Data Protection Impact Assessment (DPIA): cosa è e come effettuarla.

Cosa è: la valutazione d’impatto sulla protezione dei dati (art. 35) o Data Protection Impact Assessment (DPIA) è una procedura finalizzata a descrivere il trattamento, valutarne necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali (attraverso la valutazione di tali rischi e la definizione delle misure idonee ad affrontarli).

DPIA e accountability: la DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni del RGPD, ma anche a dimostrare l’adozione di misure idonee a garantire il rispetto di tali prescrizioni

Considerando 84 - l'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento

La DPIA è una procedura che permette di realizzare e dimostrare la conformità con le norme

Chi deve effettuarla: è obbligo del titolare del trattamento effettuare la DPIA, tuttavia, il responsabile del trattamento, se necessario e su richiesta, dovrebbe assistere il titolare del trattamento nel garantire il rispetto degli obblighi derivanti dallo svolgimento di una valutazione d’impatto sulla protezione dei dati. Inoltre, il titolare del trattamento si consulta con il responsabile della protezione dei dati (DPO), qualora ne sia designato uno. La conduzione materiale della DPIA può essere affidata a un altro soggetto, interno o esterno all’organismo; tuttavia, la responsabilità ultima dell’adempimento ricade sul titolare del
trattamento.

Buona prassi: coinvolgere soggetti quali il Chief Information Security Officer (Responsabile della sicurezza dei sistemi informativi, il soggetto prima individuato come “Amministratore di Sistema”, e altri esperti di vari ambiti disciplinari

Quando deve essere effettuata: Prima di procedere al trattamento. La DPIA dovrebbe collocarsi quanto più a monte possibile nella fase di progettazione di un trattamento, anche se non tutte le operazioni di tale trattamento sono già delineate. Se insorgono variazioni del rischio rappresentato dalle attività relative al trattamento, se necessario, il titolare procede a un riesame per valutare se il trattamento sia effettuato conformemente alla valutazione di impatto.

La valutazione di impatto sulla protezione dei dati è necessaria - condizioni previste dalla legge - quando il trattamento, allorché prevede in particolare l’uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Cosa si deve considerare: la natura, l’oggetto, il contesto e le finalità del trattamento. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

L’opinione degli interessati: se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti. Per esempio, uno studio generico relativo a finalità e mezzi del trattamento, un quesito rivolto ai rappresentanti del personale o un questionario inviato ai futuri clienti del titolare.
Attenzione: il consenso al trattamento in questione non rappresenta una modalità idonea per raccogliere le opinioni degli interessati. Motivare e documentare sempre quando il titolare decide di non consultare gli interessati (perché impraticabile o sproporzionata) o quando decide di scostarsi dalle opinioni degli interessati.

Quando è prevista la valutazione di impatto (art. 35, par. 3; elenco non esaustivo):

  • una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basatasu un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

Esempio: trattamenti automatizzati volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi. Potrebbero rientrare anche i trattamenti automatizzati di dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti (prima erano trattamenti sottoposti alla «notificazione» al Garante);

  • il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10 ;

Esempio: trattamenti di dati genetici, dati biometrici, dati relativi alla salute e alla vita sessuale, trattamenti di dati «giudiziari»;

  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Quando il trattamento «può presentare un rischio elevato per i diritti e le libertà delle persone fisiche» (art.35, par. 1 RGDP) ed è quindi obbligatorio effettuare la DPIA (Data Protection Impact Assessment)?

Gruppo di lavoro ex Articolo 29 - Doc. n. 17/EN WP248 «Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del regolamento 2016/679» - Versione emendata e adottata il 4 ottobre 2017.

  1. Valutazione e profilazione dell’interessato, quando il trattamento dei dati personaliriguarda aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazioneo gli spostamenti dell’interessato. Esempio: una società operante nel settore delle biotecnologie che offra test genetici direttamente ai consumatori per finalità predittive del rischio di determinate patologie o in generale per lo stato di salute; una società che crei profili comportamentali o di marketing a partire dalle operazioni o dalla navigazione compiute sul proprio sito web.
  2. Decisioni automatizzate e sulla quale si fondano decisioni che hanno effetti giuridici oincidono in modo analogo sulle persone fisiche. Esempio: il trattamento può comportare l’esclusione di una persona fisica da determinati benefici ovvero la sua discriminazione.
  3. Monitoraggio sistematico: il trattamento è finalizzato all’osservazione e controllo degliinteressati, anche in una zona accessibile al pubblico. In tali casi gli interessati potrebberonon essere consapevoli del trattamento in corso e, allo stesso tempo, è impossibile sottrarsial trattamento (es. Videosorveglianza aree pubbliche).
  4. Dati «sensibili» o dati di natura estremamente personale. Esempio: un ospedale che conserva le cartelle cliniche dei pazienti, o un investigatore privato che conserva informazioni su soggetti responsabili di reati. In questo ambito rientrano anche dati il cui trattamento può presentare dei rischi per le libertà e I diritti dell’interessato: dati relative alle comunicazioni elettroniche, dati di localizzazione, dati finanziari.
  5. Trattamenti di dati effettuati su larga scala (per un approfondimento sul criterio diindividuazione, vedi la parte dedicata al DPO).
  6. Combinazione o raffronto di insiemi di dati. Esempio: derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dalle ragionevoli aspettative dell’interessato.
  7. Dati relativi a interessati vulnerabili: questi trattamenti potrebbero richiedere una DPIAdata la presenza di uno squilibrio tra il titolare e l’interessato. In queste situazionil’interessato potrebbe non essere in grado di esprimere un consenso veramente libero eincondizionato, oppure di opporsi al trattamento. Esempio: il trattamento dati effettuato dal datore di lavoro sui suoi dipendenti; oppure, il trattamento dei dati relativi ai minori, i quali non sono in grado di esprimere con consapevolezza un consenso al trattamento dei propri dati.
  8. Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative, come lettori di impronte digitali, riconoscimento facciale per l’accesso a determinati luoghi e altriesempi di IoT. L’uso di queste tecnologie, come sottolineato dalla stessa norma (art. 35, par.1) può comportare la necessità di una DPIA, in quanto il ricorso a una nuova tecnologia puògenerare forme innovative di raccolta e utilizzo dei dati cui può associarsi un rischio elevatoper i diritti e le libertà delle persone. Nei fatti, le conseguenze sul piano individuale e socialedel ricorso a una nuova tecnologia sono talora ignote. La DPIA aiuterà il titolare acomprendere e gestire tali rischi.
  9. Trasferimento di dati all’estero, fuori dal territorio dell'Unione Europea. La DPIA può essere utile per la valutazione dei molteplici aspetti da considerare prima di effettuare il trattamento in uno Stato non facente parte dell’Unione Europea.
  10. Quando il trattamento impedisce all’interessato di esercitare un diritto o di avvalersi di un servizio o di un contratto. Ciò comprende i trattamenti finalizzati a consentire, modificare o negare l’accesso degli interessati a un servizio o la stipulazione di un contratto. Si pensi, a titolo di esempio, allo screening dei clienti di una banca attraverso i dati registrati in una centrale rischi al fine di stabilire se ammetterli o meno a un finanziamento.

Quando effettuare la DPIA (Data Protection Impact Assessment)?

Sussiste un rischio elevato quando:

  1. Quando un trattamento soddisfa due dei criteri sopra indicati si ritiene necessario condurre una DPIA.
  2. Quanto maggiore è il numero dei criteri soddisfatti da un determinato trattamento, tanto maggiore è la probabilità che esso presenti un rischio elevato per i diritti e le libertà degli interessati e, quindi, che si renda necessaria una DPIA indipendentemente dalle misure che il titolare prevede di adottare.
  3. Tuttavia, in taluni casi può ritenersi necessaria una DPIA anche se un trattamento che soddisfa solo uno dei criteri di cui sopra.

Il RGPD richiede un approccio basato sul rischio. Da una parte, non è obbligatorio condurre una DPIA per ogni singolo trattamento. Dall’altra, la DPIA è obbligatoria solo se una determinata tipologia di trattamenti “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35,
paragrafo1). Tuttavia, la semplice circostanza per cui non si rientri nell’ambito dell’obbligo di condurre la DPIA non riduce in alcun modo l’obbligo più generale cui soggiacciono i titolari di mettere in atto misure finalizzate a gestire in modo idoneo i rischi per i diritti e le libertà degli interessati. In altre parole, l’approccio consigliato è quello di valutare in modo continuativo i rischi creati dai propri trattamenti così da individuare quelle situazioni in cui una determinata tipologia di trattamenti “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (e quindi poi decidere di effettuare la DPIA).

Elenco stilato dall’Autorità Garante (art. 35, par. 4): l’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati. Tali elenchi sono comunicati tali elenchi al comitato europeo per la protezione dei dati. Allo stesso modo possono essere stilati elenchi di trattamenti per i quali non è prevista la valutazione di impatto.

Contenuti minimi della valutazione di impatto:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
  4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Esclusione della valutazione di impatto: la valutazione di impatto è esclusa quando:

  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (art. 6, lett. c);
  • il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (art. 6, lett. e).

In entrambi i casi, le disposizioni normative dell’Unione o dello Stato membro devono disciplinare il trattamento specifico in questione e devono essere emanate a seguito di una valutazione di impatto generale, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere al trattamento.

Esempio: potrebbe rientrare in tale eccezione, il trattamento effettuato quando autorità pubbliche o enti pubblici intendono istituire un’applicazione o una piattaforma di trattamento comuni o quando diversi titolari del trattamento progettano di introdurre un’applicazione o un ambiente di trattamento comuni in un settore o segmento industriale o per una attività trasversale ampiamente utilizzata.

Esclusione della valutazione di impatto e principio di responsabilizzazione: quando, a giudizio del titolare, il trattamento non “può presentare un rischio elevato” il titolare dovrà motivare e documentare la scelta della mancata conduzione della DPIA, allegando o annotando l’opinione del responsabile della protezione dei dati.

Il Gruppo di lavoro (ex Articolo 29 - Doc. n. 17/EN WP248) ritiene che una DPIA non sia necessaria nei casi seguenti:

  • se il trattamento non “può comportare un rischio elevato per i diritti e le libertà di persone fisiche” (art. 35, par.1);
  • se la natura, l’ambito, il contesto e le finalità del trattamento sono molto simili a quelli del trattamento per cui è già stata condotta una DPIA. In casi del genere, si possono utilizzare i risultati della DPIA per trattamenti analoghi (art. 35, par. 1);
  • se il trattamento è stato sottoposto a verifica da parte di un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non hanno subito modifiche;
  • se un trattamento trova la propria base legale nel diritto dell’Ue o di uno Stato membro, la base legale in questione disciplina lo specifico trattamento, ed è già stata condotta una DPIA all’atto della definizione della base giuridica suddetta (art. 35, par. 10), tranne ove uno Stato membro abbia previsto la necessità di condurre una DPIA per i trattamenti pregressi;
  • se il trattamento è compreso nell’elenco facoltativo (redatto dall’autorità di controllo ai sensi dell’art. 35, paragrafo 5) dei trattamenti per i quali non è necessario procedere alla DPIA. In casi del genere, salvo riesame da parte della competente autorità di controllo, la DPIA non è necessaria – ma solo a condizione che il trattamento ricada nello specifico ambito della procedura menzionata nell’elenco e continui a risultare pienamente conforme ai relativi requisiti del regolamento.

Il documento contenente la DPIA: la pubblicazione della DPIA non costituisce un obbligo formale ai sensi del regolamento, ed è rimessa alla discrezionalità del titolare.

Raccomandazione: sarebbe opportuno che i titolari valutassero di rendere pubbliche almeno parti/estratti della DPIA, quali una sintesi o le conclusioni; così facendo si promuoverebbe la fiducia nelle attività di trattamento svolte da quei titolari dando prova di un approccio responsabile e trasparente.

Pubblica amministrazione: la pubblicazione della DPIA appare particolarmente indicata se il trattamento produce effetti su una parte della popolazione, il che vale soprattutto nel caso sia un’autorità pubblica a condurre la DPIA.

Consultazione preventiva (adempimento verso l’autorità di controllo)

  1. La DPIA è necessaria quando un trattamento “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche”.
  2. Il titolare deve valutare i rischi per i diritti e le libertà degli interessati e individuare le misure previste al fine di ridurre tali rischi a un livello accettabile.
  3. Qualora il titolare non sia in grado di individuare misure sufficienti a ridurre il rischio a livelli accettabili (ossia, qualora il rischio residuale continui a permanere elevato), è necessario consultare l’autorità di controllo mediante la procedura della consultazione preventiva.

Testo trattato dagli appunti del corso "GDPR: COME APPLICARLO ALLE AZIENDE DI TPL" - Relatore Avv. Massimo Farina - diricto.it

Related Articles