Tra le novità introdotte dalla nuova disciplina europea in materia di protezione dei dati (Reg. UE 2016/679 – G.D.P.R.) un posto di rilievo spetta sicuramente alla Valutazione d’impatto sulla protezione dei dati (anche detta DPIA – Data Protection Impact Assessment), disciplinata dall’art. 35 del Regolamento [1].
Tale norma prevede che la DPIA contenga almeno:
Obiettivo del presente intervento non sarà tuttavia analizzare ed individuare prontamente la corretta metodologia da seguire per redigere una DPIA, bensì provare a chiarire qualche zona d’ombra creatasi intorno alla stessa e, in particolare, fornire alcuni suggerimenti utili per identificare i casi in cui diviene necessario effettuare una Valutazione d’impatto.
Preliminarmente, cos’è la DPIA?
Una procedura intesa a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire ad identificare e gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli.
Una DPIA consente quindi al Titolare di analizzare sistematicamente e approfonditamente come un nuovo trattamento, una nuova tecnologia, o un nuovo progetto (ovvero una modifica sostanziale ad un trattamento già in corso o l’impiego per finalità o con metodologie differenti di tecnologie già esistenti) impatteranno sui diritti e le libertà degli interessati e individuare, con un approccio privacy by design & by default, quali misure implementare per la tutela di quest’ultimi.
L’art. 35 Reg. UE 2016/679 prevede che la DPIA sia obbligatoria in caso di trattamenti che per natura, oggetto, contesto e finalità, possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Identificare i casi che ricadono nello scenario prima richiamato, però, non sempre costituisce operazione semplice ed immediata, ma necessita di una fase preliminare – definibile prevalutazione d’impatto – nella quale il Titolare, raccolte le informazioni essenziali sul trattamento che intende introdurre o modificare, valuterà l’opportunità e/o la necessità di procedere o meno ad una DPIA.
Il GDPR infatti, proseguendo nella campagna di sensibilizzazione e responsabilizzazione del Titolare, non elenca tassativamente i casi nei quali è obbligatorio procedere ad una DPIA, ma si limita ad elencare tre ipotesi nelle quali essa è richiesta, in particolare:
Il Regolamento Europeo pertanto affida al solo Titolare, coadiuvato dal D.P.O (qualora designato), il compito di valutare se il trattamento progettato rientri o meno tra i casi per i quali la DPIA è obbligatoria.
Al fine di agevolare il Titolare nel compiere tale ardua operazione, l’Article 29 Working Party (oggi European Data Protection Board) ha emanato delle Linee Guida (WP 248) [2] contenenti nove criteri in presenza dei quali si può desumere che il trattamento presenti “un rischio elevato per i diritti e le libertà delle persone fisiche”:
In particolare, il WP ha delineato la seguente regola di condotta: in presenza di un trattamento che soddisfi almeno due dei nove criteri la DPIA è necessaria.
Per completezza, si ritiene opportuno precisare che, mutuando le parole utilizzate dal WP, “un Titolare del trattamento può ritenere, anche se un trattamento soddisfa soltanto uno di questi criteri, che possa comunque richiedere una valutazione d’impatto sulla protezione dei dati, in quanto potrebbe presentare dei rischi elevati per i diritti e le libertà degli interessati”.
Occorre infatti chiarire che, anche qualora non prevista come obbligatoria, la DPIA può essere valutata come importante strumento di accountability per dimostrare la conformità del Titolare al G.D.P.R. oltre che utile procedura per identificare concretamente le misure di sicurezza idonee ai trattamenti in atto ed ai loro relativi rischi.
Un ulteriore supporto operativo, utile al Titolare nel valutare l’opportunità di procedere o meno ad una DPIA, è fornito dall’Autorità Garante Inglese (Information Commissioner’s Office) che, superando per quanto riguarda il livello di dettaglio quanto delineato dal WP, ha individuato dieci casistiche (alcune delle quali, ad onor del vero, rientranti nei nove criteri prima definiti) in presenza delle quali la DPIA sarà obbligatoria [3]:
Un primo approccio alla “prevalutazione d’impatto” potrebbe pertanto consistere nel trasferire i criteri e le casistiche sin qui richiamate in una checklist, stabilire il numero di match in presenza del quale la DPIA è da ritenersi obbligatoria (uno – sposando le indicazioni fornite dall’ICO – due – sposando le indicazioni fornite dal W.P.) e confrontare il trattamento progettato con la detta checklist in modo da consegnare nelle mani del Titolare uno strumento, seppur sicuramente migliorabile ed integrabile, che possa fungere da rudimentale guida nell’arduo compito di dare attuazione al par. 1 dell’art. 35 G.D.P.R.
Tutto ciò in attesa che il Garante Privacy Italiano, dando attuazione a quanto disposto dall’art. 35 par. 4 G.D.P.R., pubblichi “l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati” – che sicuramente costituirà un validissimo punto di partenza per la concreta applicazione della norma richiamata.
Anche in questo caso però, un’idea su ciò che avverrà a seguito della detta pubblicazione viene fornita dall’Autorità Garante Inglese che, anticipando sul tempo l’Autorità Italiana, ha già individuato una lista di trattamenti considerati come ad alto rischio (Examples of processing “likely to result in high risk”) [3]
Trattasi di un elenco (non definitivo e soggetto a modifiche, come sarà d’altronde quello che verrà emanato dal Garante Italiano) di ben sessantaquattro trattamenti, raggruppati nelle dieci casistiche analizzate in precedenza, per i quali il Titolare dovrà necessariamente procedere ad una DPIA.
Pur facendo a meno di un’elencazione puntuale di tali trattamenti ad alto rischio (per la quale si rimanda al link n.4 presente nella sitografia), appare tuttavia opportuno richiamare l’attenzione del lettore su alcuni trattamenti che assumono particolare rilevanza nella quotidianità per gran parte dei Titolari, quali, ad esempio, quelli attinenti il mondo del lavoro.
A parere dell’ICO infatti, qualsiasi Titolare che voglia introdurre nell’ambiente di lavoro (incluso il c.d. remote working) un sistema in grado di tracciare o monitorare la posizione, il rendimento, o altri dati relativi ai propri dipendenti – si pensi, ad esempio, a sistemi di valutazione continua delle prestazioni dei singoli dipendenti, ovvero a sistemi elettronici di monitoraggio continuo della posizione dei lavoratori tramite GPS – non potrà esimersi dall’effettuare una DPIA, pena la violazione dell’art.35 G.D.P.R. con conseguente possibilità di pesanti sanzioni amministrative pecuniarie (si ricorda infatti che la non conformità all’art. 35 può essere punita con una sanzione pari sino fino a €10.000.000,00 ovvero, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente se tale importo risulta essere superiore a €10.000.000,00).
Ulteriore ambito meritevole di particolare attenzione per tutti i Titolari che esercitino o promuovano la propria attività commerciale attraverso il web può essere individuato nelle attività rientranti nei cosiddetti “invisible processing”.
Ogni titolare che desideri avvalersi di strumenti quali il marketing diretto attraverso il canale web, il riutilizzo di dati pubblici resi disponibili, l’online advertising ovvero il tracciamento degli utenti online tramite servizi offerti da terze parti, dovrà infatti necessariamente procedere ad una DPIA al fine di dimostrare la conformità con la normativa vigente in materia di dati personali.
Appare pertanto evidente come individuare correttamente quando e come effettuare una Valutazione d’impatto costituisca un’operazione imprescindibile per il Titolare che voglia porsi al riparo da possibili sanzioni, oltre che uno strumento per monitorare costantemente e contribuire a proteggere efficacemente i dati trattati nell’ambito della propria struttura aziendale.
A tal fine, l’elencazione fornita dall’ICO potrebbe costituire una valida linea guida nelle mani del Titolare, un “database” al quale fare medio tempore riferimento nell’attesa di un similare pronunciamento ad opera dell’Autorità Garante italiana.
A cura di: Mauro Formato
In questo primo contenuto, ci concentreremo su due aspetti fondamentali: il principio di accountability nel…
Nel corso del 22° Forum ICT Security, la Tavola Rotonda dedicata a Sanità Digitale e…
In Italia, come nel resto del mondo, il settore della sanità e la sua catena…
L’ultimo scandalo informatico italiano è stato generato da un information leakage che ha coinvolto politici…
Il controllo di un UAV (Unmanned Aerial Vehicle[1], cioè velivolo senza pilota umano a bordo)…
Nel corso della Tavola Rotonda "Industry 5.0: Sfide e Strategie per la Cybersecurity nell'Era della…