Il GDPR non richiede sempre una DPIA per ogni trattamento effettuato dal titolare, ma solo nel caso in cui il trattamento sia suscettibile di causare un rischio elevato per i diritti e le libertà delle persone fisiche, ovvero quando il titolare del trattamento utilizzi o effettui una delle seguenti operazioni per l’esercizio della propria attività.
La DPIA è una procedura che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. La valutazione d’impatto va effettuata prima di iniziare il trattamento e consente di mettere in pratica la protezione dei dati anche nella fase di progettazione (data protection by design).
Il comma 3 dell’articolo 35 del GDPR prevede che la valutazione d’impatto è in ogni caso necessaria nei seguenti casi: nel caso di valutazione sistematica e globale di aspetti personali relativi a persone fisiche basate su un trattamento automatizzato compresa la profilazione, o nel caso in cui ci sia un trattamento su larga scala di particolari categorie di dati e nel caso di sorveglianza di larga scala di una zona accessibile al pubblico.
La valutazione d’impatto, ricorda il Garante, è uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti effettuati e costituisce una buona prassi, poiché attraverso di essa “il titolare può ricavare indicazioni importanti e utili per prevenire incidenti futuri”. E’, infine, una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali.
Al fine di dare concretezza all’obbligo di effettuare una DPIA, anche il gruppo ex art. 29, oltre a chiarire il significato con “sistematico” e su “larga scala”, ha anche individuato nove criteri che costituiscono indici rilevanti per il titolare che deve porre in essere un decisione in ordine alla necessità di realizzarla.(vedi Linee-guida concernenti la valutazione di impatto sulla protezione dei dati- nota del 27.10.017 n. 59 e nota n. 24 del 03.05 2018).Il Gruppo art. 29 ha individuato alcuni criteri specifici a questo proposito:
trattamenti valutativi o di scoring, compresa la profilazione;
decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
monitoraggio sistematico (es: videosorveglianza);
trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
trattamenti di dati personali su larga scala;
combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
Il documento elaborato dal Gruppo ex articolo 29 aveva infatti precisato che la DPIA è necessaria in presenza di almeno due di questi criteri, ma tenendo conto delle circostanze, il titolare può decidere di condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra.
Le suddette linee-guida del WP29 hanno offerto alcuni chiarimenti sulla DPIA e sulla necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.
Le linee-guida hanno chiarito che una valutazione di impatto non è richiesta per i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e che non presentino modifiche significative prima del 25 maggio 2018, data di piena applicazione del regolamento.
Tuttavia, nella consapevolezza di una difficoltà interpretativa circa il dovere di svolgere una DPIA, il Regolamento sulla protezione dei dati ha previsto che ogni Autorità di controllo stabilisca e renda pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto e lo comunichi al Comitato europeo per la protezione dei dati di cui all’art. 68 del RGPD.
Le liste predisposte da ogni singola Autorità di controllo non dovranno essere considerate esaustive, ma progressive e adattabili per raggiungere gli obiettivi del GDPR e la DPIA dovrà essere effettuata sempre nel caso in cui ricorrano le condizioni applicative previste dall’art. 35 del GDPR e nel caso in cui ricorrano due o più criteri individuati dal gruppo ex art. 29.
Nella delibera dell’11 ottobre scorso, che recepisce le osservazioni del Comitato europeo per la protezione dei dati, l’Autorità ha stabilito che sono soggette alla DPIA le seguenti tipologie di trattamenti:
valutativi o di scoring su larga scala, nonche’ trattamenti che comportano la profilazione degli interessati nonche’ lo svolgimento di attivita’ predittive effettuate anche on-line o attraverso app, relativi ad «aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato».
automatizzati finalizzati ad assumere decisioni che producono «effetti giuridici» oppure che incidono «in modo analogo significativamente» sull’interessato.
relativi ad un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonche’ il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc.
su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale.
effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilita’ di effettuare un controllo a distanza dell’attività dei dipendenti
non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo
che comportano lo scambio tra diversi titolari di dati su larga scala con modalita’ telematiche.
di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse
di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’ attivita’ di trattamento
di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’ attivita’ di trattamento.
Lascia un commento