Data Protection Impact Assessment

Gli obblighi di valutazione d’impatto sulla protezione dei dati personali per i trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche.

Scopo di questo breve approfondimento è quello di illustrare in modo schematico i contenuti della disciplina di legge prevista per le operazioni di DPIA (Data Protection Impact Assesment) previste dall’articolo 35 del GDPR, nonché le relative metodologie applicabili.

Si terranno, in particolare, in considerazione, dal punto di vista delle modalità operative utilizzabili, da una parte le metodologie diffuse dalle Università o dalle Autorità di garanzia per la protezione dei dati personali, e dall’altra altra, anche i contenuti della standardizzazione in materia di protezione dei dati personali.

Mi riferisco, in particolare, quanto al primo gruppo di metodologie, alle pubblicazioni in materia realizzate, a livello europeo da ENISA, dall’Autorità Garante per la protezione dei dati personali francese ed inglese e ai lavori del Politecnico di Milano, quanto agli standard ISO, alla norma ISO/IEC 29134:2017 Information technology – Security techniques – Guidelines for privacy impact assesment.

Naturalmente, occorrerà considerare anche i contenuti delle Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, adottate dal Gruppo di lavoro articolo 29 per la protezione dei dati (ora EDPB) il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017, ove si specifica espressamente che una valutazione d’impatto sulla protezione dei dati è un processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli.

Sanzioni e valutazione dei rischi

È altresì opportuno sottolineare sin da subito, data la rilevanza delle sanzioni eventualmente applicabili che l’inosservanza dei requisiti stabiliti per la valutazione d’impatto sulla protezione dei dati può portare a sanzioni pecuniarie imposte dall’autorità di controllo competente. Nello specifico, la mancata esecuzione di una valutazione d’impatto sulla protezione dei dati nei casi in cui il trattamento è soggetto alla stessa (articolo 35, paragrafi 1, 3 e 4), l’esecuzione in maniera errata di detta valutazione (articolo 35, paragrafi 2 e da 7 a 9) oppure la mancata consultazione dell’autorità di controllo laddove richiesto (articolo 36, paragrafo 3, lettera e)), possono comportare una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di euro oppure, nel caso di un’impresa, pari a fino al 2% del fatturato annuo globale dell’anno precedente, a seconda di quale dei due importi sia quello superiore. Si deve osservare inoltre che l’obbligo per i titolari del trattamento di realizzare una valutazione d’impatto sulla protezione dei dati va inteso nel contesto dell’obbligo generale, cui gli stessi sono soggetti, di gestire adeguatamente i rischi presentati dal trattamento di dati personali. In questo ambito, un ‘rischio’ è uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità e la ‘gestione dei rischi’, invece, può essere definita come l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi.

Un’attività per tutte le aziende

Dal punto di vista operativo, l’attuazione della valutazione d’impatto sulla protezione dei dati è modulabile e anche un titolare del trattamento di piccole dimensioni può progettare e attuare una valutazione d’impatto sulla protezione dei dati adatta ai propri trattamenti. Tuttavia, il considerando 90 del regolamento generale sulla protezione dei dati delinea una serie di elementi costituivi della valutazione d’impatto sulla protezione dei dati che si sovrappone a elementi ben definiti della gestione del rischio (per esempio la norma ISO 31000).

In effetti, in termini di gestione dei rischi, una valutazione d’impatto sulla protezione dei dati mira a ‘gestire i rischi’ per i diritti e le libertà delle persone fisiche, utilizzando i seguenti processi:

– stabilendo il contesto: “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio”;

– valutando i rischi: “valutare la particolare probabilità e gravità del rischio”;

– trattando i rischi: “attenuando tale rischio” e “assicurando la protezione dei dati personali”, e “dimostrando la conformità al regolamento”.

L’articolo 35 del GDPR sopra richiamato, che prevede che il titolare del trattamento, nel caso in cui, in ragione delle caratteristiche del trattamento, e in particolare per l’uso di nuove tecnologie, possa presentarsi un rischio elevato per i diritti e le libertà delle persone fisiche, prima di procedere, debba effettuare una valutazione dell’impatto del trattamento, costituisce uno dei capisaldi dell’architettura di protezione dei dati personali prevista dal GDPR, poiché funge da vera e propria clausola di salvaguardia per la disciplina di tutte quelle attività, specialmente svolte mediante strumenti di elaborazione innovativi, in grado di mettere in pericolo i diritti e le libertà individuali, condizionando preventivamente, la legittimità delle stesse operazioni di trattamento, alla verifica della sussistenza, di tutte le necessarie condizioni di liceità applicabili, ivi comprese le misure necessarie a mitigare il rischio.

I trattamenti oggetto di valutazione di impatto

Come indicato nella dichiarazione del gruppo di lavoro articolo 29 sulla protezione dei dati sul ruolo di un approccio basato sul rischio nei quadri giuridici in materia di protezione dei dati, il riferimento a ‘diritti e libertà’ degli interessati riguarda principalmente i diritti alla protezione dei dati e alla vita privata, ma include anche altri diritti fondamentali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione.

Oltre ai criteri generali di cui alle lettere a), b), e c) del paragrafo 3 dell’articolo 35, vale a dire, in sintesi, trattamenti consistenti in valutazioni sistematiche che producono effetti giuridici di categorie particolari di dati personali su larga scala, e sorveglianza sistematica su larga scala di una zona accessibile al pubblico, trovano applicazione individuando alcune specifiche fattispecie concrete di trattamento da assoggettare all’obbligo in questione, anche i contenuti dell’allegato 1 al provvedimento doc. web. 9058979 del garante italiano per la protezione dei dati personali recante: “Elenco delle tipologie di trattamenti soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto”.

Rientrano, per esempio, tra i trattamenti sui quali ci intratterremo, in relazione ai quali il titolare deve essere in grado di dimostrare di aver svolto, prima dell’inizio delle attività, le operazioni di valutazione di impatto:

– in primo luogo, i trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche riguardo ai sistemi di videosorveglianza e geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;

– in secondo luogo, i trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche online o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati in ambito telecomunicazioni, banche eccetera, effettuati non soltanto per profilazione, più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza eccetera;

– in terzo luogo, i trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio di dati di consumo di beni digitali con dati di pagamento;

– infine i trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (IoT, artificial intelligence, wereable device).


Giuseppe Serafini

Avvocato del Foro di Perugia. BSI - ISO/IEC 27001:2013 Lead Auditor; Master Privacy Officer; perfezionato in Digital Forenscis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, L. Migliorini e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giu...

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 189

Officelayout

Progettare arredare gestire lo spazio ufficio
Aprile-Giugno
N. 189

Abbonati
Innovazione.PA n. 46

innovazione.PA

La Pubblica Amministrazione digitale
Luglio-Agosto
N. 46

Abbonati
Executive.IT luglio-agosto 2022

Executive.IT

Da Gartner strategie per il management d'impresa
Luglio-Agosto
N. 5

Abbonati