Un excursus tecnico-normativo sulla valutazione d’impatto sulla protezione dei dati
di Anna Capoluongo
Il presente articolo vuole guardare alle novità introdotte dal Regolamento Europeo 679/2016 in tema di Data Protection Impact Assessment così come approfondite e chiarite dalle linee guida del Gruppo di lavoro articolo 29 (o WP29).
Anzitutto vale la pena di ricordare che il WP29 (Working Party article 29) è l’organismo consultivo indipendente della UE per la protezione dei dati e della vita privata, istituito dall’art. 29 della Direttiva madre 95/46/CE (da cui il nome), e composto da un rappresentante per Stato membro delle autorità di protezione dei dati personali, dal GEPD (Garante europeo della protezione dei dati), e da un rappresentante della Commissione.
Attualmente il WP29 é stato sostituito dal Comitato europeo per la protezione dei dati (o European Data Protection Board – EDPB), ex art. 68 del Regolamento 2016/679.
Gli sforzi del Gruppo di lavoro ad oggi si sono concentrati, in particolare e per quanto qui rileva, sull’elaborazione di linee guida che potessero dirimere i dubbi interpretativi insorti in punto DPIA (Linee guida del 4 aprile 2017, come emendate e adottate il 4 ottobre 2017).
Iniziamo col dire che nel Regolamento non é prevista una definizione vera e propria di “valutazione d’impatto”, ma la stessa si può ricavare indirettamente dai contenuti sostanziali minimi richiesti dall’articolo 35, comma 7 [1]del GDPR e dai riferimenti di cui al considerando 84[2],nonché dalle linee guida stesse.
Alla luce di ciò, la DPIA é da intendersi come una “procedura finalizzata a descrivere il trattamento, valutarne la necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali”, una procedura che “permette di realizzare e dimostrare la conformità alle norme”[3].
E qual é il procedimento da seguire per una corretta redazione della valutazione?
Sul punto viene in aiuto il WP29, che identifica un iter generale a cui rifarsi che tenga in considerazione quanto statuito dall’articolo 35 comma 7 e dai considerando 84 e 90[4],e che può essere rappresentato nella figura[5]che segue.
Non vige, comunque, alcun obbligo di forma e struttura, così che é lasciata al titolare la piena facoltà di decidere in merito alla redazione della DPIA, di modo da renderla anche più adattabile ai singoli processi lavorativo-azienda li concretamente utilizzati.
Nel caso il titolare volesse, invece, rifarsi ad esempi di metodologie da poter applicare o a “criteri per una valutazione d’impatto accettabile”,questi potrà attingere da quelli contenuti negli Allegati 1 e 2 delle Linee guida a cui si rimanda.
E’giusto il caso di ricordare che il titolare non é tenuto a pubblicare la DPIA, anche se è consigliato renderne fruibile una sintesi. Questi ha, invece, l’obbligo di inviarla in forma completa all’Autorità di controllo qualora gliene faccia richiesta diretta o laddove egli si avvalga della consultazione preventiva[6].
Come già anticipato, la valutazione d’impatto si rende necessaria solo laddove venga evidenziato un rischio elevato per i diritti e le libertà[7]delle persone fisiche, e non quindi per qualsiasi trattamento. E’, però,compito del titolare vigilare costantemente sui rischi potenziali dei propri flussi di trattamento, così da essere sempre in grado di valutare se e quando(anche in un secondo momento) sia il caso di condurre una DPIA. Questa, poi, in caso di co-titolarità (ossia quando due o più titolari, ex articolo 26 GDPR, determino congiuntamente le finalità e i mezzi del trattamento), dovrebbe contenere anche l’indicazione della suddivisione dei compiti e delle responsabilità di cui ciascun titolare sarà tenuto a rispondere.
La valutazione potrà avere ad oggetto un singolo trattamento, ma anche un insieme di trattamenti [8]che presentino analogie, tenuto conto della natura, dell’ambito, del contesto,delle finalità e dei rischi [9], e potrebbe essere altamente indicata (in ottica di protezione dei dati) in caso di utilizzo di nuovi dispositivi tecnologici, hardware o software che siano.
Il dovere di redigere una DPIA ricade sempre in capo al titolare, ma questi potrà avvalersi del consulto e del monitoraggio del DPO (ex artt. 35, comma 2 e 39,comma 1, lettera c), e – laddove il trattamento sia svolto in tutto o in parte da un responsabile del trattamento – anche dell’aiuto di quest’ultimo, che sarà tenuto ad assisterlo nella conduzione della valutazione.
Infine,“se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti”.
Ma cosa significa “rischio elevato” e quando la DPIA é obbligatoria?
L’articolo 35 del Regolamento, al comma 3, viene in aiuto, ma solo parzialmente, elencando infatti una serie ridotta e non esaustiva di casi di trattamenti che possono essere forieri di un cd. “rischio elevato”, e cioè quando vi sia:
“a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, esula quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento,su larga scala, di categorie particolari di dati personali di cui all’articolo 9, comma 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.
Per aiutare a dirimere i dubbi sul punto, il WP29 ha ritenuto di individuare 9 criteri a cui potersi rifare per capire in quali casi la DPIA sia da intendersi come obbligatoria.
E così, é bene condurre una valutazione d’impatto qualora il titolare si ravveda del fatto che il trattamento posto in essere integri congiuntamente almeno due delle seguenti casistiche:
- trattamenti valutativi o di scoring, compresa la profilazione e le attività predittive (v. anche considerando 71 e 91 del Regolamento – esempi di ambiti: social, e-commerce, farmacie, controllo del rendimento dei lavoratori);
- decisioni automatizzate che producano significativi effetti giuridici o di analoga natura (v. anche art. 35, comma 3, lettera a) – esempi di ambiti: assegnazione case popolari);
- monitoraggio sistematico utilizzato per osservare, monitorare o controllare gli interessati che potrebbero non comprendere chi sia il titolare e quali le finalità (v. anche art. 35, comma 3, lettera c) – esempi di ambiti: parcheggi pubblici, centri commerciali, geolocalizzazione);
- dati sensibili o dati di natura estremamente personale ex artt. 9 e 10 del Regolamento;
- trattamenti di dati su larga scala (v. considerando 91[10]);
- combinazione o raffronto di insiemi di dati (esempi di ambiti: cartelle cliniche);
- dati relativi a interessati vulnerabili, quali, ad esempio, minori, anziani, dipendenti, pazienti, soggetti con patologie psichiatriche, richiedenti asilo (v. anche considerando 75);
- utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative, come, ad esempio, l’associazione tra tecniche dattiloscopiche e riconoscimento del volto per migliorare il controllo degli accessi fisici (v. anche articolo 35, comma 1 e considerando 89 e 91 – esempi di ambiti: biometria);
- trattamenti che di per sé impediscano agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (v. anche articolo 22 e considerando 91 – esempi di ambiti: screening bancario).
Al contrario, il WP29 ritiene che la valutazione non sia necessaria qualora il trattamento non possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche; qualora la natura, l’ambito, il contesto e le finalità del trattamento siano molto simili a quelli del trattamento per cui si è già proceduto ad una DPIA; qualora il trattamento sia compreso nell’elenco facoltativo redatto dall’Autorità di controllo ex art. 35 comma 5; oppure quando il trattamento sia stato sottoposto a verifica di un’autorità di controllo prima del 25 maggio 2018, ma le condizioni specifiche non abbiano subito modifiche.
Tali casi vanno integrati con quelli indicati nell’articolo 35 al comma 10, ossia: “Qualora il trattamento effettuato ai sensi dell’articolo 6, comma 1, lettere c) o e),trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento”.
Per completezza é giusto il caso di ricordare che l’Autorità belga – per prima e sulla scorta dell’articolo 35, al comma 4[11]– ha pubblicato la Raccomandazione n. 1/2018 del 28 febbraio 2018 relativa,appunto, alla DPIA, con la quale ha reso noti gli elenchi dei trattamenti soggetti e non soggetti all’obbligo di redazione della valutazione d’impatto sulla protezione dei[12].
A seguire sono intervenute tanto l’autorità francese (CNIL)[13]quanto quella italiana[14], sulla falsa riga della prima.
Si ricorda che, in ogni caso, sarà sempre necessario prevedere una revisione costante[15]delle valutazioni redatte, così da poter assicurare un livello di protezione dei dati sempre aggiornato e coerente col mutare delle condizioni e della realtà concreta. Ancora una volta, dunque, all’interno del Regolamento viene reiterato il concetto di riesame continuo, ciclico e permanente del rispetto delle condizioni e dei requisiti in materia di privacy.
Nel caso il titolare, nonostante l’affinità ai criteri sopra descritti, ritenga che il trattamento effettuato non necessiti di DPIA, sarà tenuto a motivare la propria scelta e a documentarla, ove possibile integrandola con l’opinione in merito del RPD (o DPO).
[1] “La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile,l’interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al comma 1; e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione”.
[2] “Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d’impatto sulla protezione dei dati per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio. L’esito della valutazione dovrebbe esse- re preso in considerazione nella determinazione delle opportune misure da adotta- re per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo”.
[3] V. Linee guida WP29 del 4 aprile 2017, par. 1.
[4] “In tali casi (N.d.A., trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche), è opportuno che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio. La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento”.
[5] Fonte: Linee guida WP29 del 4 aprile 2017, par. III, C.
[6] A tale procedura bisogna ricorrere qualora dalla valutazione d’impatto emergano dei rischi residui che permangono elevati o laddove il titolare non sia in grado di mitigare i rischi riscontrati. Per approfondimenti si rimanda alla lettura dell’articolo 36 del Regolamento.
[7] Come chiarito dal WP29, si fa riferimento al diritto alla privacy, ma anche ad altri diritti fondamentali quali la libertà di espressione, di pensiero, di movimento, di coscienza e di religione e il divieto di discriminazioni.
[8] Ad esempio in caso di tecnologie simili che trattino gli stessi dati per le stesse finalità.
[9] Si vedano l’articolo 35, par. 1 del Regolamento ed il considerando 92, cui si rimanda.
[10] Quando si parla di “larga scala” si fa riferimento ad una notevole quantità di dati a livello regionale, nazionale o sovranazionale il cui trattamento va analizzato alla luce del numero di soggetti interessati, del volume dei dati, dell’ambito, della durata e dell’ambito geografico del trattamento.
Ai sensi del considerando 91, “Ciò dovrebbe applicarsi in particolare ai trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove,in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati,specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti. È opportuno altresì effettuare una valutazione d’impatto sulla protezione dei dati nei casi in cui i dati personali sono trattati per adottare decisioni riguardanti determinate persone fisiche in seguito a una valutazione sistematica e globale di aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati,o in seguito al trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza. Una valutazione d’impatto sulla protezione dei dati è altresì richiesta per la sorveglianza di zone accessibili al pubblico su larga scala,in particolare se effettuata mediante dispositivi optoelettronici, o per altri trattamenti che l’autorità di controllo competente ritiene possano presentare un rischio elevato per i diritti e le libertà degli interessati, specialmente perché impediscono a questi ultimi di esercitare un diritto o di avvalersi di un servizio o di un contratto, oppure perché sono effettuati sistematicamente su larga scala. Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato. In tali casi non dovrebbe essere obbligatorio procedere a una valutazione d’impatto sulla protezione dei dati”.
[11] Che prevede espressamente che l’autorità di controllo rediga e renda pubblico l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto.
[12] Fonte: https://www.agendadigitale.eu/sicurezza/privacy/valutazione-di-impatto-gdpr-dpia-impariamo-dagli-elenchi-trattamenti-del-garante-belga/.
[13] https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise.pdf.
[14]https://www.garanteprivacy.it/documents/10160/0/ALLEGATO+1+Elenco+delle+tipologie+di+trattamenti+soggetti+al+meccanismo+di+coerenza+da+sottoporre+a+valutazione+di+impatto.
[15] L’articolo 35, comma 11 del Regolamentorecita: “Se necessario, il titolare del trattamento procede a un riesame pervalutare se il trattamento dei dati personali sia effettuato conformemente allavalutazione d’impatto sulla protezione dei dati almeno quando insorgonovariazioni del rischio rappresentatodalle attività relative al trattamento”.
Autore