Indice
Riferimenti Normativi
REGOLAMENTO 679/2016: art. 35
Considerando 84, da 89 a C93, C95
WP 248 adottate da ultimo 4 ottobre 2017
Quadro di sintesi
La Valutazione d’impatto sulla protezione dei dati è forse uno degli argomenti più complessi del nuovo GDPR. Molti i dubbi che la sola lettura dell’art. 35 non riusciva a dipanare. Indubbiamente le Linee Guida del Gruppo di Lavoro articolo 29 hanno chiarito punti controversi e dato utili strumenti di lavoro. Questo adempimento, tuttavia, nella sua complessità, è la dimostrazione che l’attuazione del GDPR non va vista come un’attività “one shot”, da completare alla svelta prima del prossimo 25 maggio, ma come un sistema e un percorso che deve diventare parte integrante dell’attività ordinaria.
In questo approfondimento rispetto alla Valutazione d’Impatto Privacy, si cercherà di rispondere ai seguenti quesiti:
•quando è necessario svolgere la Data Protection Impact Assessment (di seguito anche solo DPIA)
•come va svolta e da chi
•quando deve essere consultata l’Autorità di Vigilanza
QUANDO è OBBLIGATORIO EFFETTUARE UNA DPIA?
Il Regolamento non richiede che sia svolta una DPIA per ogni operazione di trattamento che possa comportare rischi per i diritti e le libertà delle persone fisiche.
L’esecuzione di una DPIA è obbligatoria soltanto se è probabile che il trattamento “provochi un elevato rischio per i diritti e le libertà delle persone fisiche” (articolo 35, paragrafo 1, illustrato dall’articolo 35, paragrafo 3 e completato dall’articolo 35, paragrafo 4).
Ciò è particolarmente rilevante quando viene introdotta una nuova tecnologia di elaborazione dati.
Nei casi in cui non sia chiaro se sia necessaria una DPIA, il WP29 raccomanda di eseguirla comunque, essendo la valutazione d’impatto uno strumento utile per aiutare i titolari a rispettare la legge sulla protezione dei dati.
Sebbene una DPIA possa essere richiesta in altre circostanze, l’articolo 35, paragrafo 3, fornisce alcuni esempi che chiariscono, o meglio dovrebbero chiarire, quando un trattamento di dati “rischia di comportare rischi elevati”:
“a) una valutazione sistematica e ampia degli aspetti personali riguardanti le persone fisiche basata su un trattamento automatizzato, compresa la profilazione, e su cui si fondano le decisioni che producono effetti giuridici sulla persona fisica o che in modo analogo influenzano in modo significativo la persona fisica ;
b) elaborazione su larga scala di particolari categorie di dati di cui all’articolo 9, paragrafo 1, o di dati personali relativi a reati penali e reati di cui all’articolo 10; oppure
c) un monitoraggio sistematico di un’area accessibile al pubblico su vasta scala”.
Come indicano le parole “in particolare” nella frase introduttiva dell’articolo 35, paragrafo 3 del Regolamento, questa lista non è intesa come esaustiva. Ci possono essere operazioni di trattamento “ad alto rischio” che non sono elencate in questa lista ma presentano tuttavia rischi altrettanto elevati. Queste operazioni di trattamento dovrebbero anch’esse essere soggette alle DPIA.
Per questo motivo, le Linee Guida indicano nove criteri per valutare se e quando effettuare una DPIA. Normalmente il titolare dovrà effettuare la DPIA se un trattamento soddisfa almeno due dei criteri sotto riportati.
Tuttavia, in alcuni casi, il titolare di dati può ritenere che un trattamento che soddisfi anche uno solo di questi criteri richiede la DPIA.
1. Valutazione o assegnazione di un punteggio, inclusa la profilazione e la previsione, in particolare di “aspetti riguardanti le prestazioni del soggetto interessato sul lavoro, situazione economica, salute, preferenze o interessi personali, affidabilità o comportamento, posizione o movimenti” (considerando 71 e 91).
Un esempio potrebbe essere un istituto bancario che scremi i propri clienti tramite una banca dati di riferimento del credito, o di una società di biotecnologie che offre test genetici direttamente ai consumatori al fine di valutare e prevedere i rischi di malattia / salute, o ancora una società di costruzione di profili comportamentali o di marketing in base all’utilizzo o alla navigazione su siti web.
2.Decisioni automatizzate con significativi effetti legali o simili: trattamento che mira a prendere decisioni su soggetti interessati, le quali producono “effetti giuridici sulla persona fisica” o “influenzano in modo significativo la persona fisica” (articolo 35, paragrafo 3, lettera a).
Ad esempio quando il trattamento possa comportare l’esclusione o la discriminazione di singoli.
3. Monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare i soggetti interessati, compresi i dati raccolti tramite reti o “un monitoraggio sistematico di una zona accessibile al pubblico” (articolo 35, paragrafo 3, lettera c). Questo tipo di monitoraggio è un criterio in quanto i dati personali possono essere raccolti in circostanze in cui gli interessati potrebbero non essere a conoscenza di chi raccoglie i propri dati e di come saranno utilizzati. Inoltre, può essere impossibile per gli individui evitare di essere sottoposti a tale elaborazione in spazi pubblici (o pubblicamente accessibili).
4. Dati sensibili o dati di carattere altamente personale: comprendono categorie speciali di dati personali come definiti all’articolo 9 (ad esempio informazioni sulle opinioni politiche degli individui), nonché dati personali relativi a sentenze penali o reati di cui all’articolo 10.
Un esempio potrebbe essere un ospedale generale che conserva i documenti medici dei pazienti o un investigatore privato che tiene in memora dettagli dei reati commessi dalle persone osservate. Al di là di queste disposizioni del GDPR, alcune categorie di dati possono aumentare il rischio possibile per i diritti e le libertà degli individui.
5. I dati elaborati su vasta scala: il GDPR non definisce ciò che si intende con ‘vasta scala’, anche se il considerando 91 fornisce alcune indicazioni.
In ogni caso, la WP29 raccomanda di considerare in particolare i seguenti fattori per determinare se il trattamento viene eseguito su larga scala:
il numero di soggetti interessati in questione, sia come numero specifico, sia come percentuale della popolazione rilevante
il volume dei dati e/o l’intervallo di diversi tipi di dati in fase di elaborazione;
la durata o la permanenza dell’attività di trattamento dei dati;
l’estensione geografica dell’attività di trattamento.
6. Corrispondenza o combinazione di set di dati, ad esempio derivanti da due o più operazioni di trattamento, eseguite per scopi diversi e/o da titolari di dati diversi in modo da andare oltre le ragionevoli aspettative del soggetto
7. Dati relativi a soggetti vulnerabili (considerando 75): il trattamento di questo tipo di dati rientra tra i criteri a causa dell’aumento dello squilibrio di potere tra i soggetti interessati e il titolare del trattamento, il che significa che gli individui possono non essere in grado di consentire o opporsi facilmente al trattamento dei propri dati o di esercitare i propri diritti. I soggetti vulnerabili possono includere i bambini (si può considerare che non siano in grado di opporsi in modo consapevole e ponderato al trattamento dei loro dati), dipendenti o ancora soggetti più vulnerabili della popolazione che richiedano protezione speciale (persone con malattie mentali, richiedenti asilo, anziani, pazienti, ecc.) e tutti quei casi in cui sia possibile identificare uno squilibrio nella relazione tra la posizione del soggetto e quella del titolare.
8. Uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative, come combinare l’uso del riconoscimento facciale e delle impronte digitali per un miglior controllo fisico degli accessi, ecc. Il GDPR chiarisce (articolo 35, paragrafo 1, e considerando 89 e 91) che l’uso di una nuova tecnologia, definita “conforme allo stato raggiunto dalla conoscenza tecnologica” (considerando 91), può comportare la necessità di eseguire una DPIA. Questo perché l’utilizzo di tale tecnologia può includere nuove forme di raccolta e utilizzo di dati, potenzialmente con un elevato rischio per i diritti e le libertà degli individui. Infatti, le conseguenze personali e sociali della diffusione di una nuova tecnologia potrebbero essere sconosciute. Una DPIA aiuterà il titolare dei dati a capire e affrontare tali rischi. Ad esempio, alcune applicazioni dell”Internet delle cose (Internet of things, IoT)” potrebbero avere un impatto significativo sulla vita quotidiana degli individui e sulla privacy; e quindi richiedono una DPIA.
9. Quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di usufruire di un servizio o un contratto” (articolo 22 e considerando 91). Ciò include operazioni di trattamento che mirano a consentire, modificare o rifiutare l’accesso dei soggetti dati a un servizio o alla stipula di un contratto. Ad esempio quando una banca filtra i dati dei propri clienti su un database di riferimento di credito per decidere se concedere loro un prestito.
QUANDO NON E’ RICHIESTA UNA DPIA?
WP29 ritiene che una DPIA non sia necessaria nei casi seguenti:
◾quando non è probabile che il trattamento comporti “un alto rischio ai diritti e alle libertà delle persone fisiche” (Articolo 35 – 1);
◾quando la natura, l’ambito, il contesto e gli scopi del trattamento sono molto simili ai trattamenti per i quali è stata effettuata la DPIA. In tali casi, possono essere utilizzati i risultati delle DPIA per trattamenti simili (Articolo 35 -1);
◾quando le operazioni di trattamento sono state controllate da un’autorità di vigilanza prima del maggio 2018 in condizioni specifiche che non sono cambiate;
◾se un’operazione di trattamento ha una base giuridica nella legislazione dell’UE o dello Stato membro in cui la legge disciplina l’operazione di trattamento specifica e se una DPIA è già stata effettuata (Articolo 35, paragrafo 10), salvo che uno Stato membro ritenga necessario effettuare una valutazione di impatto prima delle attività di trattamento;
◾se il trattamento è incluso nell’elenco facoltativo (stabilito dall’autorità di vigilanza) delle operazioni di trattamento per le quali non è richiesta la DPIA (articolo 35, paragrafo 5).
COME EFFETTUARE UNA DPIA?
Quando dev’essere fatta?
La DPIA deve essere effettuata “prima del trattamento” (articoli 35, paragrafo 1 e 35, paragrafo 10, considerando 90 e 93). Ciò è coerente con i principi relativi alla protezione dei dati by design e by default (articolo 25 e considerando 78). La DPIA dovrebbe essere vista come uno strumento per facilitare il processo decisionale relativo al trattamento.
Chi ha l’obbligo di effettuare la DPIA?
Il titolare si assicura che la DPIA sia eseguita (articolo 35, paragrafo 2). L’esecuzione della DPIA può essere effettuata da qualcun altro, all’interno o all’esterno dell’organizzazione, ma il titolare rimane in ultima analisi responsabile per tale compito.
Il titolare deve anche chiedere il parere del DPO, se designato, e tale parere nonchè le decisioni prese dal titolare devono essere documentati nella DPIA. Il DPO dovrebbe inoltre monitorare l’andamento (performance) della DPIA.
Se il trattamento è eseguito interamente o parzialmente da un responsabile (processor), il responsabile dovrebbe assistere il titolare nell’esecuzione della DPIA e fornire tutte le informazioni necessarie.
Il titolare deve “consultare le opinioni delle parti interessate” se del caso. Sul punto si evidenziano le seguenti raccomandazione del WP29:
– se la decisione finale del titolare del trattamento differisce dalle opinioni dei soggetti interessati, le sue motivazioni per continuare o meno dovrebbero essere documentate;
– il titolare dovrebbe anche documentare le motivazioni per le quali decide di non chiedere i punti di vista dei soggetti interessati se ritiene che ciò non sia appropriato, ad esempio nel caso in cui ciò compromettesse la riservatezza dei piani di business delle imprese, o fosse una misura sproporzionata o impraticabile.
Infine, è buona norma definire e documentare altri ruoli e responsabilità specifici, a seconda delle politiche interne, dei processi e delle regole.
Qual’è la metodologia giusta per effettuare la DPIA?
Il GDPR non impone una metodologia specifica per effettuare la Valutazione e anche in dottrina esistono diverse metodologie.
Il GDPR, però, definisce le caratteristiche minime che deve possedere una DPIA (articolo 35, paragrafo 7, e considerando 84 e 90):
- “descrizione delle operazioni di trattamento previste e delle finalità del trattamento”;
- “una valutazione della necessità e della proporzionalità del trattamento”;
- “una valutazione dei rischi per i diritti e le libertà dei soggetti interessati”;
- “le misure previste per:o “risolvere i rischi”; o “dimostrare la conformità al presente regolamento”.
Naturalmente questi elemento dovranno risultare all’interno di una relazione di DPIA.
La figura seguente reperita dal WP248 illustra il processo generico per l’esecuzione di una DPIA:
Sulle metodologie per effettuare una DPIA il considerando 90 del GDPR delinea un certo numero di elementi della DPIA che rispecchiano elementi definiti dalla gestione dei rischi (ad esempio ISO 31000). In termini di gestione dei rischi, una DPIA mira a “gestire i rischi” di limitazione dei diritti e delle libertà delle persone fisiche, utilizzando i seguenti processi:
- definire il contesto: “tenendo conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento e delle fonti del rischio”;
- valutare i rischi: “valutare la particolare probabilità e la gravità dell’elevato rischio”;
- trattare i rischi: “mitigare tale rischio” e “garantire la protezione dei dati personali”, e “dimostrare la conformità al presente regolamento”.
La DPIA è uno strumento per gestire i rischi relativi ai diritti dei soggetti interessati e pertanto segue la loro prospettiva, come avviene in determinati settori (ad esempio, la sicurezza societaria). Al contrario, la gestione del rischio in altri campi (ad esempio, la sicurezza delle informazioni) è incentrata sull’organizzazione.
Il GDPR dà ai titolari dei dati la flessibilità per determinare la struttura e la forma precisa della DPIA, per consentire a questa di adattarsi alle prassi di lavoro esistenti. Ci sono diversi processi stabiliti all’interno dell’UE e nel mondo che tengono conto degli elementi descritti nel considerando 90. Tuttavia, qualunque sia la sua forma, una DPIA deve essere una reale valutazione dei rischi, consentendo ai titolari di adottare misure per affrontarli.
Diverse metodologie (cfr. Allegato 1 WP248 per esempi di metodologie per la valutazione dell’impatto sulla protezione dei dati e sulla privacy) possono essere utilizzate per attuare i requisiti fondamentali stabiliti nel GDPR.
Per consentire questi diversi approcci, consentendo anche ai titolari di rispettare il Regolamento, sono stati identificati alcuni criteri comuni (cfr. Allegato 2 WP248).
QUANDO DEVE ESSERE CONSULTATA L’AUTORITà di VIGILANZA?
Ogni volta che il titolare non riesce a trovare misure sufficienti per ridurre i rischi ad un livello accettabile (e quindi i rischi residui sono ancora elevati), è necessaria una consultazione con l’autorità di vigilanza.
Inoltre, il titolare dovrà consultare l’autorità di vigilanza qualora la legislazione degli Stati membri richieda ai controllori di consultarsi e/o ottenere un’autorizzazione preventiva da parte dell’autorità di vigilanza in relazione al trattamento per l’esecuzione di un compito svolto dal titolare nell’interesse pubblico, compresi i trattamenti in materia di protezione sociale e sanità pubblica (articolo 36, paragrafo 5).
Occorre tuttavia affermare che, indipendentemente dal fatto che sia richiesta o meno la consultazione con l’autorità di vigilanza in base al livello del rischio residuo, restano tuttavia gli obblighi di tenere traccia della DPIA e di aggiornare la DPIA al momento opportuno.
CONCLUSIONE
I titolari del trattamento ogni volta che decidono di introdurre una nuova tecnologia nel trattamento del dato o di trattare un nuovo dato, dovranno preoccuparsi di valutare la necessità o meno di effettuare una DPIA secondo i criteri e la casistica sopra illustrata. La scelta di non realizzare una DPIA dovrà essere ponderata e motivata, in modo da essere rappresentata in caso di controlli per il rispetto del principio dell’accountability. Anche per tale ragione si consiglia di inserire una procedura che disciplini l’eventualità di una DPIA, magari collegata ad un’eventuale procedura acquisti.
Il processo per una corretta DPA, in base anche alle indicazione del Gruppo di lavoro è raffigurato nell’immagine che segue.