Privacy Impact Assessment: come fare una valutazione dell’impatto privacy

Al fine di tutelare i diritti e le libertà degli interessati a fronte di un rischio elevato che può derivare da una o più operazioni di trattamento di dati personali, il GDPR pone in capo al titolare del trattamento una serie di obblighi e di valutazioni che lo aiutano a comprendere il livello di rischio (in termini di varia probabilità e gravità per i diritti e le libertà delle persone fisiche) e le adeguate misure di sicurezza da adottare per mitigarlo: in particolare, è opportuno effettuare un’analisi dell’adempimento disciplinato dall’art. 35 GDPR relativo alla valutazione d’impatto sulla protezione dei dati (Privacy Impact Assessment)

Nel momento in cui introduce un nuovo trattamento di dati personali nell’ambito della propria organizzazione, il titolare, nel rispetto dei principi di privacy by design & by default di cui all’art. 25 del Reg. UE 2016/679 (o “GDPR”), ha il compito di garantire che tale trattamento venga effettuato in conformità a tutti i requisiti fondamentali del GDPR stesso prevedendo, sin dalla progettazione, le opportune e adeguate “misure tecniche e organizzative”.

La valutazione d’impatto sulla protezione dei dati è un processo strutturato, descrittivo e periodico, fondamentale per poter dimostrare la corretta applicazione del principio di responsabilizzazione (alias “accountability”) perché consente al titolare di dimostrare, mediante un’analisi approfondita del trattamento, quelle che sono le procedure interne, i flussi di dati, le misure tecniche e organizzative, le valutazioni giuridiche e di sicurezza e, quindi, l’effettiva protezione dei dati personali e la conformità del trattamento all’intera normativa europea di settore.

Il rischio quale elemento fisiologico del trattamento

Come può, tuttavia, il titolare dimostrare in modo efficace il rispetto del citato principio? In relazione alla generalità dei trattamenti, tale obbligo si assolve con lo svolgimento di una c.d. “valutazione del rischio”, ossia una analisi dei rischi, non solo informatici, fisiologicamente connessi al trattamento posto in essere dal titolare.

Ogni trattamento è intrinsecamente connaturato da un rischio. Tuttavia, la gradualità del rischio stesso è determinata da numerosi fattori quali, a titolo esemplificativo:

1. la tipologia di dati trattati;
2. il settore in cui il titolare opera;
3. le modalità del trattamento e il numero di soggetti coinvolti.

Più alto è il rischio associato ad uno specifico trattamento, più garantiste dovranno essere le misure di sicurezza applicate, sia a livello tecnico che organizzativo.

Privacy Impact Assessment: obbligatorietà e contenuti

Qualora il rischio connesso al trattamento risulti elevato per i diritti e le libertà delle persone fisiche, in ragione soprattutto delle particolari tecnologie utilizzate e delle tipologie di dati trattati (ad esempio se appartenenti alla categoria dei dati c.d. particolari ai sensi dell’art. 9 GDPR), il GDPR obbliga il titolare a condurre una c.d. valutazione d’impatto sulla protezione dei dati (DPIA, dall’inglese Data Protection Impact Assessment).

Per aiutare il titolare a identificare quali, all’interno del proprio processo di gestione dei dati, possano essere i trattamenti da sottoporre obbligatoriamente a DPIA, il Gruppo di Lavoro articolo 29 (“Working Party article 29” o “WP29, ora “European Data Protection Board” o “EDPB”), ha individuato nelle proprie Linee Guida sulla valutazione d’impatto nove criteri che, ragionevolmente, possono essere indicatori di un “rischio elevato intrinseco”:

1. lo svolgimento di attività di valutazione o assegnazione di punteggi, inclusiva di profilazione (ad esempio, la creazione di profili comportamentali a partire dall’ analisi delle modalità di utilizzo di un sito web, per finalità di personalizzazione degli annunci pubblicitari);
2. la sottoposizione dell’interessato ad un processo decisionale automatizzato che comporta l’adozione di decisioni aventi effetti giuridici sugli interessati o, comunque, che incidono significativamente sugli stessi;
3. il monitoraggio sistematico dell’interessato, inclusa la raccolta di dati tramite la sorveglianza su larga scala di una zona accessibile al pubblico (ai sensi dell’art. 35 par. 3 lett. c));
4. il trattamento di dati sensibili o dati aventi carattere altamente personale, come dati relativi alla salute, alle opinioni politiche, nonché relativi a condanne penali o reati. Il caso più scolastico è quello dell’ospedale che conserva le cartelle cliniche dei propri pazienti;
5. il trattamento di dati su larga scala;
6. la creazione di corrispondenze o combinazione di insiemi di dati;
7. il trattamento di dati relativi a interessati c.d. “vulnerabili”, come i minori, gli anziani, i disabili, e tutti quei soggetti che si trovano in una posizione di soggezione rispetto al Titolare del trattamento, posizione che potrebbe non consentire un libero e incondizionato esercizio dei propri diritti;
8. l’uso innovativo o l’applicazione di nuove soluzioni tecnologiche od organizzative, come ad esempio l’utilizzo di tecniche di riconoscimento facciale o delle impronte digitali;
9. l’impossibilità, per gli interessati, di esercitare un proprio diritto, come il diritto di accesso, o di avvalersi di un servizio o di un contratto.

Sulla base di quanto contenuto nell’art. 35 GDPR e nelle citate linee guida, il Garante per la protezione dei dati personali ha provveduto a stilare altresì una lista dei trattamenti da sottoporre obbligatoriamente a valutazione d’impatto, tra cui risultano, in particolar modo:

1. trattamenti che hanno ad oggetto i dati relativi alle comunicazioni elettroniche, in quanto connessi ad aspetti privati e personali dell’interessato;
2. trattamenti effettuati nell’ambito del rapporto di lavoro che fanno uso di sistemi di videosorveglianza e, in particolare, di geolocalizzazione, essendo gli stessi particolarmente invasivi;
3. trattamenti che fanno uso di tecnologie particolarmente innovative come l’intelligenza artificiale, lo scanning vocale e testuale, i dispositivi indossabili e altri;
4. trattamenti che richiedono la raccolta e l’elaborazione in modo sistematico e continuativo di dati particolarmente sensibili, come i dati biometrici o i dati genetici.

La DPIA, in sé, deve quindi contenere, quali requisiti minimi, quattro elementi fondamentali:

1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile l’interesse legittimo perseguito dal titolare del trattamento;
2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
3. una valutazione dei rischi per i diritti e le libertà degli interessati (…);
4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”.

Tali elementi consentono al titolare del trattamento di strutturare ogni processo di gestione dei dati in conformità alle disposizioni legislative nazionali ed europee e rappresentano una sintesi di quelli che sono i possibili scenari di rischio che potrebbero compromettere l’affidabilità del servizio fornito dallo stesso titolare nei confronti degli interessati.

L’importanza della DPIA nell’emergenza sanitaria in corso

Svolgere una valutazione d’impatto diviene di particolare importanza alla luce delle normative e dei protocolli emanati dal governo per contrastare l’attuale pandemia di Covid-19.

La necessità, per ogni titolare, di limitare il contagio all’interno della propria struttura operativa e, in particolare, negli uffici aperti al pubblico, ha visto nascere numerosissime ed eterogenee soluzioni tecniche.

Si va dalla mera rilevazione della temperatura tramite termoscanner, senza che a tale azione consegua la conservazione del dato personale raccolto, alla richiesta di compilazione di una dichiarazione che tratti esclusivamente dati anagrafici, fino a soluzioni ben più complesse e innovative che innalzano enormemente il rischio del trattamento.

Si pensi, ad esempio, all’installazione di un sistema dotato di videocamera e intelligenza artificiale che, deputato al monitoraggio della temperatura corporea e alla gestione degli accessi nelle strutture del titolare, non solo rilevi la temperatura, ma altresì, connesso ad un database (es. un database contenente tutte le immagini dei dipendenti di una società) riconosca automaticamente la persona fisica che ha di fronte, registrando tutti i dati (anche relativi alla salute) al fine di consentirne o meno l’accesso ove rilevasse l’eventuale superamento della soglia minima di temperatura stabilita.

In casi come questo, si manifesta la necessità, prima di porre in essere il trattamento, di valutare in che modo tale trattamento possa impattare sui singoli soggetti interessati. In particolare, valutandone: la conformità alla normativa; la proporzionalità alle finalità che si intendono perseguire, l’adeguatezza delle misure di sicurezza a garanzia della tutela dei dati raccolti (negli ultimi giorni sovente presi di mira dai cybercriminali), assicurando che il trattamento risulti pienamente compliant alla normativa europea e nazionale.

La conduzione di una DPIA richiede l’ausilio di personale altamente specializzato non solo in materia di protezione dei dati personali ma anche di sicurezza dei sistemi.

Se il titolare ha nominato un DPO, sarà compito di quest’ultimo, ai sensi dell’art. 39 GDPR, fornire un parere sulla DPIA condotta e sorvegliarne lo svolgimento, in modo da garantire che in essa siano presenti tutti gli elementi richiesti.

Nel caso in cui, invece, non si disponga internamente di tali competenze, la corretta implementazione del trattamento potrà essere garantita tramite l’ausilio di figure professionali esterne, che coadiuveranno il Titolare nell’adempimento dei propri obblighi.