La valutazione di impatto o Data Protection Impact Assessment (DPIA)
La Valutazione di Impatto
la QUESTIONE
Cos'è una DPIA (Data Protection Impact Assessment o, in italiano, valutazione di impatto sulla protezione dei dati)? In quali casi è necessario eseguirne una?
La Valutazione di Impatto
Il considerando 84 del GDPR stabilisce che "Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio. L'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento [ndr. Principio di accountability]. Laddove la valutazione d'impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l'autorità di controllo."
Come noto, per i trattamenti di dati personali ad alto rischio, il Codice Privacy (D.Lgs. n. 196/2003) prevedeva la necessità di preventiva notifica del trattamento all'Autorità Garante. Tale obbligo è stato abolito dal GDPR. Ne dà atto espressamente il considerando 89 dello stesso, che recita come segue: "La direttiva 95/46/CE ha introdotto un obbligo generale di notificare alle autorità di controllo il trattamento dei dati personali. Mentre tale obbligo comporta oneri amministrativi e finanziari, non ha sempre contribuito a migliorare la protezione dei dati personali. È pertanto opportuno abolire tali obblighi generali e indiscriminati di notifica e sostituirli con meccanismi e procedure efficaci che si concentrino piuttosto su quei tipi di trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità. Tali tipi di trattamenti includono, in particolare, quelli che comportano l'utilizzo di nuove tecnologie o quelli che sono di nuovo tipo e in relazione ai quali il titolare del trattamento non ha ancora effettuato una valutazione d'impatto sulla protezione dei dati, o la valutazione d'impatto sulla protezione dei dati si riveli necessaria alla luce del tempo trascorso dal trattamento iniziale."
Il successivo considerando 90 specifica che sui trattamenti identificati dal considerando 89 come ad alto rischio, è importante che la DPIA venga eseguita prima di intraprendere il trattamento; è altresì necessario che la DPIA prenda in considerazione anche le misure implementate per mitigare il rischio inerente al trattamento.
Ma cosa si intende per rischio inerente? Il rischio inerente al trattamento è da intendersi come rischio di impatti negativi sui diritti e sulle liberta` degli interessati; tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione (artt.35-36) tenendo conto dei rischi noti o evidenziabili e delle misure tecniche ed organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.
La cosiddetta DPIA è disciplinata nel GDPR all'articolo 35, rubricato "Valutazione d'impatto sulla protezione dei dati", che dispone quanto segue: "1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.
La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o
la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
[omissis]".
Come fare a valutare se il trattamento che si intende intraprendere richiede una DPIA preventiva?
Come previsto dal medesimo art. 35 del GDPR, il Garante per la Protezione dei Dati Personali, con provvedimento n. 467 dell'11 ottobre 2018 (doc. web n. 9058979), ha stilato una lista – non esaustiva – dei trattamenti che sicuramente devono essere sottoposti a DPIA, che sono:
Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad "aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato";
Trattamenti automatizzati finalizzati ad assumere decisioni che producono "effetti giuridici" oppure che incidono "in modo analogo significativamente" sull'interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l'utilizzo di dati registrati in una centrale rischi);
Trattamenti che prevedono un utilizzo sistematico di dati per l'osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell'informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d'uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.;
Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull'esercizio di un diritto fondamentale (quali i dati sull'ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell'interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti);
Trattamenti effettuati nell'ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell'attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8);
Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
Trattamenti effettuati attraverso l'uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01;
Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l'incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment);
Trattamenti di categorie particolari di dati ai sensi dell'art. 9 oppure di dati relativi a condanne penali e a reati di cui all'art. 10 interconnessi con altri dati personali raccolti per finalità diverse;
Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell'attività di trattamento;
Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell'attività di trattamento.
Come anticipato, questo elenco, lungi dall'essere esaustivo, intende solo fugare ogni dubbio circa i trattamenti ivi presenti in merito alla necessità o meno di svolgere DPIA. Ciò non toglie che la DPIA possa risultare obbligatoria anche per ulteriori tipi di trattamenti, aventi i requisiti esplicitati dall'art. 35 del GDPR, nonché dalle Linee Guida del WP29 adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017.
Per poter identificare eventuali ulteriori trattamenti soggetti all'obbligo di DPIA preventiva, è necessario condurre un risk assessment, da rinominato "pre-DPIA", per valutare se il rischio per i diritti e le libertà degli interessati, inerente al trattamento, può qualificarsi come alto.
Tuttavia, è sempre possibile per titolari e responsabili del trattamento svolgere valutazioni di impatto anche su trattamenti per i quali non sarebbe obbligatorio, i.e. per i trattamenti che non presentino un alto rischio per i diritti e le libertà degli interessati.
Contenuto della DPIA
La valutazione di impatto deve avere il seguente contenuto minimo (art. 35, comma 7, del GDPR):
una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;
una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
È importante tener presente che, come ha chiaramente ricordato il Garante, la DPIA non deve valutare esclusivamente i rischi per la sicurezza dei dati (ovvero il rischi atti a minare la riservatezza, la disponibilità e l'integrità dei dati), ma deve prendere in considerazione, tanto i suddetti aspetti legati alla sicurezza, quanto gli effetti complessivi che il trattamento può avere sui diritti e le libertà degli interessati, quali, ad esempio, perdite monetarie, danni reputazionali, furto di identità, perdita di occasioni, ecc..
Per completezza, si segnala che il CNIL, l'autorità di controllo francese, ha realizzato e reso disponibile a chiunque sul proprio sito un tool per lo svolgimento delle DPIA in modo guidato, in qualsiasi lingua ufficiale dell'Unione Europea. Lo strumento è nato per supportare le piccole e medie imprese nello svolgimento di questo adempimento, ma si è rapidamente affermato quale principale strumento per lo svolgimento di quest'analisi anche presso realtà strutturate e professionisti esperti.
Il tool è scaricabile al seguente link: https://www.cnil.fr/en/privacy-impact-assessment-pia
Rischio residuo e consultazione preventiva del Garante
Qualora al termine della valutazione di impatto, nonostante le misure di mitigazione in essere o in corso di adozione, il rischio residuo per i diritti e le libertà degli interessati risulti ancora alto, sarà necessario procedere a consultazione preventiva del Garante Privacy.
Il Garante emette il proprio parere entro otto settimane dalla richiesta di consultazione, termine prorogabile di ulteriori sei settimane, in ragione della complessità del trattamento previsto. Qualora il Garante si avvalga della proroga, ne dà comunicazione al titolare e, ove applicabile, al responsabile del trattamento ne sono informati, esplicitando i motivi del ritardo. Tali periodi possono essere sospesi, qualora il Garante sia in attesa di ulteriori informazioni eventualmente richieste ai fini della consultazione e fino all'ottenimento delle stesse.
Qualora il Garante concluda che il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, ne darà comunicazione al titolare, mediante apposito parere.
Sintesi del processo
Si riporta qui di seguito uno schema, pubblicato dal Garante Privacy, per riassumere il processo di valutazione di impatto:
Le esimenti
Si è detto più volte che la valutazione d'impatto deve essere preventiva, deve essere svolta prima di iniziare il trattamento in questione; pertanto, qualora il titolare intraprenda il trattamento e solo successivamente proceda a valutarne l'impatto per i diritti e le libertà degli interessanti mediante una DPIA, lo stesso sarà passibile di sanzione da parte dell'Autorità Garante.
Tuttavia, come noto, secondo l'orientamento costante della giurisprudenza, le sanzioni irrogate dal Garante Privacy hanno natura di sanzione amministrativa e, come tali, possono quindi godere si alcune esimenti, in virtù dell'art. 4 della legge n. 689/1981 ().
Ebbene, l'art. 4 "Cause di esclusione della responsabilità", comma 1, della legge n. 689/1981 prevede che "Non risponde delle violazioni amministrative chi ha commesso il fatto nell'adempimento di un dovere o nell'esercizio di una facoltà legittima ovvero in stato di necessità o di legittima difesa."
Pertanto, al ricorrere delle sopra elencate esimenti, il titolare potrà scongiurare l'irrogazione di una sanzione, per aver tardivamente svolto l'obbligatoria DPIA.
