Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Data protection by default e by design, DPIA e consultazione preventiva: soluzioni pratiche

Data protection by default e by design, DPIA e consultazione preventiva sono delle modalità tecniche ed organizzative, oltre che degli adempimenti in capo al titolare del trattamento da mettere in atto qualora si effettuino trattamenti di dati che presentano rischi elevati per gli interessati. Ecco un’utile guida pratica

10 Set 2019
R
Alessandro Rubino

Legale societario


Data protection by default e by design, DPIA e consultazione preventiva: se si dovesse trovare un comune denominatore a questi quattro grandi argomenti in ambito privacy potremmo rappresentarlo in un unico insieme che è quello dei “trattamenti che presentano rischi elevati”.

Data protection by default e by design: principi base

Data protection by design e data protection by default sono delle modalità tecniche e organizzative del titolare del trattamento, modalità soventi nel Regolamento UE 679/2016 sulla protezione dei dati e meglio noto con la sigla GDPR.

Il concetto di privacy by design, disciplinato dall’articolo 25 paragrafo 1 del Regolamento, viene tradotto in italiano” protezione dei dati fin dalla progettazione”. Il regolamento in proposito prevede una serie di indicazioni.

Essere compliant al regolamento in materia di protezione dei dati fin dalla progettazione significa mettere in atto tutte quelle misure tecniche organizzative capaci di adempiere in modo efficace ai principi della protezione dei dati e di integrare nel trattamento tutte quelle garanzie necessarie per soddisfare i requisiti previsti dal regolamento stesso.

La disciplina di fonte europea prevede delle esemplificazioni e dei principi come il principio di minimizzazione dei dati che può essere utilizzato nella privacy by design.

Tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito di applicazione del contesto, delle finalità del trattamento e dei rischi aventi probabilità di verificarsi, deve essere attuata questa modaltà di protezione dei dati fin dal momento di inizio del trattamento.

Il concetto di privacy by default è invece disciplinato dall’articolo 25 del regolamento paragrafo 2.

È un concetto più complicato, meno intuitivo e più raffinato, tradotto in italiano con “protezione dei dati per impostazione predefiita”.

Il Regolamento afferma, anche in questo caso, che il titolare del trattamento adotti tutte quelle misure tecniche ed organizzative le quali garantiscano che i dati siano trattati per impostazione predefinita, in modo che siano rispettati contemporaneamente e parallelamente i principi di necessità e finalità del trattamento.

Immaginiamo grandi banche dati, come quelle gestite dalle pubbliche amministrazioni, che hanno grandi server contenenti dati personali di natura e specie più diversa; tutti questi dati sono conservati per finalità diverse e la privacy by default denota che, per impostazione predefinita, questi dati devono essere trattati a seconda delle diverse finalità del trattamento nel rispetto del principio di necessità.

Tale obbigo vale per la quantità dei dati raccolti, la portata del trattamento, il periodo di conservazione, l’accessibilità.

Il regolamento stabilisce ancora che per impostazione predefnita, non possono essere resi accessibili dati personali ad un numero indefinito di persone senza l’intervento di una persona fisica, ovvero è necessario adottare dei filtri che non siano automatismi.

Ancora una regola che accomuna queste modalità tecniche ed organizzative è l’uso delle certificazioni previste dall’articolo 42 del regolamento, come elemento per dimostrare di essere conformi ai requisiti di cui abbiamo accennato in precedenza. Tale certificazione è un elemento che non riduce la responsabilità del titolare e del responsabile, in quanto restano impregiudicati i compiti e i poteri dell’autorità di controllo, e quindi del Garante, in materia di vigilanza di settore.

DPIA: stato dell’arte della valutazione d’impatto

Concentrandoci sui rischi, questi possono avere diverse probabilità e gravità, ciò crea delle conseguenze.

Nelle linee guida dell’European Data Protection Board (EDPB o Comitato europeo per la protezione dei dati, già conosciuto come Gruppo articolo 29), il gruppo europeo che riunisce le autorità europee di protezione dei dati, si dà una definizione di rischio generale: “per rischio si intende un scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità”.

È importante, in materia di protezione dei dati, comprendere perchè può esserci un rischio: difatti, se i principi di protezione dei dati by design e by default valgono per tutti i trattamenti, laddove il rischio derivante dal trattamento sia elevato la conseguneza è che il titolare del trattamento è obbligato a fare una valutazione di impatto sui dati personali.

In alcuni casi, oltre alla valutazione, è necessario effettuare una consultazione preventiva per la protezione dei dati, ex art. 35.

Il rischio elevato viene indicato dal regolamento a carattere generale.

Può derivare, ad esempio, dall’uso delle nuove tecnologie, alla luce della natura, dell’oggetto, del contesto e delle finalità dei trattamenti, e viene prevista la valutazione d’impatto perchè la valutazione, avendo ad oggetto quei trattamenti che presentano dei rischi elevati, è uno strumento utile per gestire il rischio, per minimizzarlo, qundi è uno strumento di “minimizzazione”.

Il regolamento prevede dei casi tassativi in cui è necessario effettuare la valutazione di impatto. Tra i casi in cui la valutazione è obbligatoria vi è quella in cui il trattamento comporta una valutazione sistematica di aspetti personali, che si basano su trattamenti automatizzati, sulle quali si fondano decisioni che hanno effetti giuridici o che incidono significaticamente sulle persone fisiche come la profilazione.

La valutazione di impatto è obbligatoria anche in tutti quei casi in cui vi sia una sorveglianza sistematica su larga scala di zone accessibili al pubblico: basta pensare alla videosorveglianza o a tutti gli strumenti comuni che conosciamo.

Una terza categoria di trattamenti di dati per cui la valutazione di impatto è obbligatoria, attiene a particolari categorie di dati trattati su larga scala.

Compreso nel concetto di larga scala, troviamo particolari categorie di dati come i dati genetici, i dati sulla salute, i dati biometrici, i dati che possono rivelare convinzioni religiose o filosofiche, l’origine raziale ed etnica, dati relativi alla vita ed all’orientmento sessuale ovvero opinioni politiche, appartenenza sindacali, condanne pernali o reati.

Queste sono delle categorie di dati considerate ultrasensibili, quei dati personali che hanno bisogno di una particolare garanzia perché possono comportare discriminazioni; pertanto, la valutazione di impatto è obbligatoria ed il regolamento li indica tra i principali dati ultrasensibili, senza esaurire però una descrizione completa, perchè la regola è che nella valutazione di impatto il titolare deve valutare tutti i casi in cui il rischio è elevato.

Per comprendere quando il rischio possa essere elevato, l’EDPB ha stabilito degli indici, esattamente nove:

  1. trattamenti valutativo o di scoring;
  2. decisioni automatizzate che producono significativi effetti giuridici o di analoga natura;
  3. monitoraggio sistematico;
  4. dati sensibili o dati di natura estremamente personale;
  5. trattamenti di dati su larga scala;
  6. combinazione o raffronto di insiemi di dati;
  7. dati relativi a interessati vulnerabili;
  8. utilizzi innovativi o applicazione di nuove soluzioni tecnologiche organizzative;
  9. trattamenti che di per sé impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio di contratto.

Sono elementi di cui il titolare deve avere contezza e, laddove ritenga che alla luce di questi elementi il rischio sia elevato, scatta l’obbligo della valutazione d’impatto. Il fumus scatta alla presenza di almeno due casi di cui ut supra, afferma l’EDPB.

Per concretizzare queste regole di carattere generale vanno tenuti in considerazione quei trattamenti che riguardino i temi di geolocalizzazione, di carattere finanziario, le comunicazioni elettroniche, i dati di minori, l’Internet delle cose (Internet of Things).

In caso di dubbio, fatte tutte queste considerazioni, il titolare del trattamento potrebbe non essere ancora certo sulla necessità o meno di fare la valutazione di impatto. L’EDPB afferma che in caso di dubbio è meglio che la valutazione venga fatta: “se la necessità di una DPIA non emerge con chiarezza, il Gruppo art. 29 raccomanda di farvi comuque ricorso i quanto la DPIA contribuisce all’osservanza delle norme in materia di protezione dei dati da parte dei titolari di trattamento”.

Valutazione d’impatto: come redarla

Sinora ci siamo dedicati agli obblighi che scattano in capo al titolare, ma anche il Garante ha degli obblighi di fare, ex art. 35 comma 4-6, dove troviamo i casi di valutazione di impatto privacy obbligatoria.

Il primo obbligo è quello di redigere un’elenco, pubblico, indicando tutte le tipologie di trattamenti soggetti a DPIA.

Ancora, l’autorità di controllo può redigere e rendere pubblico un altro elenco, quello delle tipologie di trattamenti per le quali non è richiesta una DPIA.

Entrambi gli elenchi vengono comunicati al Comitato europeo per la protezione dei dati, rispondendo così all’adozione del meccanismo di coerenza di cui all’art. 63 per elenchi riguardanti le attività di trattamento finalizzate all’offerta di beni o servizi a interessati, o al monitoraggio dei loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione Europea.

La valutazione di impatto, quindi viene redatta dal titolare del trattamento, consultandosi con il responsabile ove designato. La condizione materiale della DPIA può essere affidata anche ad un terzo soggetto (interno-esterno), ma la responsabilità ricade sul titolare.

Tenendo conto dei codici di condotta, il titolare può richiedere le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto.

Tutto ciò va fatto prima di procedere al trattamento, quindi la valutazione di impatto è precedente.

Per quanto riguarda i trattamenti già in corso, l’EDPB ha stabilito ed indicato che, per i trattamneti in corso sarà necessario fare una valutazione di fatto a meno che fino a quella data, i rischi non siano così elevati da riternere necessario effettuarla.

Il processo iterativo, la scansione temporale delle attività, ciò che la valutazione deve contenere può dunque essere così riassunto:

  1. descrizione del trattamento previsto e delle finalità;
  2. valutazione di necessità e proporzionalità;
  3. misure previste per dimostrare osservanza;
  4. valutazione dei rischi per diritti e libertà;
  5. misure previste per affrontare i rischi;
  6. documentazione;
  7. monitoraggio e revisione;

Una volta effettuata la valutazione, il procedimento non si può considerare terminato: difatti, la valutazione di impatto è soggetta al monitoraggio da parte del responsabile delle produzioni dei dati, e a revisione laddove i rischi possano cambiare.

Questo è il procedimento fisiologico che potrebbe anche arrestarsi, ad un certo punto, quando il titolare arrivato alla valutazione dei rischi non sia in grado di adottare misure per affrontarli. A quel punto si apre un duplice scenario:

  • il primo potrebbe essere quello di non effetture il trattamento, per incapacità;
  • il secondo si rappresenta quando i rischi residuali siano elevati ed il trattamento si debba fare per forza, quindi il titolare deve chiedere la consultazione preventiva al Garante.

La consultazione preventiva: come farla

Qualora la valutazione di impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”.

Questa consultazione preventiva nella valutazione di impatto è necessaria tutte le volte in cui, effettuata la valutazione, il titolare del trattamento ritenga viva l’esistenza di un rischio elevato.

La consultazione preventiva consta nell’inviare al Garante tutta una serie di informazioni che serviranno per effettuare una valutazione. In particolare, bisognerà indicare:

  • la responsabilità del titolare del trattamento, dei contitolari e dei responsabili del trattamento;
  • le finalità ed i mezzi previsti;
  • le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati;
  • i dati di contatto dei titolari della protezione dei dati;
  • la valutazione di impatto sulla protezione dei dati di cui all’art 35;
  • ogni altra informazione richiesta dall’autorità di controllo.

A questo punto il Garante, se rietiene che il trattamento violi il Regolamento, ovvero nel caso in cui il titolare non abbia identificato o attenuato sufficientemente il rischio, formula un parere scritto al titolare del trattamento e, ove applicabile, al responsabile del trattamento. Inoltre, può avvalersi in ogni caso dei poteri di cui all’art. 58, quindi richieste d’informazioni, ispezioni, ingiunzioni, divieti.

Una volta chiesta la consultazione, per quanto concerne i termini previsti dal Regolamento, il Garante ha otto settimane per rispondere a meno che non si tratti di trattamenti particolarmente complessi, e quindi il periodo sia aumentato di sei settimane.

I termini vengono sospesi laddove il Garante effettui la richiesta di informazioni.

Ci sono dei casi in cui la consultazione preventiva al Garante può essere obbligatoria: non esiste una casistica dettagliata, ma il Garante può prescrivere che i titolari del trattamento consultino l’autorità di controllo, per ottenere l’autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento, per l’esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica.

In ogni caso, esistono delle eccezioni rispetto alle valutazioni di impatto: l’EDPB indica, in un elenco, una serie di casi in cui si è esentati dalla valutazione:

  1. se il trattamento non può comportare un rischio elevato per i diritti e le libertà di persone fisiche;
  2. se la natura, l’ambito, il contesto e le finalià del trattamento sono molto simili a quelle del trattamento per cui è già stata condotta una DPIA, in casi del genere si possono utilizzare i risultati della DPIA per trattamenti analoghi;
  3. se il trattamento è stato sottoposto a verifica da parte di un’autorità di controllo;
  4. se un trattamento trova la propria base legale nel diritto dell’UE o di uno stato membro, la base legale disciplina il medesiomo trattamento, ed è già stata condotta una valutazione all’atto della definizione della base giuridica;
  5. se il trattamento è compreso nell’elenco facoltativo dei trattamenti per i quali non è prevista una DPIA.

La valutazione d’impatto è comunque un processo dinamico: una volta effettuata, il titolare non è esente da altre responsabilità e la valutazione dovrà essere ripetuta ad intervalli regolari.

Secondo l’EDPB esiste la pratica del riesame: se necessario il titolare del trattamento procede ad un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezone dei dati almeno quando insorgono variazioni del rischio, rappresentato dalle attività relative al trattamento (art.35 par.11).

In termini di buona prassi per i trattamenti in corso dovrebbe essere previsto un riesame constinuo della DPIA, ripetendo la valutazione ad intervalli regolari.

Conclusioni

Il titolare del trattamento, laddove il rischio possa essere elevato, deve perciò consultare il responsabile della protezione dei dati, avvalersi dei codici di condotta, delle opinione degli interessati, ove possibile, e quindi comprendere se la valutzione sia necessaria o meno, ovvero se rientri in una delle eccezioni di cui sopra.

A questo punto dovrà effettuare la valutazione di impatto e, allorquando non esista un rischio elevato non sarà necessaria la consultazione preventiva al Garante. Se invece si intravede un rischio elevato è necessaria la consultazione.

Non c’è obbligo di pubblicare la valutazione di impatto, tuttavia sarebbe opportuno pubblicarne una sintesi per favorire un rapporto fiduciario. La DPIA va invece inviata al Garante in caso di consultazione preventiva e su richiesta per consentire gli obblighi, e quindi l’attività di vigilanza.

In caso di inosservanza, e quindi violazione delle disposizioni del regolamento in materia di valutazione di impatto, ovvero nei tre casi previsti dal regolamento che sono:

  1. mancato svolgimento della DPIA quando il trattamento è soggetto a tale valutazione (art. 35 par.1 e 3-4);
  2. svolgimento non corretto di una DPIA (art. 35, paragrafi 2 e 7-9);
  3. mancata consultazione dell’autorità di controllo competente ove ciò sia necessario (art.36, par.3, lett.e);

è prevista una sanzione amministrativa ai sensi dell’art. 83 pr. 4 lett. a del Regolamento UE.

La metodologia della DPIA può essere diversa ma i criteri dovrebbero essere gli stessi: flessibilità nella struttura e nella forma.

È quindi compito del titolare e del responsabile del trattamento valutare quali siano i tipi di rischi derivanti dalla propria attività al fine di salvagurdare la vastità di dati altrui che ogni giorno transitano su Internet.

Si può chiaramente comprendere come le politiche di privacy stiano mutando in senso quasi personalizzato, ovvero è l’utente ad essere al centro di un grande processo, il trattamento dei suoi dati, a dover essere protetto dagli stessi usufruitori di tali informazioni, e quindi a poter sceglier come, quando e dove lasciare informazioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5