Il Garante per la protezione dei dati personali ha recentemente pubblicato, con provvedimento n. 467 dell’11 ottobre 2018, l’elenco dei trattamenti saranno sottoposti al requisito della valutazione d’impatto.
La valutazione d’impatto altro non è che una specifica valutazione sulla rischiosità del trattamento effettuata considerando tutti gli elementi dello stesso e avendo riguardo anche alle possibili misure per “limitare” il rischio ad esso associato.
Ecco perché la DPIA si pone come successivo adempimento rispetto ad una preventiva e generalizzata valutazione dei rischi connessi ai trattamenti che il Titolare è tenuto ad effettuare ai sensi dei considerando 75, 76 e 77 del GDPR in termini di probabilità e gravità del rischio per i diritti e le libertà dell’interessato. Queste ultime dovrebbero essere valutate tenendo in considerazione l’origine, l’ambito di applicazione, il contesto e le finalità̀ del trattamento. Il rischio deve essere valutato attraverso considerazioni di carattere oggettivo e, rispetto ad esso, occorrerà individuare le migliori misure tecniche e organizzative per attenuarlo.
A seguito di una valutazione generalizzata dei rischi connessi ai trattamenti effettuati dal Titolare, andranno presi in considerazione, al fine di condurre la valutazione d’impatto di cui all’art. 35, quei trattamenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
È lo stesso GDPR a prevedere espressamente la necessità di effettuare la valutazione d’impatto quando il trattamento implichi:
- a) “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
- c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.
Il GDPR, inoltre, prevede, all’art. 35, paragrafo 10, anche i casi in cui, al contrario, la valutazione d’impatto non sia necessaria.
È il caso in cui il trattamento sia già stato disciplinato dal diritto dello Stato Membro oppure quando sia già stata effettuata una valutazione d’impatto relativa ad un trattamento sostanzialmente assimilabile a quello preso in considerazione, ovvero ancora, quando una valutazione sui rischi sia già stata effettuata nel contesto più generale di adozione/individuazione della base giuridica su cui il trattamento si fonda.
Per rendere il lavoro del Titolare meno complesso, già il WP29 aveva elaborato, con provvedimento del 4 aprile 2017, nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”, precisando che “il ricorrere di due o più dei predetti criteri è indice di un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e per il quale è, quindi, richiesta una valutazione d’impatto sulla protezione dei dati”.
Si tratta, in particolare, di quei trattamenti che comportino:
- una valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”;
- un processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone;
- un monitoraggio sistematico degli interessati;
- l’utilizzo di dati sensibili o dati aventi carattere altamente personale;
- un trattamento di dati su larga scala;
- la creazione di corrispondenze o combinazione di insiemi di dati;
- l’utilizzo di dati relativi a interessati vulnerabili;
- l’uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
- un trattamento che “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”.
In questo contesto, il Garante, al fine di dotare il Titolare di maggiori indicazioni e seguendo quanto prescritto dall’art. 35, par. 4, il quale prevede che “l’Autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo”, ha emanato un elenco dei trattamenti da sottoporre a DPIA.
Si tratta di un elenco già sottoposto al parere del Comitato Europeo per la protezione dei dati personali, che, tuttavia, non deve ritenersi esaustivo. Resta quindi, fermo, l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dal WP29. Il Garante precisa, inoltre, che in taluni casi “un titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno [dei predetti] criteri richieda una valutazione d’impatto sulla protezione dei dati”.
È, pertanto, consigliabile ritenere tale elenco non completo e soggetto, al contrario, a valutazione caso per caso.
Questo vale soprattutto “quando un tipo di trattamento prevede in particolare l’uso di nuove tecnologie”.
L’informatizzazione, se da un lato costituisce un rischio per gli interessati, è, comunque, un ottimo alleato per il Titolare.
Infatti, il processo di digitalizzazione consente certamente di alleggerire il compito del Titolare nella valutazione d’impatto.
Ed infatti, ciascun trattamento può essere valutato con riferimento alla sua rischiosità e, attraverso tale processo potrà essergli assegnato un certo punteggio numerico, sintesi di una matrice nella quale sono valutati congiuntamente l’impatto negativo (o danno) che un determinato evento potrebbe determinare con la sua probabilità di accadimento.
Mettendo a fattore tali elementi numerici con quelli assegnati alle misure che potrebbero attenuare i fattori di rischio, riusciamo ad assegnare al trattamento un certo valore numerico che può determinarci, in maniera oggettiva, la sua rischiosità.
La valutazione d’impatto svolta attraverso uno strumento digitale consente, peraltro, non solo di avere ben chiaro il trattamento nella sua complessità, ma, anche di collegarlo ad altri trattamenti con cui potrebbe avere delle affinità; in tale maniera potrebbe porsi l’opportunità di svolgere una DPIA congiunta per più trattamenti affini.
Inoltre, un report DPIA svolto con strumenti informatici risulterà chiaro e di facile interpretabilità, frutto dell’utilizzo di indicatori oggettivi.
Da ultimo, occorre ricordare che l’utilizzo di strumenti informatici consente al Titolare di aggiornare la valutazione d’impatto ogni qualvolta uno degli elementi del trattamento dovesse modificarsi.
Intervento di Michela BARBAROSSA, Avvocato, Privacy & Compliance Specialist Amissima Assicurazioni
Per i riferimenti normativi, consultare i seguenti link:
Garante Privacy, Provvedimento n. 467 dell’11 ottobre 2018
WP29, Provvedimento del 4 aprile 2017 come modificato e adottato il 4 ottobre 2017
Commissione Europea, Riforma 2018 delle norme UE sulla Protezione dei Dati (GDPR), sito
Article 29 Working Party, website