Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'approfondimento

La valutazione d’impatto e la coerenza con il principio di accountability, alla luce del GDPR

Il titolare del trattamento dei dati, secondo il GDPR, ha la responsabilità della DPIA, la valutazione d’impatto che il Regolamento UE indica come necessaria per diverse tipologie di trattamento. La normativa approfondisce il tema, inoltre il Garante italiano ha reso noto un elenco di attività soggette a DPIA. Ecco le linee guida per realizzarla correttamente

10 Apr 2019
T
Giuseppe Tulli

Privacy Officer


Alla luce del GDPR, il titolare del trattamento svolge un ruolo importante relativamente alla DPIA (Data Protection Impact Assessment), la valutazione d’impatto sulla protezione dei dati per diverse tipologie di trattamento. L’elenco dei trattamenti soggetti alla valutazione è stato specificato anche dal Garante della privacy italiano.

La necessità di una DPIA è prevista in base all’art. 35 del Regolamento UE/2016/679 prevede una procedura sulla base della quale è necessario descrivere un trattamento di dati per valutarne la necessità e la proporzionalità, nonché i relativi rischi, allo scopo di approntare misure idonee per affrontarli. Tale procedura può riguardare un singolo trattamento oppure più trattamenti che presentino analogie rispetto alla natura, l’ambito, il contesto, le finalità e i rischi.

Lo strumento è coerente con il principio della responsabilizzazione (accountability) introdotto dal GDPR. Il titolare è chiamato non solo a rispettare le norme del Regolamento, ma anche ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni. La DPIA è perciò una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali.

DPIA e compito del titolare del trattamento

La DPIA ricade tra le responsabilità del titolare (o sul responsabile): è uno strumento tramite il quale, effettua l’analisi dei rischi derivanti dai trattamenti posti in essere e che, preventivamente, deve effettuare allo scopo di dedurre le conseguenze che il trattamento avrebbe sulle libertà e i diritti degli interessati.

Questo vale anche nei casi in cui, la conduzione della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all’organizzazione. In ogni caso, dunque, il titolare ne monitora lo svolgimento consultandosi con il responsabile della protezione dei dati (DPO) ed acquisisce – laddove richiesto – il parere di esperti di settore (IT o sicurezza dei sistemi informativi). Emerge, il tal senso, il principio della progettazione, introdotto nel Regolamento generale, che prevede l’obbligo dell’analisi del rischio del trattamento e della valutazione delle misure tecniche od organizzative che il titolare ritiene di dover adottare per ridurre l’eventuale rischio.

Siamo perciò nell’ambito della valutazione: del rischio del trattamento – risk based – che verte su quello che potremmo circoscrivere come l’impatto negativo sulle libertà e i diritti degli interessati; delle responsabilità che il titolare misura in relazione alla natura, alla portata, al contesto e alle finalità che caratterizzano il trattamento.

La DPIA consente perciò di analizzare sistematicamente e approfonditamente come un nuovo trattamento, una nuova tecnologia, o un nuovo progetto (oppure la modificazione sostanziale di un trattamento in corso o delle finalità o delle metodologie tecnologiche preesistenti) impatteranno sui diritti e le libertà degli interessati ed individuare quali misure implementare per la tutela di quest’ultimi – approccio definito privacy by design & by default.

Per ciascuno dei rischi individuati, si deve peraltro considerare la probabilità dell’evento, nonché la gravità dello stesso (solo per citarvi un esempio ricorrente, quello della dismissione delle stampanti con memoria, senza aver provveduto alla cancellazione della memoria, quindi con probabilità che le immagini ottiche degli ultimi documenti stampati o scansionati vengano acquisite da terzi), ma anche tutte le misure previste per affrontare il rischio stesso, includendo garanzie, disposizioni e meccanismi di sicurezza e a garanzia della protezione dei dati personali; dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati, così come definito nel comma 7.

L’articolo 35 del GDPR

L’art. 35 introduce l’obbligatorietà della Valutazione per il trattamento che presenti rischio elevato per i diritti e le libertà delle persone fisiche, e in virtù della natura, l’oggetto, il contesto e le finalità dello stesso, ma l’identificazione dei casi che ricadono nello scenario prima richiamato, non sempre costituisce un’operazione semplice ed immediata, sulla sola base del Regolamento. Il titolare raccoglie – attraverso una prevalutazione – le informazioni essenziali in merito al trattamento che intende introdurre o modificare, per valutare l’opportunità e/o la necessità di procedere o meno ad una DPIA.

Il Regolamento affida al solo titolare, coadiuvato dal DPO (nel caso in sui sia stato designato), il compito di valutare se il trattamento progettato rientri o meno tra i casi per i quali la DPIA è obbligatoria. Inoltre, nel responsabilizzare il titolare, si limita ad elencare le tre ipotesi di seguito illustrate, nelle quali la DPIA è obbligatoria senza elencare i casi per i quali si deve procedere tassativamente alla esecuzione della procedura di valutazione:

  • il trattamento che comporta valutazioni sistematiche di aspetti personali delle persone fisiche, trattamenti automatizzati, compresa la profilazione, e sui quali si determinano decisioni con effetti giuridici o che incidono significativamente su dette persone fisiche;
  • trattamento su larga scala di categorie particolari di dati personali (art. 9, par. 1 o relativi a condanne penali e a reati di cui all’art. 10);
  • trattamento che ha per oggetto la sorveglianza sistematica su larga scala.

È importante ribadire che in virtù di quanto il Garante chiarisce nei suoi interventi, la valutazione preliminare dalla quale scaturisce la vera e propria DPIA, rappresenta un’attività di cui il titolare deve dar conto e della quale deve mantenere traccia.

Attraverso la prevalutazione, il titolare elabora, infatti, il quadro valutativo e decisionale che garantisce l’adesione al Regolamento: tale valutazione ovvero l’esito della stessa, rappresenta una pratica indispensabile per l’organizzazione. Sebbene dalla fase propedeutica non dovessero emergere motivazioni che giustifichino il processo di DPIA, le giustificazioni addotte verranno incluse e registrate all’interno di un apposito report (resta inteso che le informazioni raccolte forniscono materiale per l’integrazione e l’aggiornamento del Registro dei trattamenti).

In virtù dell’approccio responsabilizzato, il titolare si deve dotare di un registro che elenca anche i casi in cui per i quali non è stata eseguita la DPIA, tenendo traccia delle motivazioni che giustificano il mancato svolgimento della stessa.

Le linee guida WP 248

Ad agevolare il titolare, nell’ardua operazione, vengono in aiuto le Linee Guida (WP 248) del Gruppo “Articolo 29 Working Party” (il gruppo di lavoro europeo che ha trattato questioni relative alla protezione della vita privata e dei dati personali fino al 25 maggio 2018, attualmente confluito nell’opera del European Data Protection Board). Nove sono i criteri che precisano i punti definiti dal Regolamento che estendono l’impiego della procedura limitata ai trattamenti, indicati nel Regolamento come obbligatori.

I criteri che sono alla base del processo della DPIA e dell’obbligatorietà della stessa, non restano, dunque, circoscritti ai trattamenti che prevedono l’uso di nuove tecnologie o che presentino un rischio elevato per i diritti e le libertà delle persone fisiche, ma si articolano ancor più specificatamente in base a quelli espressi dal WP29 dai quali si desumono i trattamenti a rischio “elevato per i diritti e le libertà delle persone fisiche”. Riprendiamo di seguito l’elenco:

  1. valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di aspetti riguardanti “il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”;
  2. processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente: trattamento che mira a consentire l’adozione di decisioni in merito agli interessati che “hanno effetti giuridici” o che “incidono in modo analogo significativamente su dette persone fisiche;
  3. monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
  4. dati sensibili o dati aventi carattere altamente personale: questo criterio include categorie particolari di dati personali così come definite all’articolo 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati di cui all’articolo 10;
  5. trattamento di dati su larga scala: il regolamento generale sulla protezione dei dati non definisce la nozione di “su larga scala”, tuttavia fornisce un orientamento in merito al considerando 91. Il WP29 raccomanda di tenere conto, in particolare, di alcuni fattori al fine di stabilire se un trattamento sia effettuato su larga scala e che sono riconducibili al numero di soggetti interessati dal trattamento, al volume dei dati e/o le diverse tipologie; la durata o la persistenza; la portata geografica;
  6. creazione di corrispondenze o combinazione di insiemi di dati, ad esempio a partire da dati derivanti da due o più operazioni di trattamento svolte per finalità diverse e/o da titolari del trattamento diversi secondo una modalità che va oltre le ragionevoli aspettative dell’interessato;
  7. dati relativi a interessati vulnerabili: il trattamento di questo tipo di dati è un criterio a causa dell’aumento dello squilibrio di potere tra gli interessati e il titolare del trattamento, aspetto questo che fa sì che le persone possono non essere in grado di acconsentire od opporsi al trattamento dei loro dati o di esercitare i propri diritti;
  8. uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative, quali la combinazione dell’uso dell’impronta digitale e del riconoscimento facciale per un miglior controllo degli accessi fisici ecc.;
  9. quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”. Ciò include i trattamenti che mirano a consentire, modificare o rifiutare l’accesso degli interessati a un servizio oppure la stipula di un contratto.

Il WP29 ha delineato poi una regola di condotta: la DPIA è necessaria in presenza di un trattamento che soddisfi almeno due dei nove criteri; pur precisando che “un titolare del trattamento può ritenere, anche se un trattamento soddisfa soltanto uno di questi criteri, che possa comunque richiedere una valutazione d’impatto sulla protezione dei dati, in quanto potrebbe presentare dei rischi elevati per i diritti e le libertà degli interessati”.

L’elenco del Garante italiano

In virtù del comma 5 dell’art. 35 il GDPR viene concessa alle Autorità di controllo la possibilità di redigere un elenco pubblico di tipologie di trattamenti per i quali si rende necessaria la DPIA ed in tal senso, si pone il chiarimento interpretativo del Garante italiano. L’elenco (sottoposto al parere EDPB) è stato pubblicato con il provvedimento n. 467 dell’11 ottobre 2018 dell’11 ottobre 2018 che ovviamente è vincolante, ma non è esaustivo, in quanto è necessario adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dalle Linee Guida. Seguono le tipologie di trattamenti soggetti al requisito di una valutazione d’impatto incluse nell’elenco del Garante italiano:

  1.  trattamenti valutativi o di scoring effettuati su larga scala, profilazione, attività predittive;
  2.  trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici oppure che impediscono all’interessato l’esercizio corretto di un diritto o di avvalersi di un bene o di un servizio o di poter continuare ad essere parte di un contratto in essere (ad es. lo screening effettuato sui clienti di una banca attraverso l’utilizzo dei dati registrati in una centrale rischi);
  3. trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati online o con App, il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione, e i trattamenti di metadati ad es. in ambito telecomunicazioni, banche ecc. effettuati anche per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza ecc.;
  4. trattamenti su larga scala di dati aventi carattere estremamente personale (come definiti nelle Linee Guida), compresi i dati connessi alla vita familiare o privata (relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza) o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (dati finanziari che potrebbero essere utilizzati per commettere pagamenti fraudolenti);
  5. trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
  6. trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  7. trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (Internet of Things, sistemi di intelligenza artificiale, assistenti vocali on-line attraverso lo scanning vocale e testuale, monitoraggi effettuati da dispositivi indossabili quali, ad esempio, gli smartwatch o gli stessi smartphone attraverso i software di assistenza e comando vocale); tracciamenti di prossimità come ad es. il wi-fi tracking, ogniqualvolta ricorra anche almeno un altro dei criteri individuati nelle Linee Guida;
  8. trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
  9. trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (pagamenti tramite tecnologia mobile);
  10. trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure dei dati relativi a condanne penali e ai reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse;
  11. trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
  12. trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Nonostante la DPIA sia esclusa in alcuni casi, ad esempio, in quelli in cui non si presentino rischi elevati per diritti e libertà delle persone fisiche oppure nei casi in cui il trattamento sia riconducibile ad un altro simile per natura, ambito, contesto e finalità e su cui sia stata già stata condotta una DPIA, viene ribadito che è sempre necessario agire con una valutazione preliminare. Tale profilassi è in tutti i casi coerente con il principio di responsabilizzazione e consente d’identificare concretamente le misure di sicurezza idonee ai trattamenti in atto ed ai loro relativi rischi.

Conclusioni

La valutazione del rischio del singolo processo è necessaria perciò per portare il titolare a decidere in autonomia, se sussistono rischi elevati inerenti il trattamento, in assenza dei quali potrà procedere oltre. Resta inteso che titolare dovrà, perciò, giustificare le sue valutazione e rendicontarle anche aggiornando il registro dei trattamenti che dovrà recepire qualsiasi variazione/modifica. Laddove si riterrà, invece, necessario individuare misure specifiche richieste per attenuare o eliminare tali rischi e cioè in presenza di sussistenti rischi per le libertà e i diritti degli interessati, la valutazione verrà realizzata attraverso DPIA.

In caso di dubbi il titolare potrà sempre rivolgersi alle Autorità di controllo per una consultazione preventiva sulla necessità o meno di effettuare la valutazione di impatto (art. 36). Fermo restando che il GDPR prevede la consultazione del Garante, in caso in cui, il titolare non dovesse trovare misure idonee ad eliminare o ridurre il rischio (intervento solo ex post, sulle valutazioni del titolare, indicando le misure ulteriori eventualmente da implementare, fino ad eventualmente ammonire il titolare o vietare il trattamento).

@RIPRODUZIONE RISERVATA

Articolo 1 di 5