GUIDA NORMATIVA

Interessati vulnerabili: quali misure di garanzia all’interno della valutazione d’impatto

Un’attività di trattamento di dati personali che riguarda interessati vulnerabili richiede il più delle volte lo svolgimento di una DPIA sulla protezione dei dati: ecco come definire su quali passaggi focalizzare gli approfondimenti a garanzia dell’effettività delle tutele di protezione richieste dalla norma

25 Ott 2021
G
Stefano Gazzella

Consulente Privacy & ICT Law, Data Protection Officer

Nella casistica dei trattamenti che coinvolgono soggetti interessati vulnerabili, una valutazione d’impatto (DPIA) ai sensi dell’art. 35 GDPR è l’obbligo maggiormente ricorrente e comunque il suo svolgimento viene consigliata dall’Autorità Garante per la protezione dei dati personali.

In ragione della peculiarità di tale categoria di interessati, fra gli elementi fondamentali e caratterizzanti di cui dover tenere conto rientrano le misure di garanzia.

Interessati vulnerabili e obbligo di DPIA

Gli interessati vulnerabili sono una categoria di soggetti eterogenea cui la normativa in materia di protezione dei dati personali destina particolari tutele e garanzie in ragione della loro particolare condizione di suscettibilità al rischio inerente alle attività di trattamento svolte dal titolare.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Il termine si può riscontrare all’interno del considerando n. 75 GDPR che fa riferimento ad un parametro per la valutazione dei rischi per i diritti e le libertà delle persone fisiche da valutare per l’attuazione del principio di privacy by design.

Il termine viene poi richiamato e definito in modo più chiaro all’interno delle linee guida dell’EDPB sulla valutazione d’impatto[1], in cui viene indicato come uno dei criteri per l’individuazione dei trattamenti che possono presentare un rischio elevato e da cui deriva di conseguenza l’obbligo di svolgimento di una DPIA[2].

La vulnerabilità degli interessati è un fattore individuabile che fa riferimento alla circostanza di squilibrio di potere nei confronti della posizione del titolare del trattamento, elemento caratteristico e distintivo. Il rischio specifico che occorre considerare è che tali soggetti possano non essere in grado di esercitare efficacemente i propri diritti, nonché acconsentire o opporsi deliberatamente e consapevolmente alle attività di trattamento svolte sui propri dati personali.

A livello di esempio vengono citati minori, dipendenti, segmenti vulnerabili della popolazione che richiedono una protezione speciale quali gli infermi di mente, richiedenti asilo, anziani o pazienti.

All’interno dell’elenco delle tipologie di trattamenti soggetti al meccanismo di coerenza da sottoporre a valutazione d’impatto ai sensi dell’art. 35.4 GDPR adottato dal Garante Privacy[3] gli interessati vulnerabili sono considerati come un criterio che fa scattare l’obbligo di DPIA nel momento in cui i trattamenti svolti hanno la caratteristica di essere non occasionali e un volume rispondente al parametro della larga scala.

Anche qui, esemplificativamente, vengono indicati dal Garante minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo.

Nell’ottica di rendicontazione[4] circa la decisione riguardante l’obbligo di svolgimento di una DPIA, tale parametro deve trovare la giusta considerazione dato che se si riscontra ulteriore criterio fra quelli indicati dalle linee guida dell’EDPB ricorre l’ipotesi per cui “un titolare del trattamento può considerare che un trattamento che soddisfi due criteri debba formare oggetto di una valutazione d’impatto sulla protezione dei dati”, mentre se un ulteriore criterio riguarda il volume della larga scala degli interessati coinvolti l’obbligo deriva direttamente dall’elenco pubblicato dal Garante.

Interessati vulnerabili e svolgimento della DPIA.

Quale che sia il metodo scelto per lo svolgimento della valutazione d’impatto, con prevalenza di un’analisi qualitativa o quantitativa, nel momento in cui questa coinvolge interessati vulnerabili è necessario che alcuni punti siano oggetto di approfondimento e specificazione. Il rischio, altrimenti, riguarda l’inconsistenza dell’esito della valutazione e soprattutto l’inefficacia delle misure indicate al suo interno.

Una particolare attenzione deve essere dedicata ai contenuti indicati dall’art. 35.7 lettere c) e d) GDPR, rispettivamente circa la valutazione dei rischi per i diritti e le libertà degli interessati e le conseguenti misure di sicurezza, conformità e garanzia che si intende adottare.

Sebbene le misure di sicurezza certamente rappresentino un nodo focale all’interno di ogni valutazione d’impatto, nell’ipotesi in cui questa sia svolta per l’attività di trattamento su dati di interessati vulnerabili è bene dedicare particolare attenzione ed approfondimento al rispetto dei principi di correttezza e trasparenza, nonché alle corrispondenti misure adottate a garanzia di un efficace esercizio dei diritti da parte degli interessati e colmare così quanto più possibile quel gap di asimmetria e squilibrio che intercorre con il titolare del trattamento.

Per quanto concerne le misure di sicurezza, occorrerà tenere conto di un rischio intrinseco significativo delle attività di trattamento in ragione dell’impatto determinato secondo i parametri offerti dal considerando n. 75 GDPR, e dunque la suscettibilità di “cagionare un danno fisico, materiale o immateriale” e “se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori”, dovendo però declinare l’analisi su minacce ed impatti specifici.

Qualora, inoltre, da tale valutazione e dall’applicazione delle misure sussista un rischio residuo elevato, è opportuno ricordare che sarà obbligo del titolare consultare preventivamente[5] l’autorità di controllo prima di procedere al trattamento.

Il diaframma applicativo della trasparenza transita necessariamente per le prescrizioni richiamate dall’art. 12 GDPR riguardanti tanto una corretta selezione di una forma “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”, quanto una modalità di efficace somministrazione delle informazioni.

Premesso che la trasparenza costituisce un presupposto ineliminabile per garantire un corretto esercizio dei diritti, l’elemento ulteriore e necessario consiste nella predisposizione di modalità facilmente accessibili per gli interessati affinché possano aver concreto ed effettivo riscontro circa le proprie richieste di esercizio dei diritti.

Un ulteriore punto significativo da affrontare è l’indicazione fornita dall’art. 35.9 GDPR secondo cui “Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.”, metodo attraverso cui è possibile attuare tutti gli interventi orientati a riequilibrare la posizione di svantaggio e asimmetria (il più delle volte: informativa) degli interessati coinvolti.

Chiusura della DPIA e parametri di riesame

Nella fase conclusiva di chiusura della valutazione d’impatto, buona prassi vuole che si definiscano i parametri di individuazione delle variazioni del rischio significative[6] per cui occorre procedere ad un riesame della stessa.

Tali criteri sono il più delle volte riferiti al contesto operativo, ovverosia alla somma delle misure tecniche e organizzative attraverso cui vengono svolte le attività di trattamento e le misure predisposte dal titolare.

L’esigenza di riesame emerge pertanto al ricorrere di quei mutamenti tali da richiedere un aggiornamento dell’analisi dei rischi e l’individuazione di diverse ed ulteriori misure di sicurezza e garanzia.

Nell’ipotesi di una valutazione di impatto che coinvolge interessati vulnerabili un elemento particolarmente significativo consiste nella garanzia di una possibilità per tali soggetti di fornire un feedback circa gli elementi più significativi evidenziati all’interno dell’analisi e dunque la trasparenza e la garanzia dell’efficace esercizio dei diritti.

Il coinvolgimento del DPO all’interno del flusso informativo così definito diventa necessario non solo per adempiere ad un preciso obbligo di legge[7] ma anche per consentire un effettivo e continuo esercizio della funzione di sorveglianza attraverso un più chiaro riscontro dei rischi inerenti al trattamento.

Conclusioni

Dal momento che un’attività di trattamento di dati personali che riguarda interessati vulnerabili richiede il più delle volte lo svolgimento di una valutazione d’impatto sulla protezione dei dati, è bene definire su quali passaggi focalizzare gli approfondimenti a garanzia dell’effettività delle tutele di protezione richieste dalla norma.

La corretta declinazione di ciascuno dei passaggi fondamentali deve conseguentemente comportare una specifica attenzione e valutazione di ciascun elemento riferibile a quello squilibrio di potere che caratterizza il rapporto fra il titolare del trattamento e gli interessati, con il fine specifico di predisporre efficacemente tutte le misure di garanzia più adeguate a colmare e monitorare ciascuno dei gap individuati.

 

NOTE

  1. WP248.

  2. Ai sensi dell’art. 35.1 GDPR.

  3. Provv. Garante Privacy 11 ottobre 2018 n. 467.

  4. Ai sensi del principio di responsabilizzazione di cui all’art. 24 GDPR.

  5. Ai sensi dell’art. 36 GDPR.

  6. Art. 35.11 GDPR.

  7. Art. 38.1 GDPR.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2