitifunzionali comuni minimi per i sistemi di misurazione intelligente e il lorocarattere evolutivo5 IlGE2 ha istituito un gruppo ad hoc per la redazione della seconda versione delmodello che si è riunito il 4 giugno e il 3 luglio 2013. Alcuni rappresentatidel WP29 hanno partecipato alla prima riunione come osservatori e hannorisposto alle domande dei rappresentanti del GE2 in merito alle diversequestioni sollevate nel modello. Il20 agosto 2013 la Commissione ha presentato al WP29 la versione finale delmodello DPIA rivisto elaborata dai membri del GE2. Strutturadel presente parere Lasezione 1 presenta le tappe in cui si è articolata la revisione del modello diDPIA e si richiama alle sezioni del parere 04/2013 riguardanti la protezionedei dati nelle reti intelligenti e gli obiettivi della valutazione d'impattosulla protezione dei dati in tale ambito. Lasezione 2 contiene la valutazione del WP29 sul modello rivisto. Lasezione 3 trae le conclusioni finali. 1.2 La protezione dei dati nelle reti intelligenti egli obiettivi della valutazione d'impatto sulla protezione dei dati in taleambito Lesezioni 1.2 e 1.3 del parere 04/2013 hanno già analizzato gli aspetti dellaprotezione dei dati nelle reti intelligenti e degli obiettivi della valutazioned'impatto sulla protezione dei dati in tale ambito. Il WP29 non ha nuovielementi da aggiungere al riguardo. 2 Analisi del modello di valutazione d'impatto sullaprotezione dei dati IlWP29 si compiace del lavoro svolto dai membri del GE2 al fine di risponderealle osservazioni del WP29, nonché della disponibilità dimostrata a prendere inconsiderazione il parere espresso dal WP29. Lapresente analisi riprende essenzialmente le osservazioni presentate nel parere04/2013, ma include altresì le migliorie che dovrebbero essere prese inconsiderazione per perfezionare il modello. Le sezioni seguenti trattanoentrambi gli aspetti. Peruna piena e chiara comprensione, l'analisi deve essere letta alla luce delcontenuto e della terminologia del parere 04/2013. 2.1 Il modello di DPIA e la raccomandazione2012/148/UE IlWP29 ha colto l'opportunità di rivedere attentamente la seconda versione delmodello di DPIA per la rete intelligente alla luce della raccomandazione dellaCommissione, che ne definisce la finalità, la portata e l'applicabilità. 2.1.1 Carattere discrezionale di una valutazioned'impatto sulla protezione dei dati per la rete intelligente Benchéuna raccomandazione della Commissione non implichi, da un lato, obblighigiuridicamente vincolanti, la sua adozione sancisce però, dall'altro, chel'applicazione di determinate misure è fortemente raccomandata. Laraccomandazione 2012/148/UE prevede, per le operazioni di trattamento dei datipersonali nei contatori / reti intelligenti, la necessità di eseguire una "procedurasistematica di valutazione dell'impatto potenziale dei rischi [Š] per i dirittie le libertà delle persone interessate in considerazione della natura, dellaportata o delle finalità". Il WP29 intende ribadire che la necessità dieseguire una tale procedura, come già affermato nel parere 12/2011 del WP29 suicontatori intelligenti nel contesto di un approccio alla "tutela della vitaprivata fin dalla progettazione", è ampiamente giustificata dalla complessitàdell'infrastruttura tecnica e di gestione delle reti intelligenti, dallapotenziale portata di applicazione e di evoluzione, nonché dai rischi specificiper i diritti e le libertà fondamentali dell'individuo, ivi compreso, tra glialtri, il diritto alla vita (ad esempio, lo spegnimento di macchinari elettriciimpiegati per il sostegno delle funzioni vitali). Inoltre,il WP29 accoglie con favore la proposta della Commissione di un regolamentogenerale sulla protezione dei dati, che renderebbe obbligatorie, a determinatecondizioni, le valutazioni d'impatto sulla protezione dei dati. I soggetticoinvolti nel modello di DPIA per la rete intelligente, ossia i responsabilidel trattamento dei dati e gli operatori addetti al trattamento stesso,dovrebbero tenere presente che l'uso del modello va considerato un mezzo perconformarsi ai futuri obblighi giuridici. Visti i cospicui investimenti e lapianificazione di lungo termine per le reti di pubblica utilità, è chiaro cherientra nell'effettivo interesse dei soggetti coinvolti acquisire esperienzanelle modalità della valutazione d'impatto sulla protezione dei dati eapplicare quest'ultima sin dal principio nella progettazione dei rispettivisistemi, in modo da non dover far fronte a problemi di conformità al momentodell'entrata in vigore della legislazione attualmente in corso di adozione.Benché la formulazione utilizzata nel modello, in particolare nella sezione2.1, sembri garantire all'impresa ampi margini di discrezionalità quanto allametodologia da utilizzare, la Commissione dovrebbe intervenire per precisareche tali margini devono essere interpretati rigorosamente, assicurando lavalutazione d'impatto sulla protezione dei dati sia effettuata nel modo piùorganico possibile. A tal fine, la Commissione potrebbe ad esempio illustraretale metodologia in una raccomandazione ad hoc relativa al modello. Il WP29attribuisce alla valutazione preventiva un ruolo funzionale per tenere conto ditutte le possibili situazioni che i futuri responsabili e incaricati deltrattamento potrebbero affrontare, in base alle informazioni trattate, allaportata del (sotto)sistema in analisi, allo stato del progetto, ecc., e non laconsidera una fase della metodologia che indebolisce gli obiettivi dellaraccomandazione della Commissione. 2.1.2 La valutazione d'impatto sulla protezione deidati e le autorità di protezione dei dati Inbase al punto 8 della raccomandazione della Commissione, gli Stati membridovrebbero provvedere affinché l'organismo incaricato del trattamento dei daticonsulti l'autorità di controllo in merito alla valutazione d'impatto sullaprotezione dei dati prima di procedere al trattamento. Il WP29 osserva che, indiversi punti, il modello non rispecchia pienamente questo approccio. Alcunecitazioni a titolo di esempio: "in caso di dubbio" (sezione 2.1.4),semplicemente consultare il responsabile della protezione dei dati (DPO) (nonl'autorità di protezione dei dati - DPA) "quando disponibile" (sezione 2.6.2),oppure da trasmettere all'autorità di protezione dei dati "se richiesto" quandoè stata adottata la relazione finale (sezione 2.7). Se da un lato sarebbepreferibile che il modello precisasse in modo univoco che le autorità nazionalidi protezione dei dati devono essere consultate prima del trattamento, comeraccomandato dalla Commissione e fatte salve le eccezioni previste al riguardodalla normativa nazionale in materia di protezione dei dati e/o dalla politicanazionale condotta da dette autorità, dall'altro la Commissione dovrebbeadeguatamente chiarire alle parti interessate che il modello di DPIA adottato anorma della raccomandazione non può modificare i principi adottati dallaraccomandazione I punti citati possono essere intesi soltanto come ulterioripossibilità di ottenere informazioni in parallelo alla consultazione delleautorità di protezione dei dati, come raccomandato dalla Commissione. 2.2 Chiarezza sulla natura e gli obiettivi dellavalutazione d'impatto sulla protezione dei dati 2.2.1 Tenere conto dell'impatto finale sui diritti ele libertà individuali IlWP29 si compiace del fatto che la fase di valutazione del rischio dellametodologia prevista dal modello (sezione 2.5) tenga conto degli impattieffettivi sui diritti e le libertà fondamentali, nonché sulle libertà civilidegli interessati (quali, ad esempio, la perdita finanziaria, ladiscriminazione di prezzo o i reati agevolati dalla profilazione nonautorizzata) come effetti degli "eventi temuti" dovuti a un trattamentoscorretto e illecito dei dati personali e non più dell'impatto sugli obiettividi tutela della vita privata in quanto tale. Tuttavia,il testo che illustra la metodologia di valutazione del rischio (si veda lasezione pertinente nel presente parere), e in particolare la sezione 2.5.1.1del modello, che spiega come valutare l'impatto degli eventi temuti, nonpresentano la necessaria chiarezza. In particolare, la frase intesa a definiregli elementi per valutare "l'impatto e la gravità di alcune minacceindividuate" non apporta alcun chiarimento. Gli obiettivi di tutela dellavita privata vengono menzionati tra gli elementi della valutazione (si veda lasezione 2.2.2 del presente parere), ma non sono elaborati né giustificati, i "rischiconnessi ai reati" sono trattati separatamente senza un'evidente ragione edelementi quali "la libertà di movimento, la perdita di indipendenza, laperdita di uguaglianza" sono elencati a parte e definiti "altri principidi tutela della vita privata6 IlWP29 desidera sottolineare che la valutazione d'impatto sulla protezione deidati deve esaminare sempre e con coerenza l'impatto su "diritti e libertàdelle persone interessate", come ricordato nella sezione 2.1 del parere04/2013 e correttamente affermato in diverse parti del modello. Nei casi in cuiil modello impiega una terminologia diversa, ad esempio quando si riferisceesclusivamente al diritto alla vita privata, esso deve essere interpretato insenso lato. Le future revisioni del modello dovranno tenere conto di talirilievi. Inoltre,se è vero, da un lato, che alcuni eventi temuti possono comportare moltepliciimpatti sugli interessati, per accrescere le conoscenze su di essi equantificarne l'impatto, potrebbe essere utile elencare negli esempi dellasezione 3.4.1 i principali impatti per gli interessati in relazione agli eventitemuti. La correlazione tra gli eventi temuti e l'impatto sui diritti e sullelibertà fondamentali individuali caratterizza le attività relative alla tuteladelle persone per quanto riguarda il trattamento dei dati personali,diversamente da quanto accade, ad esempio, in una semplice valutazione delrischio per la sicurezza delle informazioni. 2.2.2 Come conseguire gli obiettivi di tutela dellavita privata Lemodalità per conseguire gli obiettivi di tutela della vita privatarappresentano uno degli aspetti più importanti della relativa valutazioned'impatto sulla tutela della vita privata (DPIA). In effetti, il fine di talevalutazione è garantire che gli obiettivi di tutela di vita privata venganopresi in giusta considerazione. Attualmente,tali obiettivi sono: -menzionati nella sezione "2.5.1.1. Impatto degli eventi temuti", in quantoelementi di cui tenere conto nel valutare l'impatto e la gravità di unadeterminata minaccia individuata; -citati nella sezione "2.6.3. Rischi residui e accettazione del rischio", comeobiettivi da raggiungere; -elencati e illustrati nell'"allegato 1. Obiettivi relativi alla protezionedella vita privata e dei dati". Nellamaggior parte delle sue disposizioni, la direttiva 95/46/CE Benchéuno degli obblighi riguardi la sicurezza del trattamento, ai fini della suaattuazione la direttiva prevede all'articolo 17 un approccio relativo allagestione del rischio e sancisce che "tali misure devono garantire, tenuto contodelle attuali conoscenze in materia e dei costi dell'applicazione, un livellodi sicurezza appropriato rispetto ai rischi presentati dal trattamento e allanatura dei dati da proteggere". Nell'ambitodi un modello di valutazione d'impatto, è importante tenere presente chestrategie di gestione del rischio come quelle sviluppate nel settore dellasicurezza possono essere applicate alla protezione dei dati, ma soltanto aquestioni attinenti alla sicurezza, e che è necessaria la conformità assolutaalla maggior parte degli obblighi. Nel modello si utilizza il termine"obiettivi relativi alla tutela della vita privata" per designare gli obblighidi conformità e, nella sezione 2.6.3, si precisa che i concetti di rischiresidui e di accettazione del rischio non si applicano agli obiettivi relativialla tutela della vita privata "da conseguire" (pag. 33). Il WP29 si compiace del fatto che il modelloriconosca la distinzione tra gestione e accettazione del rischio, ma avrebbeapprezzato una presentazione più precisa e più chiara. Diconseguenza, per analizzare i risultati di una valutazione d'impatto sullaprotezione dei dati personali, si dovrebbero sempre prevedere due azionidistinte e complementari. Laprima concerne i rischi per i dati personali, che dovrebbero essere oggetto diuna gestione del rischio (valutati, affrontati, ecc.). Laseconda riguarda la conformitàagli obiettivi di tutela della vita privata, come ad esempio gli obblighigiuridici, che dovrebbero essere considerati aspetti inerenti alla conformità(le misure attuate o previste per conseguire gli obiettivi di tutela della vitaprivata, la giustificazione, in caso di mancato conseguimento degli stessi, irischi giuridici in caso di inadempienza, i controlli previsti per valutare see come gli obiettivi siano stati raggiunti, ecc.). Perquanto concerne l'analisi del rischio, è opportuno sottolineare che gli eventitemuti descritti nella sezione "2.4.1. Introduzione" dovrebbero essere oggettodi una valutazione sistematica. Sarebbe opportuno determinarne gli impattipotenziali sugli interessati e basare su tali impatti la stima degli effettipregiudizievoli. Ciononostante, la Commissione potrebbe voler verificare ladistinzione tra l'ultimo evento temuto (la comunicazione impropria di datipersonali [Š] a persone che non ne hanno la necessità) e il terzo (l'accessoillecito ai dati personali [...] da parte di persone non autorizzate). IlWP29 intende proporre una serie di strumenti per integrare la metodologiaprevista dal modello, al fine di facilitarne l'applicazione. Il gruppo invitala Commissione a far conoscere le sue proposte ai potenziali utilizzatori delmodello, ad esempio mettendo a disposizione il presente parere assieme almodello o facendovi riferimento negli eventuali documenti di accompagnamento.Gli strumenti complementari sono illustrati nell'allegato del presente parere. 2.3 La metodologia utilizzata nel modello di DPIA Ingenerale, la metodologia proposta nel modello è ora più chiara e di più facileuso. Ciononostante, molti elementi mancano ancora di chiarezza e di precisione,ivi compreso nell'elenco delle minacce generiche di cui alla sezione 3.4.1, neimoduli del modello e nel questionario allegato. Alcunidi tali elementi sono stati trattati nella sezione 2.1, contestualmente agli aspettirelativi alla chiarezza della natura e degli obiettivi della valutazioned'impatto sulla protezione dei dati, mentre gli altri sono trattati qui diseguito. 2.3.1 La metodologia di valutazione (gestione) delrischio Moltielementi della metodologia di gestione del rischio sono principalmente basati sullanorma ISO 31 000, sulla metodologia EBIOS e sulla sintesi formulata dallaCNIL8. 8 Individuazionedelle risorse Lerisorse primarie e di sostegno dei dati vengono definite come obiettivi dellavalutazione generale del rischio. Individuazionee valutazione di minacce e vulnerabilità Nelmodello figura ora la distinzione tra minacce e rischi e si forniscono maggioriorientamenti sul concetto di vulnerabilità. Ciononostante,il WP29 esprime preoccupazione per il fatto che gli obiettivi di tutela dellavita privata non conseguiti sono inseriti tra le minacce generiche elencatenella sezione 3.4.1., e in particolare nella sezione 3.4.1.4, il che potrebbegenerare il fraintendimento secondo cui il modello "definisce una minaccia ilmancato raggiungimento di un obiettivo di tutela della vita privata" per poterincludere la valutazione degli obiettivi di tutela della vita privata nellametodologia di valutazione del rischio. La questione è già stata affrontatanella sezione 2.2.2 del presente parere. IlWP29 riconosce, tuttavia, che gli esempi pertinenti e gli orientamenti forniti(per i dati riportati nelle tabelle della sezione 3.4.1, che illustrano gliobiettivi di tutela della vita privata non conseguiti) nelle altre colonnepossono essere utili, una volta migliorati, per conseguire gli obiettivi ditutela della vita privata. IlWP29 propone di utilizzare tali informazioni nell'ambito di un approccio piùampio e articolato (si vedano altresì le osservazioni alla fine della sezione2.2.2 del presente parere), per fornire orientamenti su come perseguire dettiobiettivi. Tali informazioni potrebbero essere riprese in una tabella o, ancorameglio, in una sezione specifica che permetta di fornire orientamenti anche perle operazioni di trattamento rischiose (quali, la profilazione o le decisionisui singoli in base a operazioni di trattamento automatizzate). Calcoloe gerarchizzazione del rischio Vengonoforniti orientamenti più chiari su come calcolare e gerarchizzare i rischi.Nella sezione riguardante il calcolo del rischio (2.5.1.3) è necessariomigliorare la formulazione e la chiarezza. Trattamentodel rischio Lasezione "2.6.1. Modifica del rischio: controlli attuati e previsti" dovrebbeessere integrata nella sezione "2.5. Fase 5 - Valutazione del rischio per laprotezione dei dati", e presa in considerazione al momento della primavalutazione del rischio. Tuttavia, il titolo non dovrebbe menzionare la"modifica del rischio", che è una delle possibilità di trattamento del rischio,ma riportare semplicemente "Controlli attuati e previsti". In seguito, nellasezione "2.6. Fase 6 – Individuazione e raccomandazione di controlli erischi residui", e in particolare nella sezione "2.6.2. Trattamento del rischio",vengono definiti i controlli aggiuntivi e i rischi sono stimati come rischiresidui. Nelparere 04/2013, il WP29 aveva osservato che nella prima versione del modellonon vi era alcuna corrispondenza tra i rischi da ridurre e l'elenco deipossibili controlli di cui all'allegato II. Il WP29 accoglie con favore ilfatto che, nella nuova versione del modello, la descrizione dell'obiettivo deipossibili controlli includa spesso il tipo di rischi che esso, in lineagenerale, intende ridurre. Inoltre, l'elenco non esaustivo di minacce generichedi cui alla sezione 3.4.1 mette in relazione tali minacce con i possibilicontrolli previsti nell'allegato II. Rischiresidui Peruna valutazione equilibrata dei rischi residui ai fini del processo di gestionedel rischio, è altrettanto importante individuare sin dalle fasi iniziali tuttigli interessi in gioco, che possono essere ricavati dall'eventuale sistemaglobale di gestione del rischio dell'impresa. In tale sede possono essererappresentati non solo gli interessi economici o altri interessi legittimi, maanche interessi di altro tipo, come ad esempio la responsabilità sociale o laconformità ad altri obblighi giuridici. IlWP29 propone di aggiungere una nuova sezione per determinare gli interessi ingioco nell'ambito del trattamento. Tale sezione potrebbe essere collocata trala 2.3.1 e la 2.3.2, intitolarsi "2.3.2. Interessi in gioco nell'ambito deltrattamento" ed essere destinata alla descrizione delle opportunità offerte daltrattamento dati nell'ambito della rete intelligente (a livello dicommercializzazione/economico, sociale, di conformità giuridica, ecc.). Dopoil primo paragrafo della sezione "2.6.4. Risoluzione" potrebbe essere inseritauna valutazione dei rischi residui alla luce degli interessi in gioco. Taleparagrafo potrebbe spiegare che la risoluzione consiste nel decidere diaccettare o meno i rischi residui alla luce degli interessi in gioco definitinella sezione 2.3. 2.3.2 Ruoli e responsabilità IlWP29 accoglie con favore l'integrazione (sezione 1.4.2) di un elenco deidiversi tipi di operatori della rete intelligente, ivi compresa una descrizionegenerica delle ragioni per cui potrebbero trattare dati personali. Lapresenza della sottosezione specifica 2.1.2 evidenzia ancor più la necessità diuna chiara ripartizione delle responsabilità tra il responsabile e l'incaricatodel trattamento. L'esempio fornito nel testo riguardo alle competenze del responsabilee dell'incaricato del trattamento nel caso dei contatori intelligenti dovrebbeessere integrato da altri esempi relativi a situazioni più complesse. Neltesto viene riportato un altro esempio (che vede coinvolti un operatore di una microretee una società di assicurazioni), in cui i problemi vengono effettivamentedescritti, ma non viene fornito alcun orientamento. Inoltre,come già proposto nel parere 04/2013, il modello di DPIA potrebbe includerenella terza fase una quarta sezione intesa a determinare le diverseresponsabilità delle varie entità che partecipano al trattamento dei dati(qualora la sezione 3 preveda già un modulo corrispondente). 2.3.3 I moduli del modello Oltrea diverse considerazioni presentate in altre sezioni del presente parere, ilWP29 desidera porre l'accento su altre carenze emerse nelle sezioni relative aidiversi moduli da utilizzare per la valutazione d'impatto sulla protezione deidati. Adesempio, nella sezione 3.3, non sono chiare né la relazione tra i diversi modelliutilizzati per l'identificazione, la caratterizzazione e la descrizione deisistemi di rete intelligente, né la sequenza e le modalità d'uso di talimodelli. Inoltre, si fa riferimento a un documento esterno, senza specificarnela ragione e nella metodologia noncompare alcun riferimento alla tempistica prevista per l'uso del modulo di cuialla sezione 3.3.5. D'altrocanto, una tabella indicante le risorse primarie e di sostegno corrispondenticostituisce un orientamento essenziale per la valutazione del rischio. Ingenerale, è opportuno fornire maggiori orientamenti sull'uso dei moduli e sarebbeestremamente utile riportare uno o più esempi nell'allegato. Ì 2.4 Contenuto settoriale specifico nel modello diDPIA Unadelle questioni principali sollevate nel parere 04/2013 riguardava il fatto chei rischi e i controlli indicati nella prima versione del modello nonriflettevano l'esperienza del settore in relazione ai problemi piùsignificativi e alle migliori pratiche. IlWP29 prende atto e si compiace dell'aggiunta di contenuto specifico all'elenconon esaustivo delle minacce generiche di cui alla sezione 3.4.1.1, inparticolare nella colonna intitolata "Esempi specifici del settore energeticorelativi alle vulnerabilità delle risorse di sostegno". Tuttavia, il WP29ritiene siano necessari miglioramenti e ulteriori orientamenti, sia nel testoche nel modello, in particolare per conseguire gli obiettivi di tutela dellavita privata (si veda anche la sezione 2.2.2). Comericordato nella sezione 1.1, la Commissione ha rifiutato la proposta del WP29di integrare nel modello le migliori tecniche disponibili (BAT) su cui stalavorando il GE2, dato il loro ambito di applicazione limitato ai contatoriintelligenti e il carattere evolutivo di tali BAT. IlWP29 ribadisce la propria convinzione che il fatto di considerare le BATselezionate come un insieme intrinsecamente connesso al modello consentirebbe aun'organizzazione che effettua una DPIA di adottare, in caso di necessità, lemisure adeguate. Ilcarattere evolutivo delle BAT non è in contrasto con il loro ruolocomplementare nel modello di DPIA. Inoltre, il modello stesso necessiterà, dopouna prima fase di applicazione e, in ogni caso, con cadenza periodica, di unaserie di revisioni finalizzate a mantenere e perfezionare la metodologia. Ilfatto che l'ambito di applicazione delle BAT si limiti ai contatoriintelligenti, e non sia pertanto esaustiva, non rappresenta una valida ragioneper escluderne l'uso dalla valutazione d'impatto sulla protezione dei dati. Icontatori intelligenti costituiscono sottosistemi in cui i dati personali vengonoessenzialmente raccolti ed elaborati e, in ogni caso, è preferibile disporre diqualche orientamento piuttosto che non averne affatto. Inoltre, il WP29 cogliequesta opportunità per proporre alla Commissione e al settore di valutare seestendere il prezioso lavoro compiuto con le BAT anche all'ambito generaledelle reti intelligenti. Nelparere 04/2013, più nello specifico nell'allegato II, il WP29 avevaraccomandato di descrivere nel modello di DPIA, in modo succinto etecnologicamente neutrale, almeno le tecnologie che garantiscono una maggioretutela della vita privata ("PET") e altre "migliori tecniche disponibili" perla limitazione dei dati e di illustrarle successivamente nei dettagli neldocumento di accompagnamento sulle BAT. Ciò non è stato fatto. IlWP29 continua a ritenere che per il settore sarebbe molto utile disporre di uninsieme di misure pronte per l'attuazione e avere una migliore conoscenza delle 2.5 Necessità di sottoporre il modello di DPIA aprove/convalide IlWP29 raccomanda di effettuare prove/convalide sul campo del modello di DPIAsulla base della versione esistente e tenendo il più possibile inconsiderazione le osservazioni di cui sopra. Il WP29 raccomanda inoltre che ilmodello e la relativa metodologia vengano rivisti e migliorati alla luce ditali prove e tenendo conto delle osservazioni sopraesposte. Taliprove, di cui il WP29 dovrebbe essere informato e alle quali potrebberocontribuire le singole autorità di protezione dei dati, potrebbero rivelarsiutili come validi esempi da includere negli allegati del modello per migliorarela comprensione della metodologia proposta. 2.6 Altre considerazioni 2.6.1 Il concetto di dati personali Lasezione 2.1 spiega come stabilire se i dati personali sono trattati nelsottosistema di rete intelligente in analisi. Il WP29 prende atto del fatto chela classificazione dei dati personali negli esempi elencati appare corretta,anche se la giustificazione fornita per definire un'informazione dato personalenon utilizza sempre rigorosamente la terminologia giuridica. Adesempio, i cosiddetti "dati di utenza" sono considerati dati personali perché"forniscono indicazioni sulla vita quotidiana dei soggetti", mentre a renderli taliè il fatto che si riferiscono alla persona cui è intestato il contratto e, sedel caso, alla famiglia della stessa. Il fatto che forniscano indicazioni sullaquotidianità ha un impatto sulla vita privata e ciò vale anche per gli altrielementi elencati. Se,da un lato, l'elenco di esempi è sicuramente utile per i potenzialiutilizzatori del modello, si ha l'impressione che, per considerare i dati come"personali", debba prodursi un impatto notevole sulla vita privata. Inoltre, èopportuno indicare in modo chiaro che l'elenco di esempi non è esaustivo. 2.6.2 Altre osservazioni in merito alla terminologiarelativa alla protezione dei dati Inalcune sezioni, il modello utilizza il temine "proprietario del sistema", ilche ha senso per quanto riguarda l'ambito di applicazione, ma non chiariscesempre il nesso con la terminologia relativa alla protezione dei datieventualmente applicabile (come ad esempio, responsabile del trattamento deidati, ...) (pag. 14, 18, 32, ...), oppure termini quali "il soggetto", "ilconsumatore", "l'utente", ecc., senza stabilire una chiara relazione con lapersona cui i dati si riferiscono (pag. 10, 15, Š). Inoltre,alcune formulazioni, come ad esempio "concordato con l'utente" (pag. 10) o "gliutenti devono avere la possibilità di scegliere" (pag. 11) dovrebbero essereassociate alla necessità di ottenere il "consenso", di cui all'articolo 2,lettera h), della direttiva. Il WP29 invita a valutare la possibilità diprecisare anche la terminologia specifica alla protezione dei dati, nonchéspiegare il livello di interoperabilità dei termini, se applicabile. 2.7 Conclusioni e raccomandazioni IlWP29 riconosce il lavoro svolto dal gruppo GE2, nonché i notevoli progressicompiuti nella seconda versione del modello rispetto a quella precedente: lametodologia è infatti esposta in modo migliore ed è di più facile applicazione.Ciononostante, diversi elementi restano oscuri ed è necessario chiarire alcuneparti, che, se trattate come indicato, contribuiranno in modo decisivo al buonesito dell'introduzione e dell'utilizzo del modello. IlWP29 è consapevole del fatto che la versione da esso esaminata potrebbe ancorasubire modifiche a livello linguistico e giuridico. Inoltre,il WP29 è consapevole dell'urgente necessità di realizzare una valutazioned'impatto sulla protezione dei dati nel settore e si compiace della sollecitaadozione di una versione finale del modello, la cui efficacia dovrà sicuramenteessere verificata e migliorata dopo un primo periodo di utilizzo. IlWP29 raccomanda pertanto di predisporre una fase di prova su casi reali, di cuilo stesso WP29 dovrebbe essere informato e a cui potrebbero contribuire lesingole autorità di protezione dei dati. Inoltre, la fase di prova dovrebbegarantire che il modello offra ai singoli una migliore protezione dei dati nelcontesto dell'introduzione delle reti intelligenti. Nellafase di prova, e come previsto dal modello stesso, il settore è invitato aprestare attenzione ai concetti essenziali nella riforma della protezione dei dati,ovvero la protezione dei dati fin dalla progettazione e la protezione didefault, la riduzione al minimo dei dati e il diritto all'oblio e allaportabilità dei dati. Inoltre,il WP29 ribadisce l'importanza di definire una metodologia generica di DPIA dacui possano trarre vantaggio le iniziative settoriali specifiche. Fattoa Bruxelles, il 4 dicembre 2013 1L'introduzione e l'analisi costi-benefici sono richiestedalla i) direttiva 2009/72/CE relativa a norme comuni per il mercato internodell'energia elettrica (GU L 211 del 14.8.2009, pag. 55) e dalla ii) direttiva2009/73/CE relativa a norme comuni per il mercato interno del gas naturale (GUL 211 del 14.8.2009, pag. 94). La direttiva 2012/27/UE sull'efficienzaenergetica (GU L 315 del 14.11.2012, pag. 1) comprende ulteriori disposizionisulla misurazione intelligente. Per il mercato dell'energia elettrica, ladirettiva 2009/72/CE prevede che, qualora l'introduzione sia valutatapositivamente, almeno l'80% dei consumatori sarà dotato di contatoriintelligenti entro il 2020. Non è stabilito alcun calendario preciso per ilmercato del gas. 2Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995relativa alla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati (GU L281 del23.11.1995, pag. 31. 3Il gruppo di esperti n. 2 ha considerato come punto dipartenza l'esperienza acquisita nell'ambito dell'elaborazione e della revisione,a seguito delle osservazioni e dei pareri del gruppo di lavoro articolo 29("WP29"), della "Proposta dell'industria relativa a un quadroper la realizzazione di valutazioni di impatto sulla protezione della vitaprivata e dei dati per le applicazioni RFID". 4Il 17 gennaio 2013 il modello di DPIA è stato presentatoanche al consiglio delle autorità di regolamentazione nel settore energetico(CEER). Il presidente del CEER ha risposto il 5 marzo accogliendo con favore illavoro intrapreso dal GE2 e il progetto di modello di valutazione d'impattosulla protezione dei dati risultante. La lettera ha ribadito l'importanza dellasicurezza, della protezione dei dati e la necessità che gli utenti possanocontrollare i propri dati, ha fatto riferimento al precedente parere del CEERpubblicato nel 2011, chiedendo un intervento rapido per completare il modelloin questione. 5"Ritengo che ciò potrebbe rivelarsi meno utile delprevisto per le seguenti ragioni: i) in linea con la raccomandazione2012/148/UE della Commissione, le BAT sono incentrate soltanto sui requisiti funzionaliminimi comuni per i sistemi di misurazione intelligenti, mentre l'ambito diapplicazione del modello di DPIA mira ad andare oltre l'ultimo miglio e aincludere l'intera gamma delle reti intelligenti e ii) se inserite nel modellodi DPIA, per il loro carattere evolutivo e illustrativo, le BAT renderebbero ilmodello ipso facto effimero e potenzialmente soggetto a frequenti e inopportunerevisioni" (lettera ener.b.3 VL/cv(2013)1506536,indirizzata al Sig. Kohnstamm, 27 maggio 2013). 6In questo caso si potrebbe integrare l'ultima frase delprimo paragrafo della sezione "2.5.1.1. Effetti degli eventi temuti"con altri elementi e utilizzare la seguente formulazione: "Questo impattopotenziale è determinato in base alle conseguenze che ogni evento temutopotrebbe avere sulla protezione dei dati dell'interessato e su altri diritti elibertà fondamentali, ivi compresi, ad esempio, i rischi connessi ai reati,quali il furto e l'usurpazione d'identità, oppure la libera circolazione,l'indipendenza, il trattamento equo, le relazioni sociali, gli interessifinanziari, ecc., causate, ad esempio, dalla profilazione, dall'invio dimateriale pubblicitario non richiesto, dalla discriminazione o da singoledecisioni su informazioni errate...". 7Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995relativa alla tutela delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati. |