Nel Report GEPD interessanti indicazioni sull’utilizzo della DPIA da parte delle istituzioni UE

Qualche giorno fa il Garante europeo della protezione dei dati (GEPD) ha pubblicato un report su come le istituzioni, gli organi e le agenzie dell’UE (EUI) effettuano le valutazioni d’impatto sulla protezione dei dati (DPIA) per il trattamento di informazioni che presentano un rischio elevato per i diritti e la libertà delle persone fisiche.

Wojciech Wiewiórowski, GEPD dal 6 dicembre 2019, ha dichiarato: “Le valutazioni d’impatto sulla protezione dei dati sono uno dei nuovi e preziosi strumenti di responsabilità che le EUI usano quando trattano dati personali sensibili per misurare l’impatto e i rischi per le persone. Le DPIA aiutano anche a capire meglio come sta cambiando il trattamento dei dati nella pratica. Il nostro Report, insieme alle risposte ricevute dal nostro sondaggio, consentono al GEPD di fornire ulteriori orientamenti sulle DPIA conformemente all’articolo 39 del Regolamento applicabile alle istituzioni dell’UE”.

Nel febbraio 2020, il GEPD ha infatti condotto un’indagine per determinare in che modo le EUI utilizzano le DPIA dall’entrata in vigore del Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE), sicché la relazione del GEPD contiene gli insegnamenti tratti e le migliori pratiche da parte delle EUI.

La natura delle operazioni di trattamento per le quali vengono svolte le DPIA varia ampiamente con i motivi principali per condurre una DPIA come il trattamento di dati sensibili o altamente personali, dati personali trattati su larga scala o l’uso innovativo o l’applicazione di nuove tecnologie.

Come noto, il GEPD è l’autorità di controllo indipendente con la responsabilità di monitorare il trattamento dei dati personali da parte di istituzioni e organi dell’UE, uffici e agenzie, fornire consulenza su politiche e legislazione che incidono sulla privacy e cooperare con autorità simili per garantire una protezione coerente dei dati. La sua missione è anche sensibilizzare sui rischi e proteggere i diritti e le libertà delle persone quando i loro dati personali vengono elaborati.

Ecco alcuni punti salienti del Rapporto.

1. Numero di DPIA effettuate

Mentre la maggior parte delle EUI non ha finora finalizzato una DPIA ai sensi dell’articolo 39 del Regolamento, ci sono spunti di riflessione nelle 40 risposte ricevute su come hanno reagito le diverse EUI in situazioni comparabili. Un certo numero di EUI ha osservato che il loro primo DPIA era attualmente ancora in divenire (“diverse DPIA attualmente in esame”, “attualmente lavoriamo intensamente per finalizzare il primo DPIA da quando il regolamento è diventato applicabile “, “lavori in corso “).

Pochissime EUI (solo 4 su 39) hanno finora finalizzato più di due DPIA. È interessante notare che, mentre le EUI che conducono un numero maggiore di DPIA sono EUI relativamente grandi, non sono le più grandi.
Diverse EUI hanno affermato di aver condotto DPIA anche prima dell’entrata in vigore del Regolamento nel dicembre 2018.

Una EUI ha osservato che “tutte le nostre operazioni di trattamento che avrebbero richiesto una DPIA erano state autorizzate a norma dell’articolo 27 del regolamento (CE) n. 45/2001 (precedentemente in vigore) e attualmente nuove valutazioni in merito a tali operazioni non sono ritenute necessarie”. Secondo le linee-guida del GEPD, operazioni di trattamento che richiedono una DPIA e che sono state precedentemente verificate con un risultato positivo (con una procedura di follow-up chiusa, ove applicabile) beneficiano di un periodo di tolleranza di due anni, quindi nessuna DPIA è stata necessario immediatamente. Tuttavia, questo periodo di grazia terminerà alla fine del 2020.

2. Natura delle operazioni di trattamento per le quali sono state condotte DPIA

La natura delle operazioni di elaborazione per le quali finora sono state condotte DPIA è molto eterogenea, con aspetti citati più volte che vanno dal reclutamento, CCTV, dati medici, team building / formazione, eventi e sondaggi a soluzioni cloud e altri problemi IT, compresi aspetti di sicurezza. Le principali aree di business coperte sono quindi legate alle risorse umane e all’IT, il che era un risultato atteso data la varia natura del core business delle EUI. Tuttavia, alcune delle DPIA più elaborate sono state condotte su attività di core business delle EUI.

3. Criteri di cui all’articolo 39 per l’attivazione di una DPIA

Per ogni DPIA effettuata, le EUI sono state invitate a elencare i criteri (possibilmente multipli) che innescano una DPIA (sono possibili più aspetti):

In ordine di rilevanza, i criteri di attivazione più frequenti sono stati:

  • dati sensibili o dati di natura altamente personale = 26 volte indicati come trigger;
  • dati elaborati su larga scala = 26 volte;
  • uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative = 25 volte.

Questi criteri sono stati seguiti per rilevanza da:

  • dati relativi a interessati vulnerabili = 17 volte (uno riferito esplicitamente a un “Rapporto datore di lavoro / dipendente sbilanciato”);
  • valutazione sistematica e massiva di aspetti personali o attribuzione di un punteggio, inclusa profilazione e analisi predittiva = 10 volte;
  • monitoraggio sistematico = 8 volte;
  • impedire agli interessati di esercitare un diritto o utilizzare un servizio o un contratto = 6 volte;
  • set di dati abbinati o combinati = 5 volte;
  • processo decisionale automatizzato con effetti significativi legali o simili = 1 volta (sebbene, presumibilmente, senza alcun reale effetto giuridico o simile).

Altri aspetti che sono stati presi in considerazione dalle EUI al momento di decidere di condurre una DPIA includono, ad esempio:

  • test attitudinale fisico: “un tipo di trattamento che tenga conto della natura, dell’ambito, contesto e finalità del trattamento rischia di comportare un rischio elevato per i diritti e le libertà delle persone fisiche”;
  • DPIA sul codice di condotta per funzionari di alto livello: “Natura della persona interessata: la pubblicazione di tali dati potrebbe aver causato un danno alla reputazione o all’immagine del funzionario coinvolto.

4. Osservazioni dai testi completi delle ultime DPIA fornite

A seguito della richiesta di fornire il testo completo delle ultime due DPIA, il GEPD ha ricevuto un totale di 17 DPIA complete. Numerose EUI non hanno fornito il testo completo delle DPIA menzionate nel loro contributo, poiché queste DPIA non erano ancora state finalizzate (questo spiega la discrepanza tra DPIA condotte e DPIA fornite in full text).

Data la natura molto diversa delle operazioni di trattamento alla base di queste DPIA full-text e il loro numero limitato, in questa fase è difficile trarre conclusioni significative. Comunque, sono emersi i seguenti due aspetti:

5. Lunghezza dei DPIA forniti

Vi è una notevole varietà per quanto riguarda la lunghezza delle DPIA fornite, che varia da cinque a 55 pagine. La DPIA media è composta da poco più di 16 pagine. Data la varietà di argomenti e le diverse opzioni di formattazione utilizzate (qualsiasi cosa, dal testo completo alle tabelle Excel), questo è presumibilmente un indicatore debole. Tuttavia, data la necessità di un’analisi completa e di una valutazione dei diversi rischi per produrre una DPIA significativa, una soluzione di cinque pagine sembra comunque meno del necessario.

6. La nozione di “rischio”

La formulazione dell’articolo 39 del Regolamento non lascia spazio a dubbi: l’attenzione si concentra su “un livello elevato di rischio per i diritti e le libertà delle persone fisiche”. Questo atteggiamento mentale verso il rischio è uno dei grandi cambiamenti rispetto alle vecchie regole: pensa sempre a come il trattamento potrebbe influire su coloro i cui dati vengono elaborati. Cosa fa loro? In che modo influisce su di loro?

Sia se le cose vanno secondo i piani sia quando le cose vanno male. La visuale è quella delle persone interessate dal trattamento dei dati, non ad esempio il danno reputazionale o fisico alla EUI. Il documento di orientamento del GEPD fornisce un elenco di controllo, che può essere uno strumento per considerare tutti gli aspetti e dimostrare di aver pensato alle implicazioni sulla protezione dei dati del trattamento.

La sicurezza dei dati è parte integrante di queste considerazioni. È necessario trattare i dati personali in modo da garantire “sicurezza adeguata”. Ciò che è “appropriato” dipende dai rischi del trattamento (vedi anche l’Articolo 26 del regolamento) ed include misure sia tecniche che organizzative. In molti casi, bisognerà far riferimento alla propria documentazione generale sulla gestione del rischio di sicurezza delle informazioni (ISRM). Per ulteriori indicazioni, si vedano le linee-guida del GEPD sulle misure di sicurezza per il trattamento di dati personali.

Tuttavia, dato che i rischi per “i diritti e le libertà delle persone fisiche” devono essere valutati, vale a dire dal punto di vista delle persone interessate dal trattamento dei dati, l’esame non dovrebbe fermarsi qui. Ad es., per quanto riguarda l’uso delle termo-camere e la funzionalità di localizzazione automatica delle telecamere con inclinazione panoramica, il GEPD ha precedentemente sottolineato che i rischi rilevanti per la protezione dei dati (compresi quelli di sicurezza IT) dovrebbero essere identificati e quantificati in modo esauriente.

In realtà, tutti i diritti e le libertà di questi soggetti potenzialmente in pericolo dovrebbero essere puntualmente elencati e le misure che attenuano i rischi dovrebbero essere basate su queste considerazioni.

  • Esempio 1: una DPIA molto completa sull’uso dei dati sanitari per attività di comunicazione all’interno di un network si riferisce alla “vulnerabilità dei pazienti riguardo alla situazione causata dalle loro malattie rare: potenziali effetti a lungo termine dell’operazione di trattamento con effetto reputazionale sulla loro vita professionale.
  • Esempio2 : un modello DPIA invita il titolare del trattamento a rispondere alle domande seguenti:
    – “Questa operazione potrebbe ridurre la probabilità che le persone esercitino i loro diritti fondamentali (es. libertà di espressione, convinzioni …)? Per esempio. Quando si controllano le e-mail, se si controllasse il contenuto invece di controllare solo i dati sul traffico, ciò ridurrebbe la probabilità che le persone esercitino la propria libertà di espressione?” e
    – “Questa operazione di trattamento potrebbe comportare una discriminazione?”
  • Esempio 3: diverse DPIA affrontano la questione di quanto sia facile per gli interessati esercitare i propri diritti.
    Alcuni testi forniti, tuttavia, sembrano indicare che questo non è ancora completamente radicato nel processo DPIA presso le EUI. Ciò è supportato dalla seguente dichiarazione di un responsabile della protezione dei dati: “In generale il punto di vista dei rischi per gli interessati, non per l’agenzia. Quando si tratta di DPIA, la giustificazione basata sulle attività commerciali anziché adottare il punto di vista dei dati i soggetti dovrebbe essere il driver principale. Sfortunatamente, non è così. Inoltre, i rischi verso i “diritti e le libertà” delle persone interessate sono un concetto difficile da comprendere, poiché non esiste alcuna connessione immediata tra il trattamento dei dati personali e quanto negativamente esso potrebbe influire su diritti e libertà. Il trattamento dei dati è visto come qualcosa di etereo che non ha impatto diretto sulla vita delle persone interessate e, se invece avviene il contrario, si tratta solo di casi limitati in circostanze eccezionali”.
  • Esempio 4: sono state condotte una serie di DPIA sull’uso della CCTV da parte delle EUI con sedi situate su potenziali “rotte” di manifestazioni politiche (alcune peraltro identificavano i dimostranti come potenziale rischio per la sicurezza). Quasi tutti non menzionano nemmeno il potenziale impatto (enorme) che questa misura di sorveglianza potrebbe avere sulla libertà di espressione e riunione, sebbene quest’ultimo punto sia esplicitamente menzionato nelle
    – Linee guida GEPD per la videosorveglianza: “Deve essere effettuata una valutazione d’impatto … In caso di sorveglianza volta a garantire la sicurezza durante dimostrazioni… per assicurare che nella privacy e negli altri diritti fondamentali dei partecipanti “catturati” dalle telecamere, incluso, soprattutto, il loro diritto alla libertà di riunione, non si faccia intrusione in modo sproporzionato”, così come
    “A titolo di esempio, si pensi alla CCTV in un’area accessibile al pubblico al di fuori dell’ingresso dell’EUI e in che modo può influire sulle libertà di riunione e di parola in quel luogo”.
  • Esempio 5: la Risposta del GEPD a una consultazione formale sul monitoraggio dei social media condotto da un’EUI ha evidenziato tra l’altro i seguenti effetti:
    “…la diminuzione dello spazio “intimo” a disposizione delle persone, a seguito di inevitabile sorveglianza da parte di aziende e governi, ha un effetto agghiacciante sulla capacità e la volontà delle persone di esprimersi e formarsi relazioni libere, anche nell’ambito civile così essenziale per la salute della democrazia”;
    “Il filtro per lingua e parole chiave potrebbe portare a ipotesi di comportamenti di gruppo inaccurati” e quindi creare rischi di discriminazione di gruppo;
    “Il trattamento di dati personali dai social media – compreso categorie speciali di dati personali, dati personali di soggetti appartenenti a gruppi vulnerabili e dati personali potenzialmente correlati a accuse penali – crea rischi per i diritti e le libertà fondamentali delle persone, incluso i diritti alla protezione dei dati e alla privacy, ma andando ben oltre e potenzialmente fino al diritto di asilo”;
    – “Il possibile effetto agghiacciante sulla libertà delle persone interessate a esprimere la propria opinione e, possibilmente, la propria libertà di riunione e associazione e le implicazioni potenzialmente gravi di questo effetto devono essere tenute nella dovuta considerazione”.

Dal punto di vista generale, Il GEPD effettuerà indagini mirate come questa più frequentemente in futuro, in quanto rappresentano uno strumento importante per monitorare la conformità al regolamento (UE) 2018/1725, anche in considerazione della limitata capacità del Garante di controllare la situazione in un momento assolutamente “particolare”, quale quello che stiamo vivendo nel pieno della crisi COVID-19.

 

Articolo a cura di Sergio Guida

Profilo Autore

Da economista aziendale, ha maturato esperienze direzionali in gruppi industriali diversi per settori, dimensioni e caratteristiche. Specializzato in pianificazione strategica e controllo di gestione, finanza, risk e project management, sistemi di gestione e rendicontazione integrativi (sociale, ambientale e intangible assets), è stato relatore in convegni e seminari e pubblica articoli di economia, finanza, digital transformation, data governance, public health, compliance & regulatory affairs.
Ha seguito percorsi multidisciplinari su Design Thinking, Human-Computer Interaction, Data protection & Privacy, Digital Health & Therapeutics. Business angel, segue con attenzione il mondo delle Startup.

Condividi sui Social Network:

Ultimi Articoli