Privacy
06/12/2018

Provvedimento del Garante privacy sui trattamenti soggetti ad una valutazione di impatto

di Dott. Donato Varani, Partner, Avv. Bianca Mascagni, Associate, Annunziata&Conso

Nella Gazzetta Ufficiale del 19 novembre 2018 è stata pubblicata la Delibera del Garante per la protezione dei dati personali dell’11 ottobre 2018 n. 467 (la “Delibera”). In tale provvedimento il Garante ha provveduto a definire l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati, ai sensi dell’articolo 35, comma 4, del Regolamento (UE) n. 2016/679 (“GDPR”) (cfr. contenuti correlati).

1. Valutazione di impatto nell’ambito dell’art. 35 del GDPR

La valutazione di impatto, (o “Data Protection Impact Assessment” e, sinteticamente, “DPIA”), è una procedura che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità, nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.

L’art. 35, comma 1, del GDPR stabilisce l’obbligo per il titolare di effettuare, prima dell’inizio del trattamento, una valutazione dell’impatto del trattamento medesimo, laddove quest’ultimo possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La locuzione “suscettibile di causare un rischio elevato” resta indeterminata in quanto non trova una dettagliata definizione all’interno del testo del GDPR.

Allo scopo di fornire un orientamento almeno rispetto alla fonte del rischio, il predetto paragrafo dell’art. 35 fa esplicito riferimento all’utilizzo di nuove tecnologie; tale riferimento trova origine dalla constatazione che spesso, quando si parla di tecnologie innovative, la portata di rischio in ordine alla sicurezza dei dati si può conoscere solo dopo qualche tempo. Inoltre, dal testo del successivo paragrafo 3 del medesimo articolo, nel quale sono individuati alcuni specifici trattamenti per i quali la DPIA è sempre richiesta, si desume che i rischi a cui si fa riferimento e che necessitano di una valutazione, devono essere insiti ai trattamenti effettuati; la DPIA è pertanto associata a trattamenti per loro natura suscettibili di causare un rischio elevato.

2. Le “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del GDPR” del Gruppo di lavoro ex art. 29 per la protezione dei dati del 4 ottobre 2017

Al fine di dare concretezza all’obbligo di effettuare una DPIA e di guidare il titolare del trattamento nella corretta decisione in ordine alla necessità di realizzarla rispetto al trattamento che ha intenzione di porre in essere, il Gruppo di lavoro ex art. 29 ha redatto “Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del GDPR” (le “Linee Guida”) nelle quali sono stati individuati nove criteri che costituiscono degli indici rilevanti sulla base dei quali definire se un trattamento presenti un “rischio elevato” e di conseguenza necessiti di valutazione di impatto[1].

La presenza di uno degli indici individuati dal Gruppo di lavoro ex art. 29 non comporta automaticamente la necessità di procedere alla valutazione di impatto; ciò nonostante, più indici sono riscontrabili tra le caratteristiche di un trattamento, maggiore attenzione dovrà prestare il titolare nella propria decisione di effettuare una DPIA. Nelle Linee Guida, il Gruppo di lavoro ex art. 29 specifica altresì che in caso di dubbio, risulta opportuno effettuare la valutazione di impatto piuttosto che ometterla, considerato che la stessa contribuisce alla prova dell’osservanza delle previsioni delle norme in materia di protezione dei dati personali da parte del titolare.

3. Il Provvedimento del Garante privacy

Al fine di chiarire quanto previsto dal GDPR e dal Gruppo di lavoro ex art. 29, tenuto conto degli indici definiti nelle Linee Guida, il Garante privacy ha ritenuto di individuare un elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto. Sinteticamente, l’elenco, incluso nell’Allegato alla Delibera, prevede le seguenti ipotesi:

1) Trattamenti valutativi o di scoring effettuati su larga scala, profilazione, attività predittive;

2) Trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici oppure tali da incidere in modo significativo sull’interessato (e.g. lo screening effettuato sui clienti di una banca attraverso l’utilizzo dei dati registrati in una centrale rischi);

3) Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati online o con app, il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione, e i trattamenti di metadati (e.g. in ambito telecomunicazioni, banche) effettuati anche per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam e sicurezza;

4) Trattamenti su larga scala di dati aventi carattere estremamente personale (come definiti nelle Linee Guida), compreso dati connessi alla vita familiare o privata, o che incidono sull’esercizio di un diritto fondamentale oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato;

5) Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (e.g. sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;

6) Trattamenti non occasionali di dati relativi a soggetti vulnerabili (e.g. minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);

7) Trattamenti effettuati attraverso l’uso di tecnologie innovative, (e.g. sistemi di intelligenza artificiale; utilizzo di assistenti vocali online attraverso lo scanning vocale e testuale), ogniqualvolta ricorra anche almeno un altro dei criteri individuati nelle Linee Guida;

8) Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;

9) Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (e.g. pagamenti effettuati tramite tecnologia mobile);

10) Trattamenti di categorie particolari di dati ai sensi dell’art. 9 del GDPR, oppure di dati relativi a condanne penali e a reati di cui all’art. 10 del GDPR, interconnessi con altri dati personali raccolti per finalità diverse;

11) Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;

12) Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

4. Conclusioni

Nonostante l’elenco di tipologie di trattamento predisposto dal Garante privacy non debba considerarsi esaustivo, e potrà eventualmente essere oggetto di integrazione in futuro andando ad individuare ulteriori trattamenti per i quali possa essere richiesta la conduzione di una valutazione di impatto, la Delibera ha certamente contribuito a chiarire la situazione e a fornire ulteriori chiarimenti agli operatori di mercato in merito ad un istituto di nuova introduzione di particolare importanza.

Ricordiamo, infatti, che la DPIA si inserisce nello specifico contesto giuridico del GDPR, nel quale si distinguono il principio dell’approccio fondato sui rischi e il principio di responsabilizzazione (o accountability). In tale contesto, la DPIA insieme ad altri elementi (e.g. il registro delle attività di trattamento) costituisce uno strumento significativo e concreto per garantire e fornire la prova da parte del titolare, della conformità dei trattamenti svolti al GDPR.

 


[1] I nove criteri individuati dal Gruppo d lavoro ex art. 29 per valutare se un trattamento presenti un rischio elevato sono:

1) valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”;

2) processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone;

3) monitoraggio sistematico degli interessati;

4) dati sensibili o dati aventi carattere altamente personale;

5) trattamento di dati su larga scala;

6) creazione di corrispondenze o combinazione di insiemi di dati;

7) dati relativi a interessati vulnerabili;

8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;

9) quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”.

Comments

Inserisci un nuovo commento

CAPTCHA
Questo passaggio serve per prevenire azioni di spam.