Valutazione di impatto: come riconoscere i casi a elevato rischio
La valutazione di impatto sulla privacy, unitamente ad altri adempimenti formali come la tenuta dei registri del trattamento, sostituisce l’obbligo generale di notifica alle autorità di controllo del trattamento dei dati personali. Il Garante per la protezione dei dati personali ha espressamente individuato le operazioni che possono presentare rischi elevati per i diritti e le libertà di cittadini, imprese e professionisti e, di conseguenza, soggette alla valutazione di impatto. Le aziende e le Pubbliche amministrazioni che effettuano trattamenti di dati possono, quindi, conoscere se sono assoggettate a tale obbligo.
Il Garante della privacy, con il provvedimento n. 467 dell’11 ottobre 2018 (pubblicato nella Gazzetta Ufficiale n. 269 del 19 novembre 2018), ha individuato i tipi di operazioni che possono presentare rischi elevati per i diritti e le libertà, soggetti alla valutazione di impatto sulla protezione dei dati personali.
Le pubbliche amministrazioni e le aziende italiane, che effettuano trattamenti di dati volti ad offrire beni e servizi anche a persone residenti in altri Paesi dell’Unione, possono, quindi, conoscere se sono assoggettate all’obbligo di redigere il documento previsto dall’articolo 35 del Regolamento 2016/679.
La valutazione di impatto privacy, unitamente ad altri adempimenti formali come la tenuta dei registri del trattamento, sostituisce l’obbligo generale di notificare alle autorità di controllo il trattamento dei dati personali e si inserisce nel principio della responsabilizzazione del trattamento.
Il Regolamento sceglie, dunque, strategie di tutela sostanziale, incentrate sulla valutazione d’impatto, soprattutto con riferimento a trattamenti che comportano l’utilizzo di nuove tecnologie.
La valutazione d’impatto sulla protezione dei dati va fatta prima del trattamento, per soppesare la particolare probabilità e gravità del rischio.
Mediante la valutazione d’impatto si acquisiscono le necessarie conoscenze sulle misure, sulle garanzie e sui meccanismi previsti per attenuare il rischio e assicurare la conformità del trattamento agli standard normativi.
Casi previsti dal GDPR - La valutazione d’impatto è richiesta in particolare ai trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato.
La valutazione d’impatto è richiesta anche nei casi in cui i dati personali sono trattati per adottare decisioni riguardanti determinate persone fisiche in seguito a una valutazione sistematica e globale di aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati, o in seguito al trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza.
Una valutazione d’impatto sulla protezione dei dati è altresì richiesta per la sorveglianza di zone accessibili al pubblico su larga scala, in particolare se effettuata mediante dispositivi optoelettronici, o per altri trattamenti che l’autorità di controllo competente ritiene possano presentare un rischio elevato per i diritti e le libertà degli interessati, specialmente perché impediscono a questi ultimi di esercitare un diritto o di avvalersi di un servizio o di un contratto, oppure perché sono effettuati sistematicamente su larga scala.
Il regolamento ammette la possibilità di una valutazione di impatto ampia, per esempio quando autorità pubbliche o enti pubblici intendono istituire un’applicazione o una piattaforma di trattamento comuni o quando diversi titolari del trattamento progettano di introdurre un’applicazione o un ambiente di trattamento comuni in un settore o segmento industriale o per una attività trasversale ampiamente utilizzata.
Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, eventualmente designato.
La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se del caso, l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati;
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Nel valutare l’impatto del trattamento bisogna considerare il rispetto dei codici di condotta.
Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
Il regolamento prevede che il titolare effettui il costante monitoraggio dei trattamenti in relazione a eventuali variazioni del rischio per la protezione dei dati.
Il regolamento assegna all’autorità garante il compito di redigere e rendere pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati e anche un elenco delle tipologie di trattamenti per le quali la stessa non è richiesta.
Casi previsti dal Garante italiano - In sintesi, la valutazione di impatto è obbligatoria quando il trattamento dei dati - per l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto o le finalità - può presentare un rischio elevato per i diritti e le libertà delle persone.
Nell’elenco il Garante ha indicato, tra gli altri, trattamenti valutativi o di scoring su larga scala, trattamenti automatizzati volti ad assumere decisioni che producono effetti giuridici o incidono in modo significativo sulla persona, trattamenti sistematici di dati biometrici e di dati genetici, trattamenti effettuati con l’uso di tecnologie innovative (IoT, intelligenza artificiale, monitoraggi effettuati da dispositivi indossabili).
L’elenco stilato dal Garante, pur se non esaustivo, è il seguente:
1. Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”.
2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
4. Trattamenti su larga scala di dati aventi carattere estremamente personale: si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.
6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01.
8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse.
11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
Casi previsti dalle linee guida wp29
Oltre che per i trattamenti indicati nell’elenco, occorre ricordare che PA e aziende hanno l’obbligo di adottare una valutazione di impatto sulla protezione dei dati anche quando ricorrano due o più criteri individuati dal Gruppo di lavoro articolo 29 nelle Linee guida in materia di valutazione di impatto nel 2017 (WP 248, rev. 01) e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, oppure quando un titolare ritenga che un trattamento che soddisfa anche solo uno dei criteri richieda una valutazione di impatto.
La valutazione di impatto concerne plurime operazioni di trattamento se presentano caratteristiche simili, quanto a qualità e quantità dei rischi, e quindi può essere unica, come ad esempio un gruppo di comuni che svolgono videosorveglianza secondo caratteristiche simili oppure una società di trasporto territorio che svolge videosorveglianza in tutte le sue stazioni.
Una valutazione di impatto va svolta per testare nuovi prodotti hardware o software.
Le Linee Guida del WP29 sottolineano che la casistica riportata nel regolamento non è esaustiva, ma solo esemplificativa e, in conseguenza, indicano nove categorie di rischio elevato:
1) Valutazione o scoring, inclusa profilazione e predizione, specialmente per risultati lavorativi, situazione economica, salute, preferenze e interessi personali, reputazione, comportamento, localizzazione e movimenti;
2) Decisioni automatizzate, con ricadute legali o simili;
3) Monitoraggio sistematico;
4) Dati sensibili;
5) Dati trattati su larga scala;
6) Raffronto di dati;
7) Interessati appartenenti a fasce deboli (lavoratori, disabili, richiedenti asilo, anziani, ammalati, ecc.);
8) Innovazioni tecnologiche (ad esempio internet delle cose);
9) Trattamento di dati che incidono sull’accesso a servizi o contratti (ad. Es. consultazioni dati di merito creditizio per concedere un mutuo).
Un titolare può ritenere, nella maggioranza dei casi, che quando un trattamento soddisfa due dei criteri sopra indicati sia necessario condurre una DPIA.
In linea di principio, il Gruppo di lavoro ritiene che quanto maggiore è il numero dei criteri soddisfatti da un determinato trattamento, tanto maggiore è la probabilità che esso presenti un rischio elevato per i diritti e le libertà degli interessati e, quindi, che si renda necessaria una DPIA indipendentemente dalle misure che il titolare prevede di adottare.
Tuttavia, in taluni casi un titolare può ritenere che un trattamento che soddisfa solo uno dei criteri di cui sopra necessiti di una DPIA.
Ci sono alcuni casi in cui non è richiesta una specifica VIP: se non c’è rischio elevato; quando si può sfruttare una VIP per un altro trattamento simile; quando una base legale disciplina la gestione del rischio e sostanzialmente assorbe questo adempimento; quando il trattamento è compreso nella lista degli esoneri stilata delle autorità di controllo.
La valutazione d’impatto è esclusa per i trattamenti di un singolo medico, operatore sanitario o avvocato su dati personali di pazienti o clienti. In tali casi il trattamento non si considera su larga scala.
Inoltre, il DPIA deve precedere l’inizio del trattamento.
Il DPIA è un’incombenza propria del titolare del trattamento, che può avvalersi terzi e può acquisire il parere del Responsabile della protezione dei dati, da allegare al DPIA.
Se c’è un responsabile del trattamento, questi deve collaborare.
È buona prassi redigere un documento che specifica:
- ruoli, compiti e responsabilità delle unità organizzative aziendali;
- pareri legali, tecnici, ecc;
- ruoli e responsabilità contrattualizzate del responsabile del trattamento.
Inoltre, le Linee Guida del WP 29 espongono poi, in un allegato, i contenuti per una accettabile valutazione di impatto, conforme al RGPD.
La pubblicazione del DPIA non è richiesta per l’efficacia del documento, ma questo adempimento può essere disposto dal titolare del trattamento in adempimento al principio di trasparenza.
Le Linee guida considerano la pubblicazione molto consigliabile, soprattutto per gli enti pubblici.
Peraltro, anche in caso di pubblicazione il titolare potrà omettere quelle parti da cui potrebbe derivare la diffusione di notizie commercialmente sensibili (know how, privative, brevetti, ecc.).
Le Linee Guida citano alcuni frameworks che si possono prendere ad esempio.
Fonte: IPSOA Quotidiano – Wolters Kluwer - Articolo di Antonio Ciccia Messina