Il nuovo Regolamento europeo sulla privacy (Reg. UE 2016/679 – “GDPR”) prevede l’obbligo di svolgere, al ricorrere di determinate condizioni, una valutazione di impatto sulla protezione dei dati personali (Data Protection Impact Assessment o DPIA).
La DPIA è finalizzata ad analizzare un determinato trattamento di dati personali per valutarne i rischi, con l’obiettivo di adottare adeguate e coerenti misure, sia di natura organizzativa che tecnica.
- Cos’è la Valutazione di impatto
La DPIA deve avere ad oggetto i rischi rivenienti dalle attività di trattamento dei dati personali che possono causare impatti negativi sui diritti e le libertà delle persone fisiche. A titolo esemplificativo, una errata impostazione del trasferimento telematico dei dati personali della clientela da un titolare ad un altro può comportare la diffusione non autorizzata dei dati stessi.
Nel condurre la valutazione di impatto occorre tuttavia considerare anche la presenza di specifiche condizioni suscettibili di incrementare il rischio del trattamento. L’impiego di tecnologie innovative quali il cloud computing, ad esempio, non è un evento di rischio in sé, ma può incrementare le probabilità di un tale evento, come la diffusione dei dati.
- Le indicazioni del Garante privacy
Secondo quanto previsto dal GDPR, il Garante per la privacy ha predisposto un elenco delle tipologie di trattamento – in corso di pubblicazione nella Gazzetta ufficiale – che dovranno essere sottoposte a valutazione di impatto.
Tali tipologie di trattamento – riportate qui in forma sintetica – sono le seguenti:
- valutazione o profilazione degli interessati riguardante specifici aspetti, tra i quali: rendimento professionale, situazione economica, stato di salute;
- decisioni automatizzate che incidono in misura significativa sull’interessato impedendo di esercitare un diritto o di avvalersi di un servizio (es. verifiche automatizzate per la concessione di un finanziamento);
- monitoraggio sistematico degli interessati tramite raccolta di dati relativi alla fruizione di servizi basati su rete telematica (es. monitoraggio della fruizione dei servizi di una piattaforma TV interattiva a fini commerciali o anti-frode);
- trattamenti su larga scala di dati aventi carattere estremamente personale (es. corrispondenza e-mail, ubicazione e spostamenti, dati finanziari), nonché scambio di dati personali tra diversi titolari effettuato su larga scala e con modalità telematiche;
- attività di monitoraggio tramite sistemi tecnologici dalla quale derivi la possibilità di effettuare un controllo dell’attività dei dipendenti (es. utilizzo di sistemi di videosorveglianza, geolocalizzazione di dotazioni aziendali);
- trattamenti non occasionali di dati relativi a soggetti vulnerabili (es. minori, anziani, pazienti);
- raffronto di dati personali raccolti per finalità diverse (es. raffronto dei dati di fruizione di servizi digitali con i dati relativi al pagamento);
- trattamenti di categorie particolari di dati (es. appartenenza sindacale, stato di salute) oppure di dati relativi a condanne penali e a reati, nonché trattamenti sistematici di dati biometrici o genetici (es. sistemi di accesso con impronta digitale);
- utilizzo di tecnologie innovative per il trattamento di dati personali (es. assistenti vocali, smartwatch), in particolare al ricorrere di tipologie di trattamento che possono comportare impatti negativi sui diritti e le libertà delle persone fisiche.
L’elenco completo delle tipologie di trattamento da sottoporre a DPIA è contenuto nel provvedimento del Garante per la privacy all’indirizzo https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9058979
- Adozione delle indicazioni del Garante privacy
L’elenco di tipologie di trattamento predisposto dal Garante per la privacy non è da considerarsi esaustivo e potrà essere oggetto di integrazione in futuro.
E’ possibile dunque che vi siano ulteriori trattamenti per i quali sia richiesta la conduzione di una valutazione di impatto, pur non rientrando questi nelle tipologie anzidette.
Al fine di identificare tali trattamenti, lo stesso provvedimento del Garante richiama due principali riferimenti:
- le Linee guida in materia di valutazione d’impatto sulla protezione dei dati emanate dal Gruppo di Lavoro Articolo 29, nell’ambito delle quali sono definiti una serie di criteri per l’individuazione dei trattamenti da sottoporre a DPIA (il documento è disponibile all’indirizzo http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236);
- le più generali previsioni del GDPR – di cui all’art. 35 comma 1 – che stabilisce l’obbligo di effettuare, prima dell’inizio del trattamento, una valutazione dell’impatto laddove quest’ultimo possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, “allorché preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità […]”.
- Come provvedere alla DPIA
L’obbligo di condurre la valutazione di impatto decorre dal 25 maggio scorso. La DPIA deve essere svolta sia per i nuovi trattamenti, sia per quelli che possono presentare un rischio elevato a seguito di variazioni intervenute nelle caratteristiche e modalità.
La normativa fornisce alcune indicazioni di carattere generale in merito ai criteri e alle metodologie da impiegare per la valutazione dei rischi e delle relative misure da implementare, tra le quali quelle citate in precedenza.
Al fine di dare informazioni utili all’impostazione e svolgimento della DPIA, MACFIN Group in collaborazione con lo studio legale CMS ha realizzato un Paper contenente la descrizione degli obiettivi e delle caratteristiche della DPIA, dei criteri di individuazione dei rischi da valutare e delle tempistiche di effettuazione, che è possibile scaricare gratuitamente tramite questo link: https://mailchi.mp/58b2a0207af9/dpia?utm_source=key4biz&utm_medium=referral&utm_campaign=dpia