Il Data Protection Impact Assessment “DPIA”: cos’è e come svolgerlo

Il nuovo regolamento europeo sulla protezione dei dati personali (Regolamento UE 2016/679 – cd. “GDPR”), che sarà direttamente applicabile in tutti gli Stati Membri dell’Unione Europea a partire dal 25 maggio 2018, ha introdotto, per il tramite delle disposizioni di cui all’articolo 35, l’istituto della “valutazione d’impatto sulla protezione dei dati” o “data protection impact assesment” (cd. “DPIA”). Tale istituto altro non è che un processo volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo. Il DPIA va inquadrato come uno strumento essenziale e fondamentale per tutti i titolari e responsabili del trattamento al fine di dar corso al nuovo approccio alla protezione dei dati personali voluto dal legislatore comunitario e fortemente basato sul principio della responsabilizzazione (cd. accountability principle).
Un processo di DPIA può riguardare una singola operazione di trattamento dei dati. Tuttavia, si potrebbe ricorrere a un singolo DPIA anche nel caso di trattamenti multipli simili tra loro in termini di natura, ambito di applicazione, contesto, finalità e rischi. Ciò potrebbe essere il caso in cui si utilizzi una tecnologia simile per raccogliere la stessa tipologia di dati per le medesime finalità. Oppure, un singolo DPIA potrebbe essere applicabile anche a trattamenti simili attuati da diversi titolari del trattamento dei dati. In questi casi, è necessario condividere o rendere pubblicamente accessibile un DPIA di riferimento, attuare le misure descritte nello stesso, e fornire una giustificazione per la realizzazione di un unico DPIA.
L’articolo 35, comma 1, del GDPR prevede che il processo di DPIA sia obbligatorio quando un trattamento di dati personali “presenti un rischio elevato per i diritti e le libertà delle persone fisiche”. Sul punto, al fine di assicurare un’interpretazione coerente delle circostanze in cui risulta obbligatorio lo svolgimento di un DPIA, il gruppo di lavoro ex articolo 29 (gruppo di lavoro a cui fanno parte tutte le Authority Privacy di ciascun Stato Membro dell’Unione Europea c.d. “WP-29”) ha pubblicato il 4 aprile 2017 un documento contenente le linee guida per lo svolgimento di un DPIA chiarendo il concetto espresso dal primo comma dell’articolo 35. In particolare, il riferimento a “diritti e libertà” degli interessati riguarda principalmente i diritti alla protezione dei dati e alla vita privata, ma include anche altri diritti fondamentali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione. Ad ogni modo si precisa che, qualora dovesse risultare poco chiaro se una situazione richieda o meno lo svolgimento del DPIA, la raccomandazione del WP-29 è quella di effettuarlo comunque, in quanto risulta essere, in ogni caso, uno strumento utile per i titolari del trattamento al fine di rispettare la legge in materia di protezione dei dati.
Sebbene un DPIA possa essere richiesto anche in altre circostanze, l’articolo 35, comma 3, del GDPR fornisce alcuni esempi di casi nei quali un trattamento di dati personali “possa presentare rischi elevati”: (a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; (b) il trattamento, su larga scala, di categorie particolari di dati personali (articolo 9 del GDPR) o di dati relativi a condanne penali e a reati (cfr. articolo 10 del GDPR); (c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Questo elenco non può considerarsi esaustivo.
Al fine di fornire un insieme più concreto di trattamenti di dati personali che richiedono un DPIA in virtù del loro rischio elevato intrinseco, si devono considerare i seguenti nove criteri:
1)valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato (cfr. Considerando 71 e 91 del GDPR);
2)processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente, compresa la profilazione;
3)monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o “la sorveglianza sistematica su larga scala di una zona accessibile al pubblico” (cfr. articolo 35, comma 3, lettera c del GDPR);
4)dati sensibili o dati aventi carattere altamente personale;
5) trattamento di dati su larga scala: nella determinazione del concetto di larga scala il WP-29 raccomanda di considerare i seguenti elementi: a. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; b. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; c. la durata, ovvero la persistenza, dell’attività di trattamento; d. la portata geografica dell’attività di trattamento;
6)creazione di corrispondenze o combinazione di insiemi di dati;
7)dati relativi a interessati vulnerabili: (es. minori, dipendenti nonché i segmenti più vulnerabili della popolazione che richiedono una protezione speciale);
8)uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
9)quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto” (cfr. articolo 22 e considerando 91 del GDPR).
In generale, il WP-29 ritiene che maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che sia presente un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario un DPIA, indipendentemente dalle misure che il titolare del trattamento ha previsto di adottare. Ciononostante, in alcuni casi, un titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno di questi criteri richieda lo svolgimento di un DPIA. Contrariamente, un trattamento può corrispondere ai casi di cui sopra ed essere comunque considerato dal titolare del trattamento un trattamento tale da non “presentare un rischio elevato”. In tali casi il titolare del trattamento dovrà necessariamente giustificare e documentare i motivi che lo hanno spinto a non effettuare un DPIA nonché allegare il parere del responsabile della protezione dei dati (cd. “DPO”) qualora nominato.
Il WP-29 ritiene inoltre che un DPIA non sia richiesta nei seguenti casi:
-quando il trattamento non è tale da “presentare un rischio elevato per i diritti e le libertà delle persone fisiche”;
-quando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un trattamento per il quale è già stato svolto un DPIA;
-quando le tipologie di trattamento sono state verificate da un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non hanno subito modifiche;
-qualora un trattamento trovi una base giuridica nel diritto dell’Unione o nel diritto dello Stato membro, tale diritto disciplini il trattamento specifico o sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nel contesto dell’adozione di tale base giuridica;
-qualora il trattamento sia incluso nell’elenco facoltativo (stabilito dall’autorità di controllo) delle tipologie di trattamento per le quali non è richiesta alcuna valutazione d’impatto sulla protezione dei dati.
Lo svolgimento di un DPIA è necessariamente prodromico al porre in essere l’attività di trattamento ipotizzata (cfr. articolo 35, comma 1 e 10, e considerando 90 e 93 del GDPR). Un tale approccio risulta pienamente coerente con i principi di protezione dei dati fin dalla progettazione e di protezione per impostazione predefinita (cd. Privacy by design e Privacy by default – cfr. articolo 25 e considerando 78 del GDPR). Il DPIA va quindi considerato come uno strumento volto a contribuire al processo decisionale in materia di trattamento dei dati personali da parte di un titolare del trattamento e da un responsabile del trattamento.
Per quanto riguarda le operazioni di trattamento preesistenti, l’obbligo di svolgere un DPIA si applica alle operazioni di trattamento di dati personali che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche e per le quali vi è stata una variazione dei rischi, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento.
N.B. La realizzazione di un DPIA costituisce infatti un processo continuativo e non un esercizio una tantum.
Il soggetto obbligato ad effettuare un DPIA è il titolare del trattamento con il supporto del DPO, se nominato, e del responsabile del trattamento eventualmente coinvolto. Al titolare del trattamento spetta, quindi, di assicurare che il DPIA venga eseguita assumendosene l’intera responsabilità. Il titolare del trattamento è tenuto a consultarsi con il DPO, qualora designato, e dovrà attenersi al parere ricevuto. Il DPO dovrà monitorare lo svolgimento del DPIA e fornire il suo parere per iscritto che sarà determinante ai fini dell’esito positivo o meno del processo di DPIA.
Nello svolgimento del DPIA, Il titolare del trattamento dovrà altresì raccogliere le opinioni degli interessati o dei loro rappresentanti. A tal proposito il WP-29 ritiene che: 1) tali opinioni possono essere raccolte attraverso una varietà di mezzi, a seconda del contesto, assicurando che il titolare del trattamento disponga di una base giuridica valida per il trattamento di qualsiasi dato personale interessato nel raccogliere dette opinioni; 2) qualora la decisione finale del titolare del trattamento si discosti dalle opinioni degli interessati, le sue motivazioni a sostegno del procedere o meno vanno documentate; 3) il titolare del trattamento deve altresì documentare la sua giustificazione per la mancata raccolta delle opinioni degli interessati, qualora decida che ciò non sia appropriato.
Il GDPR definisce ed individua le caratteristiche minime per svolgere un processo di DPIA distinguendolo in varie fasi:
1) descrizione dei trattamenti previsti e delle finalità del trattamento:
-la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono presi in considerazione;
-vengono registrati i dati personali, i destinatari e il periodo di conservazione dei dati personali;
-viene fornita una descrizione funzionale del trattamento;
-sono individuate le risorse sulle quali si basano i dati personali (hardware, software, reti, persone, canali cartacei o di trasmissione cartacea);
2) valutazione della necessità e proporzionalità dei trattamenti. Sono state determinate le misure previste per garantire il rispetto del regolamento:
-misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:
•finalità determinate, esplicite e legittime;
•liceità del trattamento;
•dati personali adeguati, pertinenti e limitati a quanto necessario;
•limitazione della conservazione;
-misure che contribuiscono ai diritti degli interessati:
•informazioni fornite all’interessato;
•diritto di accesso e portabilità dei dati;
•diritto di rettifica e alla cancellazione;
•diritto di opposizione e di limitazione di trattamento;
•rapporti con i responsabili del trattamento;
•garanzie riguardanti trattamenti internazionali;
•consultazione preventiva.
3) misure previste per dimostrare osservanza;
4) valutazione dei rischi per i diritti e le libertà degli interessati:
-l’origine, la natura, la particolarità e la gravità dei rischi o, più in particolare, per ciascun rischio vengono determinate dalla prospettiva degli interessati:
•si considerano le fonti di rischio;
•sono individuati gli impatti potenziali per i diritti e le libertà degli interessati in caso di eventi che includono l’accesso illegittimo, la modifica indesiderata e la scomparsa dei dati;
•sono individuate minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati;
•sono stimate la probabilità e la gravità;
-sono determinate le misure previste per gestire tali rischi.
5) misure previste per affrontare i rischi e dimostrare la conformità al presente regolamento: a tal fine devono identificarsi
-gli impatti potenziali sui diritti e le libertà degli interessati
-le minacce che potrebbero comportare accessi illegittimi
-le modifiche indesiderate
-l’indisponibilità dei dati
6) documentazione delle decisioni assunte
7) monitoraggio e revisione
Nel valutare l’impatto di un trattamento va tenuto conto del rispetto di un codice di condotta. Ciò può essere utile per dimostrare che sono state scelte o messe in atto misure adeguate, a condizione che il codice di condotta sia adeguato all’operazione di trattamento interessata. Devono essere presi in considerazione anche certificazioni, sigilli e marchi al fine di dimostrare la conformità rispetto al regolamento generale sulla protezione dei dati dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento (cfr. articolo 42 del GDPR), nonché rispetto alle norme vincolanti d’impresa.
Ogni qualvolta il titolare del trattamento non sia in grado di trovare misure sufficienti per ridurre i rischi a un livello accettabile (ossia i rischi residui restano comunque elevati) o nel caso in cui il DPO lo ritenga utile sarà necessario consultare l’Autorità Garante al fine di ottenerne un parere che sarà vincolante.
Si noti bene che il WP-29 ha chiarito che la pseudonimizzazione e la cifratura dei dati personali non sono necessariamente misure appropriate ma sono soltanto esempi. Le misure adeguate dipendono dal contesto e dai rischi, aspetti specifici dei trattamenti effettuati.
Non esiste un obbligo di pubblicare l’esito di un DPIA, tuttavia pubblicarne una sintesi potrebbe favorire la fiducia e la valutazione d’impatto sulla protezione dei dati completa deve essere comunicata all’autorità di controllo in caso di consultazione preventiva o su richiesta da parte delle autorità competenti per la protezione dei dati.
In tema di DPIA, il GDPR prevede che l’inosservanza dei requisiti stabiliti per il DPIA può portare a sanzioni pecuniarie imposte dall’autorità di controllo competente. La mancata esecuzione di un DPIA nei casi in cui il trattamento è soggetto allo stesso, l’esecuzione in maniera errata del DPIA oppure la mancata consultazione dell’autorità di controllo laddove richiesta, possono comportare una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di Euro oppure, nel caso di un’impresa, pari a fino al 2% del fatturato annuo globale dell’anno precedente, qualora tale importo risulti quello superiore.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *