Data Protection Impact Assesment

Il nuovo regolamento europeo sulla protezione dei dati personali (Regolamento UE 2016/679 – cd. “GDPR”), che sarà direttamente applicabile in tutti gli Stati Membri dell’Unione Europea a partire dal 25 maggio 2018, ha introdotto, per il tramite delle disposizioni di cui all’articolo 35, l’istituto della “valutazione d’impatto sulla protezione dei dati” o “data protection impact assesment” (cd. “DPIA“). Tale istituto altro non è che un processo volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo. Il DPIA va inquadrato come uno strumento essenziale e fondamentale per tutti i titolari e responsabili del trattamento al fine di dar corso al nuovo approccio alla protezione dei dati personali voluto dal legislatore comunitario e fortemente basato sul principio della responsabilizzazione (cd. accountability principle). Un processo di DPIA può riguardare una singola operazione di trattamento dei dati. Tuttavia, si potrebbe ricorrere a un singolo DPIA anche nel caso di trattamenti multipli simili tra loro in termini di natura, ambito di applicazione, contesto, finalità e rischi. Ciò potrebbe essere il caso in cui si utilizzi una tecnologia simile per raccogliere la stessa tipologia di dati per le medesime finalità. Oppure, un singolo DPIA potrebbe essere applicabile anche a trattamenti simili. Il soggetto obbligato ad effettuare un DPIA è il titolare del trattamento con il supporto del DPO, se nominato, e del responsabile del trattamento eventualmente coinvolto. Al titolare del trattamento spetta, quindi, di assicurare che il DPIA venga eseguita assumendosene l’intera responsabilità. Il titolare del trattamento è tenuto a consultarsi con il DPO, qualora designato, e dovrà attenersi al parere ricevuto. Il DPO dovrà monitorare lo svolgimento del DPIA e fornire il suo parere per iscritto che sarà determinante ai fini dell’esito positivo o meno del processo di DPIA.

QUANDO LA DPIA E’ OBBLIGATORIA?

In tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il Gruppo Art. 29 individua alcuni criteri specifici a questo proposito:

– trattamenti valutativi o di scoring, compresa la profilazione;

– decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);

– monitoraggio sistematico (es: videosorveglianza);

– trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);

– trattamenti di dati personali su larga scala;

– combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);

– dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);

– utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);

– trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

La DPIA è necessaria in presenza di almeno due di questi criteri, ma – tenendo conto delle circostanze – il titolare può decidere di condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra.

QUANDO LA DPIA NON E’ OBBLIGATORIA?

Secondo le Linee guida del Gruppo Art. 29, la DPIA NON è necessaria per i trattamenti che:

– non presentano rischio elevato per diritti e libertà delle persone fisiche;

– hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è già stata condotta una DPIA;

– sono stati già sottoposti a verifica da parte di un’Autorità di controllo prima del maggio 2018 e le cui condizioni (es: oggetto, finalità, ecc.) non hanno subito modifiche;

– sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario procedere alla DPIA;

– fanno riferimento a norme e regolamenti, Ue o di uno stato membro, per la cui definizione è stata condotta una DPIA.

Il WP29 distingue nettamente tra valutazione di impatto come analisi dei trattamenti e la valutazione di impatto come individuazione di misure specifiche quando la verifica svolta le richieda. Da questa ricostruzione interpretativa le Linee guida traggono alcune precisazioni molto importanti.

La prima riguarda il fatto che la DPIA, per la parte relativa all’analisi dei rischi relativi a un trattamento, va fatta sempre prima che questo inizi. La seconda sottolinea che l’analisi va fatta rispetto a ciascun singolo trattamento, salvo il caso di trattamenti simili. La terza ribadisce che è utile prestare attenzione anche alle componenti dei device utilizzati sul piano tecnologico.

Le Linee guida forniscono una serie di esempi delle situazioni tipiche in cui è necessario svolgere la DPIA: un ospedale che tratta dati sanitari relativi ai pazienti (mediante un sistema informativo); un’azienda titolare del sito web che raccoglie dati degli utenti per la creazione dei profili; un’istituzione che crea un database nazionale di valutazioni creditizie o per finalità antifrode, ecc.

La DPIA non è, invece, necessaria nei casi in cui i dati personali dei pazienti sono trattati da parte di un singolo medico; una rivista online che utilizza una mailing list per inviare agli abbonati un bollettino giornaliero di carattere generale; un sito di commercio elettronico che pubblicizza un tipo di merce con limitata profilazione riferita ad alcune sezioni del sito e basata sui pregressi acquisti effettuati.

Commenti