Valutazione d’impatto sulla protezione dei dati personali secondo le Linee guida WP29

Valutazione d’impatto sulla protezione dei dati personali secondo le Linee guida WP29

Dal 25 maggio 2018 si applica il Regolamento UE 2016/679 (“Regolamento”) il quale introduce una serie di modifiche importanti riguardanti la protezione dei dati personali. L’approccio che sta alla base del Regolamento è radicalmente diverso da quello a cui ci si è abituati in Italia: dai metodi documentali si passa a quelli più sostanziali e concreti. In particolare, viene introdotto il principio di responsabilizzazione (accountability): le imprese che trattano i dati personali sono tenute ad adottare un complesso di misure di sicurezza da loro ritenute idonee per la protezione dei dati, nonché a dimostrare compliance con il Regolamento.

Poiché il Regolamento dà un ampio spazio d’azione ai titolari del trattamento, il Gruppo di lavoro Articolo 29 (Article 29 Working Party – “WP29”) ha pubblicato (e continua a pubblicare) delle raccomandazioni e linee guida al fine di aiutare le imprese ad applicare in modo corretto le regole previste dal Regolamento e ad assicurare un’adeguata protezione dei dati personali.

In questa sede si analizzano le linee guida del WP29 sulla valutazione di impatto sulla protezione dei dati (Data Protection Impact Assessment – “DPIA”), emanate il 4 aprile 2017 e aggiornate il 4 ottobre 2017 (“Linee guida”).

L’obbligo di effettuare la DPIA è introdotto dall’art. 35 del Regolamento. La DPIA è una procedura il cui scopo è descrivere i trattamenti dei dati personali, valutare i rischi per i diritti e le libertà delle persone interessate derivanti da tali trattamenti, nonché adottare le misure adeguate per minimizzare tali rischi. La DPIA è uno strumento importante del principio di accountability.

L’approccio adottato dal Regolamento è basato sul rischio (risk based approach), ossia occorre fare le verifiche e adottare le misure in base al livello di rischio che possa sorgere nel corso del trattamento dei dati. La DPIA non è obbligatoria in presenza di qualsiasi rischio, ma soltanto se il trattamento “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, par.3 RGPD).

Con la locuzione “diritti e libertà” si intende, innanzitutto, il diritto alla privacy, ma il termine può riguardare anche altri diritti fondamentali (ad es. la libertà di espressione e di pensiero, il divieto di discriminazione).

Per quanto riguarda, invece, l’espressione “rischio elevato”, l’art. 35 del RGPD fornisce un elenco dei trattamenti che comportano tale rischio. L’elenco non è esaustivo e dovrebbe anche essere ampliato a livello nazionale. Ad oggi, il Garante per la protezione dei dati personali italiano non ha provveduto ad emanarlo, quindi, le aziende italiane devono effettuare la DPIA in base alle norme del Regolamento e le Linee guida.

Secondo le Linee guida, nel caso della sussistenza di almeno due dei seguenti criteri, è necessario lo svolgimento della DPIA. In alcuni casi il titolare può decidere che è sufficiente la presenza anche di un solo criterio, soprattutto se vi è incertezza sulla necessità della DPIA.

  • Trattamenti valutativi o di c.d. scoring (ossia la costruzione di punteggi e classificazioni): tali trattamenti comprendono la profilazione e attività predittive. Ad esempio, una società crea profili comportamentali o di marketing degli utenti del proprio sito web; una banca che utilizza un database di rischio creditizio o per la lotta al riciclaggio o al finanziamento del terrorismo; una società operante nel settore delle biotecnologie che offre test genetici ai consumatori.

  • Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura, quali l’esclusione di una persona fisica da determinati benefici o la sua discriminazione. Ad es., il trattamento automatizzato delle richieste di polizze assicurative, prestiti, contratti in base ai dati inseriti dall’utente mediante la compilazione delle forme online.

  • Monitoraggio sistematico, anche di un’area accessibile al pubblico: il monitoraggio deve essere appunto “sistematico”, ossia predeterminato, organizzato o metodico, essere svolto nell’ambito di un progetto complessivo di raccolta di dati o nell’ambito di una strategia. L’espressione “area accessibile al pubblico”, invece, è un luogo aperto alle generalità delle persone, ad es., una piazza, una stazione ferroviaria, un centro commerciale. Questo criterio può essere applicato, ad es., alle tecnologie per le città intelligenti, droni, macchine per Google Street View, televisione a circuito chiuso (TVCC).

  • Dati sensibili o dati di natura estremamente personale: tali trattamenti comprendono, ad es. la conservazione delle cartelle cliniche dei pazienti, soprattutto in formato elettronico, da parte di un ospedale; la conservazione delle informazioni su soggetti responsabili di reati da parte di un investigatore privato. Dati di natura estremamente personale comprendono invece dati sull’ubicazione, dati finanziari (ad es. mediante i pagamenti online), appunti personali (contenuti ad es. nei diari elettronici), email, altri dati contenuti nelle applicazioni che consentono di tenere traccia del proprio stile di vita. Una categoria simile alle due menzionate costituiscono dati biometrici.

  • Trattamenti di dati su larga scala: al fine di determinare se un trattamento è su larga scala o meno, occorre tenere in considerazione i seguenti fattori:

    • numero di soggetti interessati dal trattamento;

    • volume dei dati e/o ambito delle diverse tipologie di dati;

    • durata o persistenza del trattamento;

    • ambito geografico del trattamento.

  • Combinazione o raffronto di insieme di dati: ad es., derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dalle ragionevoli aspettative dell’interessato. Tali aspettative dipendono dal contesto in cui i dati sono stati raccolti (es. l’accertamento delle violazioni da parte del lavoratore dei propri obblighi mediante video camere di tipo TVCC installato per motivi di sicurezza), e/o dal tipo di rapporto tra il titolare e l’interessato (es. di natura commerciale o del lavoro) e/o dal bilanciamento dei poteri tra il titolare e l’interessato (ad es., se la raccolta dei dati è stata effettuata in base alla legge o in base al consenso liberamente prestato).

  • Dati relativi a interessati vulnerabili: in questo caso sussiste un più accentuato squilibrio di poteri fra interessato e titolare, ossia l’interessato non può facilmente opporsi al trattamento o in generale esercitare i diritti di controllo sui propri dati. Della categoria degli interessati vulnerabili fanno parte i minori, gli anziani, i dipendenti nei confronti del datore di lavoro, pazienti nei confronti delle strutture ospedaliere, ecc.

  • Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative: una nuova tecnologia può incidere notevolmente sui diritti degli interessati, per cui la DPIA aiuterà il titolare a individuare e gestire i rischi connessi all’utilizzo di tale nuova tecnologia. Ad es. le applicazioni dell’“Internet delle cose” (Internet of Things) o l’associazione fra tecniche dattiloscopiche e riconoscimento del volto per migliorare il controllo degli accessi fisici.

  • Altri trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto: un esempio di questo trattamento è lo screening dei clienti di una banca attraverso i dati registrati in un database dei rischi per decidere se concedergli o meno un finanziamento: tale trattamento non può essere evitato dal richiedente del prestito.

Al fine di comprendere meglio l’applicazione pratica dei suddetti criteri, le Linee guida forniscono una serie di esempi delle situazioni tipiche in cui è necessario svolgere la DPIA: un ospedale che tratta dati sanitari relativi ai pazienti (mediante un sistema informativo); un’azienda titolare del sito web che raccoglie dati degli utenti per la creazione dei profili; un’istituzione che crea un database nazionale di valutazioni creditizie o per finalità antifrode, ecc. La DPIA non è, invece, necessaria nei casi in cui i dati personali dei pazienti sono trattati da parte di un singolo medico; una rivista online che utilizza una mailing list per inviare agli abbonati un bollettino giornaliero di carattere generale; un sito di commercio elettronico che pubblicizza un tipo di merce con limitata profilazione riferita ad alcune sezioni del sito e basata sui pregressi acquisti effettuati.

Va osservato che, anche in presenza dei criteri sopra indicati, il titolare può ritenere che la DPIA non sia necessaria, ma in tal caso deve motivare e documentare la scelta e allegarci l’opinione del Responsabile per la protezione dei dati (se presente).

L’oggetto della DPIA può essere sia un singolo trattamento, sia più trattamenti analoghi uniti in un unico progetto (ad es. l’impiego da parte di un operatore ferroviario della videosorveglianza in tutte le stazioni ferroviarie di competenza).

La DPIA deve essere svolta prima di procedere al trattamento, preferibilmente nella fase di progettazione di esso. Tuttavia, il titolare non può limitarsi a condurla una sola volta: è tenuto a revisionarla al fine di mantenere inalterato, o anche migliorare, il livello di protezione dei dati personali, nonché di adeguare le misure tecniche e organizzative al mutare delle condizioni nel tempo. La revisione deve ripetersi a intervalli regolari. Inoltre, nel caso in cui sorgano situazioni nuove (ambito, finalità, tipo di dati personali raccolti, identità di titolari, periodi di conservazione, misure tecniche e organizzative, ecc.) che potrebbero comportare rischi elevati per i diritti delle persone, occorre svolgere una nuova DPIA relativa a tale situazione (ad es. l’utilizzo di una tecnologia innovativa, l’aumento di potenziali minacce in ambito informatico). In questo senso, la DPIA deve essere considerata come un processo permanente, soprattutto se si tratta di un trattamento dinamico e soggetto a continua evoluzione.

È tenuto a condurre la DPIA il titolare del trattamento, insieme al Responsabile per la protezione dei dati e al responsabile del trattamento (ove presenti). Dovrebbero essere consultati anche esperti indipendenti, il responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer), l’ufficio IT, ma anche le persone fisiche i cui dati sono raccolti (salvo che ciò non sia inopportuno per motivi di riservatezza o sia sproporzionato o impraticabile). Se il titolare ritiene di non essere in grado di adottare misure sufficienti per ridurre i rischi individuati in misura sufficiente, è tenuto a consultare il Garante per la protezione dei dati personali (ad es., se i rischi possono comportare per le persone interessate la perdita o la sospensione del rapporto lavorativo, un danno finanziario, una minaccia per la vita).

I metodi dello svolgimento della DPIA possono variare,[1] ma ciò che conta è una vera valutazione dei rischi e un’adozione delle misure efficaci per affrontarli nel rispetto dei criteri indicati nel Regolamento.

Sostanzialmente, la DPIA consiste di tre principali attività:

  1. Comprensione del contesto: in questa fase occorre descrivere il trattamento tenendo conto della natura, dell’ambito, delle finalità del trattamento; indicare i dati personali oggetto del trattamento, i destinatari, il periodo di conservazione, gli strumenti utilizzati per il trattamento (hardware, software, reti, ecc.);

  2. Valutazione dei rischi: questa attività ha come scopo quello di determinare l’origine, la natura, le particolarità e la gravità dei rischi o, preferibilmente, di ogni singolo rischio (ad es., accesso illegittimo, modifiche indesiderate, indisponibilità dei dati) per gli interessati, nonché gli impatti potenziali sui diritti e le libertà degli interessati;

  3. Gestione dei rischi: l’ultima fase è volta ad adottare le misure per eliminare o almeno ridurre i rischi al fine di assicurare la protezione dei dati personali e il rispetto dei requisiti previsti dal Regolamento.

Per quanto riguarda le misure di sicurezza tecniche e organizzative, esse possono comprendere cifratura dell’intero hard disk, chiavi robuste di autenticazione, idonei controlli sull’accesso, backup sicuri, nonché l’adozione di policy aziendali sulla protezione dei dati personali, la predisposizione di idonea informativa sul trattamento dei dati, ecc.

I risultati della DPIA e le conseguenti decisioni adottate devono essere documentati. Le Linee guida raccomandano che essi siano resi pubblici (ad es. sul sito web dell’impresa) senza però pregiudicare le informazioni coperte da segreto. Tale scopo potrebbe essere raggiunto mediante la pubblicazione online di una sintesi dei risultati della DPIA.

Da ultimo va osservato che la mancata realizzazione della DPIA comporta l’applicazione di pesanti sanzioni pecuniarie: fino a € 10.000.000 oppure fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore.


[1] Le autorità per la protezione dei dati di alcuni Stati membri dell’UE hanno pubblicato schemi di DPIA (ad es. Germania, Francia, Gran Bretagna). Sono altresì stati emanati alcuni schemi di DPIA settoriali.

 


Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
The following two tabs change content below.

Articoli inerenti