Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

NORMATIVA PRIVACY

Elenchi dei trattamenti soggetti a DPIA, ai sensi del GDPR: linee guida per aziende e PA

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha dato la sua interpretazione sugli elenchi dei trattamenti soggetti a DPIA. Ecco le linee guida per capire quando la Valutazione d’Impatto sulla Protezione dei Dati Personali (DPIA) va svolta obbligatoriamente o meno, ai sensi del GDPR

04 Gen 2019
V
Massimo Valeri

Senior Consultant in ambito Risk Management & Data Protection


La DPIA (Data Protection Impact Assessment, valutazione d’impatto sulla protezione dei dati personali) è uno strumento con il quale il titolare del trattamento conduce un’analisi dei rischi ed effettua una valutazione dell’impatto delle varie attività di trattamento di dati personali poste in essere nell’ambito della propria organizzazione. L’art. 35 del GDPR individua i driver attraverso i quali è possibile capire quando la DPIA va svolta obbligatoriamente o meno. Ai sensi del suddetto articolo, la DPIA è necessaria quando l’elaborazione dei dati “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche”. Tuttavia, definire esattamente il concetto di “rischio elevato” può non essere così facile. In tal senso, l’articolo 35.3 del GDPR fornisce un elenco non esaustivo di esempi di attività di trattamento dati che richiedono una valutazione d’impatto, cioè dei trattamenti soggetti a DPIA.

In aggiunta, allo scopo di chiarire meglio le casistiche di applicazione dell’art. 35, il Working Party 29 (dal 25 maggio sostituito dall’European Data Protection Board, EDPB) ha licenziato le Linee Guida relative alla valutazione d’impatto (WP 248). All’interno di queste linee guida, i principali criteri già indicati dall’articolo 35.3 del GDPR sono stati tradotti in nove parametri utili all’individuazione dei casi in cui si rende necessaria una DPIA.

Trattamenti soggetti a DPIA: gli elenchi di attività a rischi elevato

Nonostante il contributo del WP29, tali parametri non sono ancora sufficienti a ritenere del tutto perimetrato il quadro di applicazione obbligatoria di una DPIA. Il comma 5 dell’art. 35 concede alle Autorità di controllo la possibilità di redigere un proprio elenco di tipologie di trattamenti per i quali si renda necessario effettuare una valutazione dei rischi per i diritti e le libertà degli interessati. Di conseguenza, tutte le Autorità europee hanno predisposto un elenco che è stato oggetto di parere da parte dell’EDPB. Tale parere è stato espresso in osservanza ad un meccanismo di “coerenza”: l’EDPB intende disciplinare opportunamente i trattamenti i cui effetti travalichino i confini di uno Stato membro e siano idonei a produrre impatti tra due o più Paesi dell’Unione Europea.

In linea con gli obblighi di cui all’articolo 35.4, le Autorità di vigilanza di ben 27 Stati membri dell’UE hanno presentato, ad oggi, le prime versioni dei propri elenchi di trattamenti al Comitato Europeo per la Protezione dei Dati. Queste bozze elencano le attività di trattamento di dati personali da cui può scaturire un “rischio elevato” per l’interessato e che pertanto richiedono una DPIA. In particolare, il Garante italiano ha individuato dodici tipologie di trattamenti soggette ad obbligo di DPIA, elencate nell’Allegato 1 al Provvedimento dell’11 ottobre scorso. E il quadro prospettato da tale elenco sembrerebbe andare nella direzione di un ampliamento della portata dell’obbligo di DPIA.

Successivamente, come detto, l’EDPB ha emesso un parere su ciascuno di questi elenchi, conformemente alle sue responsabilità ai sensi dell’articolo 64.1. Questa “valutazione globale” delle bozze di elenchi è finalizzata a creare un approccio armonizzato e a promuovere una coerenza di indagine nell’elaborazione, in grado di “influenzare il libero flusso di dati personali o di persone fisiche in tutta Europa”. Il Comitato ha quindi richiesto che l’Autorità di controllo di ogni Paese includesse alcuni trattamenti nei propri elenchi oppure ne rimuovesse degli altri non considerati ad alto rischio per gli interessati, utilizzando dei criteri comuni per una valutazione armonizzata.

In generale, l’EDPB non si è espresso al di fuori del campo di applicazione dell’articolo 35.6, rilevando che ogni Autorità di vigilanza ha “un margine di discrezionalità rispetto al contesto nazionale o regionale e dovrebbe comunque tenere conto della legislazione locale”. Del resto, se da un lato questi elenchi sono soggetti ad un meccanismo di coerenza superiore, in virtù del quale è auspicabile un’armonizzazione, il Board ha rilevato che gli elenchi non devono essere “identici”. Lo scopo dichiarato dell’EDPB è quello di evitare significative inconsistenze nel processo di tutela degli interessati.

I pareri dell’EDPB sugli elenchi dei trattamenti soggetti a DPIA

Le analisi dell’EDPB relative agli elenchi hanno affrontato una serie di questioni, tra cui il loro carattere indicativo e i riferimenti alle linee guida del Working Party 29 (WP 248).

Secondo l’EDPB, tutti gli elenchi presentati devono essere interpretati come ulteriori specifiche dell’articolo 35.1 del GDPR, il quale “prevale in ogni caso”. Pertanto, il Comitato ha sottolineato come nessuno degli elenchi vada considerato come esaustivo e ha richiesto che ognuno di essi includa una dichiarazione esplicita sulla natura non esaustiva della lista (se omessa), che solo gli elenchi di Belgio, Grecia, Ungheria, Paesi Bassi, Portogallo, Svezia e Regno Unito già riportavano.

Nei suoi pareri, il Comitato ha fatto riferimento all’analisi svolta dal Working Party 29 all’interno delle Linee Guida WP248, ritenendolo “elemento chiave per garantire una valutazione coerente in tutta l’Unione”. Pertanto, ha chiesto all’Autorità di vigilanza di ogni Paese di basare il proprio elenco su questi orientamenti e, a partire da questi, integrarli con specifiche ulteriori.

Come noto, le linee guida del WP 248 individuano 9 macro-criteri che, una volta soddisfatti, rendono più probabile che il trattamento presenti un “rischio elevato” per i diritti e le libertà degli interessati e richieda conseguentemente una DPIA. Nei suoi pareri, con riferimento a questi criteri, l’EDPB ha sottolineato che il raggiungimento di ciascuno di essi rende vincolante una DPIA, solo se in combinato disposto con almeno uno degli altri 8 criteri.

I nove criteri menzionati includono le seguenti attività di trattamento “critiche” di dati personali:

  • profilazione degli interessati con relativa assegnazione di un punteggio (come la costruzione di un profilo comportamentale o di marketing di un utente del sito web);
  • processo decisionale automatizzato, che può portare all’esclusione o alla discriminazione;
  • monitoraggio sistematico degli interessati;
  • trattamento di dati sensibili o dati di natura altamente personale, come le cartelle cliniche;
  • elaborazione di dati personali su larga scala;
  • creazione di correlazioni o combinazioni di determinati set di dati (ad esempio, trattamenti ulteriori rispetto alle originarie finalità o dati raccolti da diversi titolari);
  • trattamenti di dati riguardanti soggetti “vulnerabili” (come minori, dipendenti o anziani);
  • uso innovativo o applicazione di nuove soluzioni tecnologiche/organizzative (come l’uso di impronte digitali o riconoscimento facciale per il controllo dell’accesso fisico);
  • trattamenti che in sé “impediscono agli interessati di esercitare un diritto o di utilizzare un servizio o un contratto”.

Coerentemente ai nove criteri su citati, ereditati dalle WP248, i pareri del provvedimento dell’EDPB hanno indirizzato i seguenti aspetti:

  • elaborazione di dati personali su larga scala;
  • trattamenti di dati biometrici;
  • trattamenti di dati genetici;
  • trattamenti di dati relativi alla localizzazione degli interessati;
  • trattamenti di dati personali raccolti da terzi (articolo 19);
  • trattamenti che includano il monitoraggio dei dipendenti;
  • eccezioni alle informazioni da fornire all’interessato ai sensi dell’articolo 14.5;
  • trattamenti per scopi scientifici o storici;
  • trattamenti di dati personali, eseguiti avvalendosi di una tecnologia innovativa.

Di seguito, si riportano dunque le varie tesi espresse dall’EDPB all’interno delle Opinions, allo scopo di chiarire quando i trattamenti citati richiedano o meno una DPIA e al fine di comprendere le motivazioni alle modifiche suggerite dal Comitato alle bozze di elenchi presentate dai vari Stati membri.

Elaborazione di dati su larga scala

Per quanto riguarda ciò che costituisce un trattamento su larga scala, il Comitato ha raccomandato le Autorità di controllo di Grecia, Estonia e Repubblica Ceca di cancellare i riferimenti alle cifre esplicite di definizione presenti nei loro elenchi e di fare invece riferimento alle definizioni di “larga scala” fornite nelle linee guida WP29 sui responsabili della protezione dei dati (WP 243) e DPIA (WP 248), che tengono conto di diversi fattori specifici per determinare se il trattamento venga eseguito su larga scala.

Dati biometrici

Un gruppo di elenchi (presentato dalle Autorità competenti di Austria, Belgio, Bulgaria, Repubblica Ceca, Estonia, Finlandia, Francia, Grecia, Romania, Slovacchia e Svezia) prevede che “il trattamento di dati biometrici al fine di identificare in modo univoco una persona, in combinazione con almeno un altro criterio, richiede una DPIA”. L’EDPB ha riconosciuto che tali elenchi sono allineati con l’obiettivo di coerenza e consistenza di valutazione e non ha raccomandato alcuna modifica in merito.

Al contrario, un secondo gruppo di elenchi (presentato dalle Autorità di vigilanza di Ungheria, Irlanda, Italia, Lituania, Malta, Portogallo e Regno Unito) ha affermato che il trattamento dei dati biometrici creerebbe, pur senza essere abbinato a qualsivoglia altro criterio, l’obbligo di eseguire una DPIA. Nelle Opinion rivolte a questi Paesi, il Board ha quindi sostenuto che “il trattamento dei dati biometrici, preso in quanto tale, non necessariamente comporta un rischio elevato“. Ha poi chiesto a tali Paesi di modificare i propri elenchi, secondo l’ottica per la quale il trattamento di dati biometrici, in grado di identificare in modo univoco una persona fisica, richiede la realizzazione di una DPIA solo se in combinato disposto con almeno un altro criterio.

Un terzo gruppo di elenchi (presentati dalle Autorità competenti di Lettonia, Germania, Paesi Bassi e Polonia) non ha poi proprio previsto lo svolgimento di una DPIA per il trattamento dei dati biometrici finalizzato all’identificazione di una persona fisica. L’EDPB ha pertanto richiesto a tali Autorità di modificare i propri elenchi e di adattarli alla tesi su esposta.

Dati genetici

Come per i dati biometrici, il Board ha affermato in più pareri che “il trattamento di dati genetici richiede l’esecuzione di una DPIA, solo se abbinato ad almeno un altro criterio“. Mentre gli elenchi di Austria, Belgio, Bulgaria, Repubblica Ceca, Olanda, Grecia, Romania, Slovacchia e Svezia erano già coerenti con questa tesi, gli elenchi presentati da Estonia, Germania, Polonia e Portogallo non richiedevano una DPIA per il trattamento dei dati genetici. Pertanto, il Board ha chiesto alle Autorità competenti di quest’ultimo gruppo di modificare i propri elenchi, allo scopo di dichiarare esplicitamente che una DPIA è richiesta ogni volta che si manifesta un trattamento di dati genetici in combinato disposto con almeno un altro criterio.

Quanto agli elenchi forniti da Finlandia, Francia, Ungheria, Irlanda, Italia, Lettonia, Lituania, Malta e Regno Unito, essi affermavano che il trattamento dei dati genetici fosse in grado, di per sé, di far scaturire l’obbligo di condurre una DPIA. Pertanto, il Board è intervenuto, nei pareri rivolti a questi Paesi, chiarendo come il trattamento di dati genetici da solo non sia necessariamente suscettibile di DPIA, non comportando un rischio elevato, a meno di non essere abbinato ad altri trattamenti critici. Pertanto, ha chiesto a tali Paesi di modificare i propri elenchi, secondo questa interpretazione.

Dati sulla posizione geografica degli interessati

Gli elenchi presentati da Germania, Irlanda, Paesi Bassi, Portogallo e Regno Unito prevedono l’esecuzione di una DPIA anche quando i titolari svolgono un trattamento di dati relativi alla collocazione degli interessati. Il Board ha richiesto a questi Paesi di modificare i loro elenchi per essere coerenti con il parere prevalente che il trattamento dei dati relativi all’ubicazione richiede che una DPIA venga eseguita solo quando tale trattamento è eseguito in combinazione con almeno un altro trattamento, driver anch’esso di DPIA.

Analogamente, poiché gli elenchi presentati da Bulgaria, Finlandia, Francia, Ungheria, Lettonia, Slovacchia non contenevano riferimenti ai dati relativi all’ubicazione, la Commissione ha raccomandato di includere tale trattamento, suscettibile di DPIA se abbinato ad almeno un altro trattamento fonte di valutazione d’impatto, all’interno delle proprie liste.

Dati raccolti tramite terzi (articolo 19 del GDPR)

In più pareri, il Comitato ha affermato che “un’attività di trattamento condotta dal responsabile del trattamento ai sensi dell’articolo 19 del GDPR, per la quale l’obbligo di notifica ai destinatari sia impossibile o implichi uno sforzo sproporzionato, richiede che venga effettuata una DPIA solo quando tale trattamento coinvolge almeno un altro criterio“.

Il Comitato ha preso atto degli elenchi delle Autorità belghe, lettoni, slovacche e britanniche, che comprendono tutte questo criterio.

Poiché invece gli elenchi di Germania ed Ungheria affermavano che questo tipo di elaborazione da sola sarebbe sufficiente ad implicare la conduzione di una DPIA, il Comitato ha chiesto a tali Paesi di modificare i loro elenchi in modo da essere in linea con l’interpretazione prevalente per la quale questo tipo di attività di trattamento richiede una DPIA solo quando condotta in combinazione con almeno un altro criterio.

Monitoraggio dei dipendenti

Per quanto riguarda il monitoraggio dei dipendenti, il Board ha genericamente rilevato che, “a causa della sua natura specifica, il trattamento relativo al monitoraggio dei dipendenti potrebbe richiedere una DPIA“.

Il Board ha suggerito che una DPIA sarebbe comunque necessaria solo in presenza di:

  • soggetti interessati “vulnerabili”;
  • un monitoraggio degli interessati eseguito sistematicamente

Dato che la maggior parte degli elenchi dei vari Stati membri prevede genericamente che sia richiesta una DPIA per l’elaborazione del monitoraggio dei dipendenti, il Board raccomanda di fare invece esplicito riferimento, all’interno degli elenchi, a questi due criteri. Tutte le Autorità competenti, tranne quelle di Austria, Bulgaria, Finlandia e Grecia, hanno ricevuto questa raccomandazione. Inoltre, il Board ha rilevato che “il WP249 rimane valido per la definizione del concetto di trattamento sistematico dei dati dei dipendenti“.

Eccezioni alle informazioni da fornire all’interessato

L’articolo 14.5 del GDPR contiene diverse esenzioni al requisito per il quale i responsabili del trattamento dei dati debbono fornire informazioni agli interessati. Secondo il Comitato, un’attività di trattamento condotta ai sensi del presente articolo, in cui le informazioni sono soggette ad un’esenzione ai sensi del punto 14.5(b)-(d), “potrebbe richiedere l’esecuzione di una DPIA solo in combinazione con almeno un altro criterio“.

Tuttavia, gli elenchi presentati da diversi Paesi membri prevedono l’esecuzione di una DPIA in virtù di attività di trattamento per le quali si applica soltanto l’articolo 14.5(b)-(d), senza fornire ulteriori specifiche. L’EDPB ha pertanto raccomandato che tali elenchi siano emendati per riflettere l’opinione dominante secondo la quale questo tipo di trattamento richiede una DPIA solo se in presenza di almeno un altro criterio di innesco.

Elaborazione per scopi scientifici o storici

L’EDPB ha dichiarato nei suoi pareri che il trattamento di dati personali finalizzato a scopi scientifici o storici non necessariamente implica un rischio elevato, e quindi dovrebbe richiedere una DPIA solo se condotto in combinazione con almeno un altro criterio. Questi criteri sono stati inclusi negli elenchi presentati dalle Autorità di Vigilanza di Grecia, Irlanda e Portogallo, mentre il Comitato ha dovuto raccomandare Lettonia, Lituania e Slovacchia di modificare le proprie liste per allinearsi a tale parere.

Elaborazione dei dati con tecnologia nuova/innovativa

Il Comitato ha preso atto delle liste presentate dalle Autorità di Controllo di Austria, Belgio, Bulgaria, Paesi Bassi, Ungheria, Polonia, Romania e Svezia, che prevedono l’obbligo di una DPIA quando i dati personali vengono elaborati utilizzando una tecnologia innovativa, in combinazione con almeno un altro criterio.

L’elenco presentato da Italia, Lettonia, Lituania, Malta, Portogallo, Slovacchia e Regno Unito considera invece il solo utilizzo di una tecnologia innovativa sufficiente a richiedere una DPIA. Nelle sue opinioni rivolte a queste Autorità, il Board ha affermato che il trattamento di dati personali effettuato utilizzando tecnologie innovative “non necessariamente implica un rischio elevato. Pertanto, ha richiesto a tali Paesi di allinearsi alla tesi per cui una DPIA deve essere eseguita solo quando la tecnologia innovativa è utilizzata in combinazione con almeno un altro criterio.

Altri tipi di elaborazione che richiedono o meno una DPIA

Al di là della specifica delle attività di trattamento che costituiscono dei criteri di innesco di una DPIA, il Board ha avuto modo di sottolineare come anche il trattamento di dati sanitari effettuato con l’ausilio di un impianto richieda una DPIA. Al contrario, il trattamento di dati non sanitari svolto con l’ausilio di un impianto non richiede una DPIA in ogni caso.

Il Comitato ha preso in considerazione anche la migrazione da un sistema a un altro come evenienza di innesco di una DPIA, a patto che la migrazione avvenga in combinazione con almeno un altro criterio. Poiché l’elenco della Bulgaria richiedeva l’esecuzione di una DPIA per la sola migrazione da un sistema a un altro, l’EDPB ha dunque suggerito di modificare di conseguenza l’elenco.

Il Board si è concentrato poi su molti altri tipi di attività di trattamento non ritenute di per sé sufficienti ad eseguire una DPIA, anche in combinazione con un altro criterio, ma che erano state menzionate su almeno una lista. Fra queste, si annovera il trattamento di dati personali effettuato attraverso sistemi di informazione territorialmente distribuiti o transfrontalieri (Bulgaria) e trasferimenti internazionali (Repubblica Ceca e Lettonia).

L’elenco presentato da Austria e Bulgaria richiede invece l’esecuzione di una DPIA quando l’elaborazione avviene sotto una controllante congiunta. Affermando che “il controllo congiunto non dovrebbe essere un criterio che conduce all’obbligo di DPIA, sia se svolto da solo sia se abbinato con un altro criterio“, il Comitato ha raccomandato la rimozione dei riferimenti a questo trattamento dagli elenchi dei due Paesi.

Il Board ha anche affermato che l’uso di una specifica base giuridica “non dovrebbe essere un criterio che porta all’obbligo di fare una DPIA. Poiché le liste presentate da Italia e Bulgaria hanno entrambe identificato la necessità di eseguire una DPIA in siffatte circostanze, il Board ha richiesto di apportare emendamenti “rimuovendo il riferimento a qualsiasi specifica base giuridica dall’elenco“.

Inoltre, ha rilevato che il trattamento effettuato nell’ambito della raccolta di dati personali tramite interfacce di dispositivi elettronici personali, non protetti contro il rischio di accessi non autorizzati, non dovrebbe comportare l’obbligo di condurre una DPIA. Poiché le liste presentate dalla Germania e dal Portogallo prevedevano che questo tipo di trattamento richiedesse una DPIA, ha chiesto loro di modificare gli elenchi, rimuovendo i riferimenti a questo tipo di elaborazione.

Conclusioni

Come emerso dettagliatamente nell’articolo, allo scopo di assicurare un’applicazione coerente del Regolamento 679/2016 fra i vari Stati dell’Unione Europea, il Comitato Europeo per la Protezione dei Dati ha fornito una serie di pareri alle Autorità di vigilanza di 27 Stati membri in merito ai trattamenti da sottoporre obbligatoriamente a DPIA. Queste opinioni mirano a chiarire, armonizzare e rendere più coerente l’applicazione del GDPR.

Ogni Autorità di vigilanza, dopo aver presentato le proprie liste, deve ora comunicare all’EDPB se intende modificare il proprio elenco o mantenerlo nella sua forma attuale e fornire un chiarimento sulla decisione presa. A seguito della posizione assunta dal Board (Opinion 12/2018) il 25 settembre scorso, diverse Autorità di controllo europee si sono già mosse per recepire le considerazioni dell’EDPB.

Risale ad esempio a qualche giorno fa l’aggiornamento delle linee guida DPIA del Regno Unito, in risposta alle raccomandazioni emesse dall’EDPB, che aveva invitato l’ICO a rivedere le sue linee guida dopo aver rilevato che l’Autorità inglese era stata troppo rigida nell’interpretazione delle casistiche di obbligatorietà della DPIA. Nella sua guida iniziale, l’ICO affermava infatti che sarebbe stato necessario effettuare una DPIA nei casi in cui le organizzazioni avessero pianificato il trattamento di dati biometrici, genetici o di localizzazione. Come evidenziato all’interno dell’articolo, l’EDPB sostiene invece che l’elaborazione di dati biometrici, genetici o di localizzazione da sola non comporti necessariamente un rischio elevato. L’EDPB ha affermato che l’obbligo di effettuare una DPIA è innescato in modo definitivo solo in quei casi in cui almeno un altro criterio, evidenziato come fattore “ad alto rischio” nelle linee guida sulle DPIA che l’EDPB ha approvato, si applica alle attività di trattamento previste.

In definitiva, l’EDPB ha specificato la necessità di ricorrere ad almeno 2 dei 9 fattori indicatori di alto rischio individuati quale requisito di ogni DPIA obbligatoria. In realtà, il manifestarsi di anche uno solo dei fattori non preclude la possibilità di condurre una DPIA, ma rende la scelta discrezionale.

Certamente, se tutti gli operatori (Stati membri, interpreti, professionisti e consulenti del settore) comprendessero a fondo le Opinion dell’EDPB, si avrebbero coordinate interpretative estremamente solide (senza ulteriori dubbi a riguardo), applicate con buona probabilità in modo coerente e consistente in tutti i Paesi europei.

Così come i professionisti della privacy, anche regolatori e legislatori si chiedono ora quanto sia raggiungibile l’obiettivo di un’applicazione coerente del GDPR in tutti gli Stati membri dell’UE. In tal senso, le risposte che perverranno dalle varie Autorità locali alle opinioni emesse dall’EDPB fungeranno da primi indicatori dell’effettiva fattibilità di tale proposito.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5