Valutazione di impatto sui dati: chiarimenti

Come dimostra questo articolo pubblicato su PMI.it continua a esserci grande confusione e poca chiarezza sul tema privacy 2018. Sempre con la logica di aiutare le imprese a orientarsi nel labirinto di informazioni, questo mese affrontiamo la tematica legata alla valutazione di impatto sulla protezione dei dati personali (DPIA), soggetti obbligati e modalità di svolgimento.

In generale

L’articolo 35 del GDPR definisce l’obbligo in determinate circostanze di redigere un Data Protection Impact Assessment finalizzato a descrivere il trattamento, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati. I contenuti minimi prevedono: una descrizione sistematica dei trattamenti previsti e delle relative finalità; la valutazione della necessità e proporzionalità dei trattamenti; la valutazione dei rischi per i diritti e le libertà degli interessati; le misure previste per affrontare tali rischi.

La mancata o scorretta effettuazione di tale valutazione ove prevista comporta l’applicazione di sanzioni amministrative pecuniarie fino a 10 mln di euro o 2% del fatturato in caso di multinazionali.

Che cosa deve essere valutato

Innanzitutto è possibile utilizzare una unica Valutazione di impatto per valutare più trattamenti che presentino analogie in termini di natura, ambito, contesto, finalità e rischi, dato che lo scopo della DPIA è quello di fare una analisi sistematica di situazioni nuove che potrebbero comportare rischi elevati per i diritti e le libertà delle persone fisiche. Nel caso il trattamento fosse svolto in contitolarità, nella DPIA devono essere identificate le responsabilità di ciascuno per quanto attiene la valutazione dei rischi e la tutela dei diritti e delle libertà dell’interessato.

In particolare la DPIA è uno strumento utilissimo quando si tratta di valutare l’impatto di un nuovo dispositivo tecnologico, sia esso Hardware o Software, come possono essere tutti quelli collegati per esempio all’Internet Of Things.

Cosa si intende però con “rischi elevati per i diritti e le libertà delle persone fisiche”? Per poter rispondere in modo concreto a questa domanda bisogna far riferimento ai seguenti 9 criteri proposti dal gruppo di lavoro europeo:

1. Trattamenti valutativi di scoring: includono la profilazione e le attività predittive, in particolare quando si parla di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione e gli spostamenti dell’interessato. Si pensi per esempio agli screening fatti in ambito finanziario ricorrendo a DB di rischio creditizio; ai test genetici effettuati per predire eventuali patologie; alla creazione di profili comportamentali ai fini marketing, …
2. Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura: quali per esempio trattamenti che possano escludere l’interessato da determinati benefici (erogazione di un mutuo o di una copertura assicurativa) o la sua discriminazione.
3. Monitoraggio sistematico: trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o la sorveglianza sistematica di luoghi pubblici, situazioni nelle quali spesso l’interessato non si rende conto di essere soggetto a monitoraggio e facilmente non può sottrarvisi.
4. Dati sensibili o di natura estremamente personale: che possono riguardare ad esempio ospedali; investigatori privati; informazioni relative a vita familiare o privata; dati sull’ubicazione o gli spostamenti e via dicendo, tutte informazioni la cui violazione può comportare un grave impatto sulla vita quotidiana dell’interessato.
5. Trattamenti di dati su larga scala: definizione che abbiamo già affrontato nell’articolo dedicato al DPO e che in sintesi prende in considerazione il numero di soggetti interessati al trattamento, il volume dei dati trattati; la durata o persistenza dell’attività e l’ambito geografico dell’attività.
6. Combinazione o raffronto di insiemi di dati: per esempio derivanti da due o più trattamenti, svolti per diverse finalità e/o da titolari distinti, motivo per il quale probabilmente l’interessato non sa di essere oggetto del confronto.
7. Dati relativi a interessati vulnerabili: che portano con sè uno squilibrio fra interessato e titolare del trattamento e che includono ad esempio il trattamento di dati relativi a minori, dipendenti, categorie affette da patologie psichiatriche, e via dicendo.
8. Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative: questo perchè il ricorso ad una nuova tecnologia può generare forme innovative di raccolta e utilizzo dei dati cui può associarsi un rischio elevato per i diritti e le libertà dell’interessato.
9. Tutti quei trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o contratto: cosa che include tutti i trattamenti finalizzati a consentire, modificare o negare l’accesso degli interessati a un servizio o contratto.

Nella maggioranza dei casi se almeno due dei predetti criteri risultano applicabili allora è necessario procedere con la DPIA, anche se nulla esclude che in riferimento ad un particolare trattamento basti che sia applicabile un unico criterio o, viceversa, il trattamento non implica un rischio elevato per l’interessato e quindi non è necessario procedere anche in presenza di molteplici criteri. La DPIA è poi una valutazione dinamica, da mantenere costantemente aggiornata a intervalli regolari e che va fatta anche per tutti i trattamenti già in atto che rappresentano un elevato rischio per gli interessati e che non siano stati oggetto di verifica preliminare da parte del Garante.

Casi di esclusione

Vengono esplicitamente esclusi tutti quei trattamenti che:

• non comportano un rischio elevato per i diritti e le libertà dell’interessato
• sono assimilabili per natura, finalità e contesto ad altri trattamenti per cui sia già stata svolta una DPIA
• sono stati sottoposti a verifica del Garante prima del maggio 2018 e non hanno subito modifiche
• trovano base legale nel diritto della UE o dello stato membro
• sono ricompresi nell’elenco facoltativo che verrà redatto dal Garante nel corso del tempo

Come si svolge una DPIA

La valutazione di impatto è una attività che deve essere effettuata prima dell’avvio del trattamento e la cui responsabilità è in capo al Titolare, che dovrebbe consultarsi per la sua effettuazione con il Data Protection Officer e con gli eventuali responsabili esterni incaricati di determinati trattamenti. Per quanto riguarda la consultazione è poi fondamentale in azienda coinvolgere i responsabili dei Servizi Informativi il cui supporto è essenziale nella valutazione dei rischi. E’ inoltre previsto, “se del caso”, che il titolare raccolga le opinioni degli interessati, per esempio tramite questionari o sondaggi, valuti la loro opinioni e documenti le sue decisioni tenendo conto delle opinioni raccolte. Se questa consultazione non viene avviata il Titolare deve giustificarne il motivo.

Il processo di valutazione deve seguire i passaggi illustrati nel seguente schema:

Dando per assodato che si attendono chiare indicazioni sulla metodologia da seguire da parte del Garante auspicabilmente su base settoriale, in ogni caso il Titolare nel fare la sua Valutazione deve attenersi scrupolosamente ai criteri previsti nell’Allegato 2 delle linee guida. Se al termine della valutazione emerge un rischio residuale elevato, il Titolare è tenuto a consultare il Garante prima di procedere col trattamento.

Il documento finale è di esclusiva proprietà del Titolare che è tenuto a condividerlo col Garante in caso di richiesta e che può diventare un ottimo strumento per incrementare il rapporto di fiducia coi propri clienti se presentato loro in modo sintetico e semplificato, per esempio allegandolo a determinati contratti o inserendolo nelle informative.

In sintesi estrema…

Il titolare nei casi in cui il trattamento possa presentare rischi elevati per i diritti dell’interessato deve:

• scegliere una metodologia specifica per la valutazione di impatto che rispetti i criteri dell’allegato 2
• svolgere tale attività come parte integrante dei processi esistenti relativi alla progettazione, sviluppo, modifica delle proprie attività
• coinvolgere tutti i soggetti che hanno responsabilità nel trattamento (DPO, responsabili esterni, sistemi informativi, aree business, etc)
• fornire al Garante la relazione finale nei casi previsti
• consultare il Garante per individuare misure di sicurezza migliori o più efficaci
• riesaminare periodicamente la valutazione e documentare le decisioni assunte

Fonte: “Linee guida concernenti la Valutazione di impatto sulla protezione dei dati ” 17/EN WP248