La DPIA è uno strumento fondamentale per l’adeguamento alla normativa sulla privacy e per garantire la sicurezza nella protezione dei dati. La procedura può risultare complessa, diverse sono le necessità a seconda degli ambiti produttivi di riferimento.
Cerchiamo di fare chiarezza sull’obbligatorietà di questa pratica e su quali soggetti debbano essere coinvolti.
Indice degli argomenti
Il contesto normativo
Come proclamato unanimemente in Europa e oltreoceano, la base fondante della vigente normativa europea per la protezione e la sicurezza dei dati personali stabilita dal Regolamento UE n. 2016/679 (General Data Protection Regulation – GDPR) è l’accountability, ovvero la responsabilizzazione.
Il concetto di accountability permea l’intero GDPR riecheggiando in ogni suo articolo: dall’art. 5 (Principi applicabili al trattamento dei dati personali) – dove al paragrafo 2 si ribadisce come “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)” -, passando per l’art. 7 (Condizioni per il consenso) – il paragrafo 1 stabilisce che laddove il trattamento sia basato sul consenso, “il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali” – e l’art. 24, paragrafo 1 (Responsabilità del titolare del trattamento) – “il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” – fino all’art. 33 che in merito all’obbligo di notificare il data breach all’autorità di controllo entro il termine di 72 ore dal momento in cui il titolare ne è venuto a conoscenza – obbligo che peraltro viene meno qualora il titolare del trattamento sia “in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche” (Considerando (85) del Regolamento UE n. 2016/679) – prevede anche che il titolare del trattamento debba documentare qualsiasi violazione dei dati personali (paragrafo 5 dell’art. 33).
L’accountability, ovvero la responsabilizzazione, assume forma ed espressione anche, e soprattutto, attraverso una serie di novità introdotte dal GDPR, quali il registro dei trattamenti (art. 30), la scelta scrupolosa da parte del titolare del trattamento di chi assumerà il ruolo di Responsabile da formalizzare attraverso un contratto o altro atto scritto di nomina con precise istruzioni (art. 28) nonché la Valutazione d’Impatto sulla protezione dei dati (art. 35).
La valutazione d’impatto
Ebbene, proprio in merito a quest’ultima novità, nota con l’acronimo “DPIA” (Data Protection Impact Assessment), è opportuno dedicare lo spazio necessario per comprenderne il significato e il contenuto. Il Titolo VI (“Adempimenti”) del D.lgs. n. 196/2003 (il Codice privacy italiano) – abrogato il 19 settembre 2018 con l’entrata in vigore del D.lgs. n. 101/2018 che ha adeguato il Codice privacy italiano al GDPR – prevedeva in capo al Titolare del trattamento l’obbligo di notificare al Garante privacy il trattamento di dati personali ogni qualvolta il trattamento avesse riguardato:
- dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
- dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
- dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
- dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
- dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
- dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
Dunque, prima del GDPR, il titolare del trattamento agiva nel rispetto della normativa sulla tutela dei dati personali trasmettendo al Garante la richiesta di autorizzazione ad iniziare una serie di trattamenti di dati cd. sensibili e/o di dati personali archiviati e trattati ricorrendo a particolari banche dati e strumenti innovativi sotto il profilo delle nuove tecnologie.
Nell’era ante GDPR, non c’era un’assunzione di responsabilità in prima persona del titolare del trattamento, ma la “fatidica” decisione sulla possibilità di intraprendere trattamenti di dati personali potenzialmente rischiosi, frutto di uno studio e di una serie di valutazioni sulla loro pericolosità per la sicurezza del dato e per i diritti e le libertà dell’interessato, era rimessa al Garante privacy.
Il titolare, una volta ricevuta l’autorizzazione, non percepiva di aver assunto una diretta responsabilità relativa alla valutazione e successiva attuazione del trattamento, perché questo era a monte stato autorizzato da un altro soggetto, il Garante.
L’avvento del Regolamento UE n. 2016/679, con l’art. 35, ha definitivamente incastonato nel quadro normativo europeo lo strumento della valutazione d’impatto sul trattamento dei dati personali, che dona forma concreta all’accountability.
Dal 25 maggio 2018, infatti, il Titolare del trattamento deve in prima persona compiere – in una serie di ipotesi suscettibili di future integrazioni – una serie di riflessioni, approfondimenti e valutazioni che dovranno fondare la sua decisione finale circa la fattibilità, con quali modalità e strumenti, o la non possibilità di avviare determinati trattamenti di dati oppure di utilizzare determinate tecnologie.
Viene meno il “filtro”, il placet dell’autorizzazione del (terzo) Garante che, ove concessa, poteva indurre il titolare a una sorta di deresponsabilizzazione[1]. Da poco più di un anno il titolare assume fin da subito la responsabilità delle proprie scelte, valutazioni e decisioni che confluiscono nella realizzazione di trattamenti di dati personali e solo lui, ed eventualmente il o i responsabili del trattamento, ne risponderà in prima persona.
Si sposta il focus decisionale e si passa dalla previa autorizzazione del Garante a un immediato coinvolgimento a 360 gradi del Titolare del trattamento, proprio nel solco della responsabilizzazione.
Quando e come procedere alla DPIA
Secondo il legislatore comunitario, in linea generale, il titolare “prima di procedere al trattamento” deve svolgere una valutazione dell’impatto che i trattamenti dei dati personali potrebbero avere sulla protezione dei medesimi dati qualora “un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35, par. 1 GDPR).
La norma prosegue specificando:
- i casi in cui la valutazione d’impatto è obbligatoria (par. 3) e, in ogni caso,
- rimette alle autorità di controllo il compito di redigere e rendere pubblico un elenco delle tipologie dei trattamenti per i quali la DPIA divenga un requisito preliminare imprescindibile per l’avvio del trattamento stesso.
Ebbene, è evidente che con tali premesse il titolare del trattamento, in prima persona e in autonomia oppure con il supporto del responsabile della protezione dei dati (DPO) eventualmente designato, a monte, prima ancora della valutazione sull’impatto che potrebbero avere i trattamenti insiti nell’attuazione di un progetto, di un’attività istituzionale o economica, sui dati coinvolti, debba svolgere una vera e propria prevalutazione d’impatto[2].
Infatti, deve inizialmente porre in essere una sommaria raccolta di informazioni su tipologia dei dati personali e sulla categoria degli interessati coinvolti nonché su caratteristiche, strumenti, durata, modalità e misure organizzative che coinvolgeranno e caratterizzeranno i trattamenti per poter (pre)valutare se la (le) sua (sue) attività ricadano nell’ambito delle fattispecie per le quali è obbligatorio procedere ai sensi dell’art. 35, parag. 1, 3 e 7 del GDPR.
Il titolare del trattamento deve pertanto fare un’analisi preliminare per comprendere se il o i trattamenti di dati personali che si accinge a porre in essere consistano in:
- una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, tra cui la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
- un trattamento su larga scala di categorie particolari di dati personali (art. 9 par. 1 GDPR) o di dati relativi a condanne penali e a reati (art. 10 GDPR);
- nella sorveglianza sistematica su larga scala di una zona accessibile al pubblico e rientrino conseguentemente nel novero di quei trattamenti che non possono avere inizio se non alla stregua dell’esito della valutazione d’impatto di cui all’art. 35 del Regolamento UE n. 2016/679.
Come articolare la valutazione d’impatto
Appurata la sussistenza di tale condizione preliminare, si dovrà procedere alla valutazione d’impatto che il titolare del trattamento dovrà articolare seguendo un contenuto minimo composto da:
- discrezione “sistematica” dei trattamenti che dovrà svolgere e delle relative finalità tra cui, ove ricorra, anche l’indicazione del cd. legittimo interesse di cui alla lett. f) del par. 1 dell’art. 6 del GDPR;
- analisi del rispetto o meno da parte delle sue attività dei principi di finalità, minimizzazione e proporzionalità del trattamento di cui all’art. 5 del GDPR;
- valutazione dei rischi ai quali i diritti e libertà degli interessati (sia in materia di privacy, sia intesi come libertà di espressione e di pensiero, libertà di movimento, libertà di coscienza e religione e il diritto a non subire discriminazioni di alcuna sorta) sono esposti attraverso i trattamenti dei dati personali che effettuerà;
- susseguente individuazione delle misure tecniche, organizzative e di sicurezza presenti e/o da implementare o adottare per gestire i rischi di cui al precedente periodo e per garantire la protezione dei dati personali al fine di poter dimostrare una condotta responsabilizzata, ovvero tracciabile e conforme al Regolamento, che non leda i diritti e gli interessi degli interessati e di eventuali altri soggetti indirettamente coinvolti.
Per agevolare la realizzazione di una DPIA efficiente è indubbiamente utile dotarsi di protocollo interno avente ad oggetto la schematizzazione del funzionamento delle aree di trattamenti suddivise sulla base della natura dei dati trattati, delle finalità, categorie dei soggetti interessati dai trattamenti nonché delle soluzioni tecniche (nuove tecnologie, sistemi di monitoraggio, software, personal computer, notebook, tablet, smartphone, telefoni ecc.) ed organizzative (struttura fisica degli uffici, schedari, assegnazione di dispositivi ai dipendenti, gestione della chiusura – chiavi, serrature, pass – distribuzione di ruoli tra il personale interno).
È poi altresì utile affiancare al protocollo una checklist di verifica preliminare in funzione della quale individuare la “misurazione” del rischio derivante dall’impatto dei trattamenti sui dati e, successivamente, messa a punto la procedura dei trattamenti affinché sia rispondente e argini il livello d’impatto valutato, predisporre una nuova checklist di verifica periodica.
Il caso della videosorveglianza
Per meglio coadiuvare il Titolare del trattamento in questo nuovo obbligo, sinonimo di un operare secondo accountability, il dato normativo dell’art. 35 è stato necessariamente integrato e completato dai Considerando del Regolamento (in particolare i Considerando nn. 84, 89, 90, 91, 92, 94), dalle Linee Guida del Gruppo di Lavoro sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali (ovvero del Gruppo di Lavoro “Articolo 29” – WP29) nonché dall’intervento delle autorità di controllo di cui al paragrafo 4 dell’art. 35 del GDPR.
In particolare, le Linee Guida WP29, adottate il 4 aprile 2017, hanno precisato che una DPIA può essere rivolta ad un singolo trattamento oppure può avere ad oggetto più trattamenti che siano tra loro analoghi sotto il profilo della natura del contesto, finalità e rischi.
Caso pratico tra i più diffusi è quello dei sistemi di videosorveglianza: se più soggetti diversi (quindi distinti titolari del trattamento) devono utilizzare un sistema di videosorveglianza dal livello tecnologico e strutturale analogo per raccogliere e trattare la stessa tipologia di dati per le medesime finalità oppure un titolare del trattamento debba adottare un sistema di videosorveglianza da installare in luoghi diversi, si può procedere ad una sola valutazione sull’impatto dei trattamenti effettuati attraverso questo sistema di videosorveglianza.
Nel primo caso si tratterà di una DPIA condivisa tra i diversi titolari[3] e nel secondo caso sarà applicata nell’organizzazione e gestione dei trattamenti nei vari contesti territoriali coinvolti dalle attività dell’unico titolare.
L’utilità della DPIA
La DPIA è inoltre uno strumento particolarmente utile per i titolari del trattamento che, ad esempio, stanno elaborando con un proprio ufficio tecnico, oppure stanno per acquistare da un terzo produttore, una licenza d’uso per nuovi dispositivi tecnologici (licenze software, banche dati, hardware).
Si pensi al titolare che eroga servizi di formazione on line, cosiddetto e-learning, che debba decidere se e a quali condizioni concludere un accordo commerciale con un produttore di sistemi di riconoscimento biometrico che possano implementare la piattaforma dei servizi in questione.
In tal caso, prima di sottoscrivere un contratto e avviare l’utilizzo di una tecnologia che implica la raccolta e il trattamento del dato biometrico, il titolare dovrà fare una DPIA per inquadrare allo stato attuale il livello di rischio al quale sarebbero esposti i dati personali coinvolti nei trattamenti oggetto del servizio di formazione e-learning[4] e, una volta definito il rischio, dovrà organizzarsi – e in questa fase ovviamente rientra anche la predisposizione del contratto con il fornitore della nuova tecnologia (previsioni di obblighi, penali, istruzioni ecc.) – per assumere la decisione finale: essere nelle condizioni di poter assumere responsabilmente trattamenti che si svolgano con la nuova tecnologia potendone contenere e gestire i rischi, oppure non intraprendere, per il momento, queste nuove forme di trattamento dei dati a causa di un esito della DPIA che attualmente fotografa una situazione non ottimale per un trattamento sicuro o quanto meno responsabile secondo accountability, fermo restando che in tale ultima ipotesi il titolare potrà coinvolgere l’autorità di controllo invocandone l’esercizio dei poteri di consultazione preventiva, come stabilito dall’art. 36 del Regolamento UE n. 2016/679.
Dunque, come già aveva avuto modo di chiarire il WP29 nel parere n. 04/2013 adottato in merito al modello di DPIA elaborato dalla task force nominata dalla Commissione europea per l’introduzione dei sistemi di misuratori intelligenti nei mercati dell’energia elettrica e del gas[5], la valutazione d’impatto deve descrivere il trattamento previsto, individuarne i rischi per i dati e per i diritti e le libertà degli interessarti, focalizzandosi sulla persona interessata, ma in ogni caso deve avere quale obiettivo ultimo del procedimento di analisi del rischio, l’individuazione dei controlli, delle misure che riducano entro limiti ragionevoli e tollerabili l’impatto negativo per i diritti e le libertà degli interessati.
Ed è proprio questo obiettivo ultimo ad essere di vitale importanza affinché la DPIA risponda alla sua funzione e sia completa ed esaustiva.
Quando è obbligatoria la DPIA
Venendo alle ipotesi in cui il Titolare del trattamento è tenuto a svolgere la valutazione d’impatto sui dati personali, l’intervento del WP29 – che ha individuato nove criteri fondanti il riconoscimento e la qualifica di un trattamento di dati personali “a rischio elevato” e, dunque, desumere l’obbligatorietà della DPIA – ha poi permesso la tempestiva adozione da parte dell’Autorità di controllo italiana, e ovviamente delle Autorità degli altri Stati membri, del provvedimento n. 467 contenente l’elenco delle tipologie dei trattamenti, soggetti al meccanismo di coerenza, che devono necessariamente essere oggetto di valutazione d’impatto[6].
Il Garante privacy, partendo dalle Linee guida del WP29 – secondo cui il ricorrere di almeno due dei nove criteri è indice di un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e per il quale è quindi richiesta una valutazione d’impatto sulla protezione dei dati – ritiene che debbano essere obbligatoriamente sottoposti a DPIA i trattamenti:
- valutativi o di scoring su larga scala[7], nonché trattamenti che comportano la profilazione[8] degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato” [9];
- automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi);
- che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza ecc.;
- su larga scala di dati aventi carattere estremamente personale, ovvero dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti);
- effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si pensi all’utilizzo di dispositivi che geolocalizzano il dipendente per distribuire delle consegne);
- non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
- effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il Wi-Fi tracking) ogniqualvolta ricorra anche almeno un altro dei nove criteri individuati dal WP29 nel provvedimento n. 248/2017;
- che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
- di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment);
- di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse;
- sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento,
- sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento[10].
Sul punto, il Comitato europeo per la protezione dei dati[11] ha ribadito come tali elenchi, adottati dagli Stati membri, siano uno strumento rilevante per l’applicazione coerente del GDPR, ferma restando la facoltà per ogni titolare del trattamento di (pre)valutare e decidere, in forza della propria struttura, delle circostanze e caratteristiche oggettive della fattispecie concreta in cui opera, se una valutazione d’impatto sia necessaria prima di avviare l’attività di trattamento[12].
Settore sanitario e attività a fini statistici
A poco meno di un anno dalla diretta applicabilità del GDPR, la Relazione annuale 2018 presentata dall’Autorità di controllo italiana il 7 maggio 2019 ha reso un ulteriore contributo sulle ipotesi in cui è necessario porre in essere una DPIA. Sicuramente, rileva tra le novità introdotte con il D.lgs. n. 101/2018 per l’adeguamento del D.lgs. n. 196/2003 al GDPR, la previsione dell’applicazione della sanzione amministrativa pecuniaria di cui all’art. 83, par. 4 del GDPR (ovvero quella appartenente allo scaglione di 10 milioni di euro, o per le imprese, del 2% del fatturato mondiale totale annuo dell’esercizio precedente) nei confronti di colui che trattando dati relativi alla salute, alla ricerca scientifica in campo medico, biometrico, epidemiologico non abbia svolto la valutazione d’impatto come stabilito dall’art. 110, comma 1 del Codice Privacy o non abbia sottoposto il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del medesimo comma 1, dell’art. 110 (così il novellato art. 166 del D.lgs. n. 196/2003).
Sempre nel settore sanitario, il Garante privacy ha ribadito come il Titolare del trattamento debba porre in essere la DPIA, ad esempio proprio con riferimento a case di cura o associazioni che intendevano adottare sistemi integrati di monitoraggio (mediante timbratura badge) e di videosorveglianza di pazienti (soggetti affetti da condizioni di disabilità o particolari patologie di salute) [13].
Un altro settore attenzionato dalla necessità di procedere alla valutazione d’impatto è stato quello delle attività per fini statistici che contemplino il trattamento dei dati di soggetti minori di età: in tale contesto il Garante ha invitato il titolare a “valutare con estrema attenzione, anche nell’ambito di una specifica valutazione d’impatto effettuata ai sensi dell’art. 35 del RGPD, l’opportunità di trattare dati personali riferiti a tale particolare categoria vulnerabile di interessati e ad adottare appropriate garanzie (ad esempio, innalzando l’età per la quale la raccolta dei dati viene effettuata tramite proxy e rendendo anonimi i dati al termine del trattamento statistico per il quale sono stati raccolti)”[14]. La valutazione d’impatto è stata incentivata anche nelle attività di studio per fini statistici realizzati mediante i cd. big data.
Sul punto, con riferimento alle sperimentazioni che prevedono l’utilizzo di fonti di telefonia mobile, il Garante ha precisato che l’impiego di queste informazioni comporta specifici rischi per la riservatezza e la protezione dei dati personali degli interessati, in quanto con le nuove tecnologie e le nuove tecniche di analisi che permettono l’elaborazione e l’interconnessione dei dati, diviene sempre più frequente la re-identificazione di un interessato (cd. single-out) anche attraverso informazioni apparentemente anonime[15]. Da ultimo, si segnala che il Comitato europeo per la protezione dei dati sta portando avanti un importante lavoro in materia di intelligenza artificiale proprio evidenziando il ruolo centrale della valutazione d’impatto preventiva in tale settore[16].
Gli attori della valutazione d’impatto
Come emerge chiaramente dal testo normativo nonché dalle successive Linee guida e dai provvedimenti adottati in questi mesi da alcuni enti, la valutazione d’impatto ha un solo attore protagonista: deve essere condotta, e dunque sottoscritta, dal soggetto titolare del trattamento dei dati.
Dunque, l’autore della DPIA sarà la società privata in persona del legale rappresentante pro tempore, il Ministero in persona del Ministro pro tempore, la fondazione in persona del Presidente, e così a seguire, e ne sarà responsabile unicamente il titolare del trattamento.
Tuttavia, come delineato dal combinato disposto degli artt. 35 e 39, par. 1 lett. c), del Regolamento UE n. 2016/679, il titolare del trattamento può coinvolgere, ove lo abbia designato, il responsabile per la protezione dei dati e, in particolare, qualora nella fase di cd. prevalutazione emergano dei dubbi o delle difficoltà sull’obbligatorietà o meno della DPIA oppure laddove, al termine della valutazione condotta dal titolare, risulti lampante un rischio elevato per i dati personali trattati e/o per i diritti e le libertà degli interessati coinvolti dai trattamenti.
In tali ipotesi il titolare può chiedere al DPO un supporto nella fase di valutazione, soprattutto con riferimento all’elaborazione dei relativi esiti. Difatti, come illustrato dalla recente circolare del Ministero della Giustizia[17], si instaura un dialogo cooperativo tra titolare e responsabile per la protezione dei dati, al termine del quale il soggetto che risponde della DPIA sarà unicamente il titolare dei trattamenti, indipendentemente dal parere reso dal DPO (parere che non è vincolante e che, anche qualora il titolare se ne discosti, dovrà essere allegato al documento/file della valutazione d’impatto).
Non solo. Laddove, la valutazione d’impatto svolta dal titolare, con o senza il supporto del parere del responsabile per la protezione dei dati, individui un livello di rischio elevato e/o l’assenza di strumenti e misure organizzative e di sicurezza adeguate per mitigare o attenuare i rischi, è altresì opportuno che il titolare non intraprenda o non prosegua il trattamento se non dopo aver ricevuto il parere scritto dell’Autorità di controllo.
Il titolare dovrà infatti coinvolgere il Garante privacy ricorrendo allo strumento della consultazione preventiva di cui all’art. 36 del GDPR. Ebbene, una volta compiuta la valutazione d’impatto non da sola non è sufficiente a garantire la conformità dei trattamenti ai principi e ai livelli adeguati di sicurezza.
Proprio perché essa è obbligatoria laddove ricorrano anche solo due criteri tra quelli individuati dalla Linee Guida del WP29, ovvero quando i dati – personali o particolari – siano coinvolti in attività di profilazione, scoring, valutazione, monitoraggio attraverso dispositivi, strumenti e soluzioni innovative dal punto di vista tecnologico, ovvero siano oggetto di trattamenti in continua evoluzione, la DPIA deve essere anch’essa uno strumento “in continuo movimento” e non un mero adempimento statico fine a se stesso.
Una DPIA “in evoluzione”
La valutazione d’impatto, nel fluire continuo dell’approccio olistico dell’accountability, dovrà periodicamente essere rimessa in moto attraverso l’aggiornamento trimestrale, semestrale o annuale (cadenzato tenendo conto dell’articolazione degli uffici che compongono la struttura operativa del titolare del trattamento, della tipologia e dei flussi dei dati trattati nonché del livello di rischio dei trattamenti) delle altre “voci” della responsabilizzazione: il registro dei trattamenti, condotte strutturate e poste in essere secondo la privacy by design (protezione fin dalla progettazione) e la privacy by default (protezione per impostazione predefinita), la registrazione di eventuali data breach (o tentativi di data breach) sinonimi di lacune o falle nel sistema.
Alla luce di questi elementi, il titolare del trattamento, con l’eventuale supporto di uno o più responsabili del trattamento e dell’intervento consultivo del proprio DPO (qualora nominato), dovrà rivedere e, se del caso, integrare e implementare la check list con cui verificare la rispondenza delle misure organizzative e di sicurezza a eventuali mutamenti del livello del rischio derivante dai trattamenti in essere (o da eventuali nove attività che implicano nuovi trattamenti) con susseguente implementazione delle misure tecniche e/o organizzative da mettere in campo.
Estremamente utili in questo approccio olistico proattivo sono gli audit periodici svolti dai responsabili e/o dai referenti delle aree dell’organigramma aziendale o della PA con gli eventuali designati autorizzati al trattamento delle varie aree in cui si sviluppano i trattamenti di dati personali realizzati dall’ente, pubblico o privato che sia.
Conclusione
Da quanto sin qui esaminato, appare evidente il ruolo della valutazione d’impatto: non deve essere intesa né vissuta dai titolari del trattamento come un onere, o un mero formalismo burocratico, ma deve essere affrontata come un’opportunità fino a divenire un modus operandi propositivo collaudato all’interno dell’ente.
Il titolare del trattamento, unico autore e responsabile finale della DPIA, deve comprenderne il vero significato, ovvero quello di strumento che permette di realizzare un documento che, creato seguendo un ordine logico calato nella realtà concreta e reso attuale mediante verifiche e aggiornamenti, permette al titolare di dimostrare l’approccio, il metodo, le iniziative seguiti per operare non solo nel rispetto delle norme, ma anche, e soprattutto, secondo l’approccio circolare proattivo di accountability delineato dagli artt. 24, 25, 30 e 35 del GDPR.
NOTE
[1] In ogni caso, l’Autorità di controllo italiana con il provvedimento n. 497 del 13.12.2018 ha riassunto quali prescrizioni delle Autorizzazioni generali nn. 1, 3, 6, 8 e 9 rese nel 2016 sono compatibili, e dunque utilizzabili, con il GDPR (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9068972).
[2] Così Mauro Formato, Quando procedere ad una DPIA ex art. 35 GDPR: la “prevalutazione d’impatto”, pubblicato su ICT Security Magazine, 24 luglio 2018 (http://www.ictsecuritymgazine.com)
[3] Qualora poi ricorra anche la contitolarità, il documento con cui ai sensi dell’art. 26 del Regolamento UE n. 2016/679 due o più soggetti contitolari dovranno determinare congiuntamente le diverse finalità e modalità del trattamento dei dati e stabilire i confini delle rispettive responsabilità, dovranno altresì articolare la DPIA cristallizzandovi le rispettive responsabilità in ordine alle specifiche misure organizzative e di sicurezza che ciascuno adotterà per la propria area di trattamenti.
[4] Sarà sicuramente utile ai fini di una completa DPIA richiedere al fornitore la sua valutazione d’impatto elaborata al momento della messa a punto della nuova tecnologia.
[5] Parere n. 04/2013 adottato dal Gruppo di lavoro Articolo 29 il 22 aprile 2013.
[6] Provvedimento n. 467 dell’11 ottobre 2018.
[7] Sull’interpretazione del concetto di “larga scala” si veda il Considerando 91 del Regolamento UE n. 2016/679 – dove si ricorda che i trattamenti su larga scala sarebbero quelli che “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti”; nonché l’intervento chiarificatore del WP29 con le Linee Guida del 4 aprile 2017, dove il Gruppo di lavoro annovera fra i criteri fondanti la qualifica “su larga scala” di un trattamento: i) il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; ii) il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; iii) la durata, ovvero la persistenza, dell’attività di trattamento; iv) la portata geografica dell’attività di trattamento.
[8] Il GDPR definisce la profilazione come qualunque forma di “trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica” (art. 4, parag. 1, n. 4), Reg. UE 679/2016). Su questo genere di trattamenti per i quali è obbligatorio procedere alla DPIA, il Garante privacy italiano si è più volte espresso con i provvedimenti 22 maggio 2018, n. 319, doc. web n. 9018611; n. 320, doc. web n. 9018628; n. 321, doc. web n. 9019882; n. 322, doc. web n. 9019890; n. 323, doc. web n. 9019902; n. 324, doc. web n. 9020242; n. 325, doc. web n. 9020250.
[9] Così le Linee Guida del WP29 riprendendo il passaggio dei Considerando 71 e 91 del Regolamento UE n. 2016/679, pubblicato sul sito del Garante per la protezione dei dati personali.
[10] Così il provvedimento del Garante Privacy italiano n. 467/2018.
[11] Istituito come nuova veste del Gruppo di Lavoro articolo 29 (WP29) ai sensi degli artt. 68 e ss. del Regolamento UE n. 2016/679.
[12] Il Comitato ha in ogni caso precisato che gli elenchi dei trattamenti di dati personali per i quali è obbligatoria la DPIA devono presentare almeno due criteri di rischio per ciascuna tipologia di trattamento e contenere un “nucleo comune” obbligatorio di tipologie di trattamenti. Tra di essi, in particolare, ricorrono i trattamenti che hanno ad oggetto dati genetici, biometrici e di localizzazione. Il Comitato, richiamando le Linee guida (wp248) in materia di valutazione d’impatto sulla protezione dei dati (adottate quando operava come WP29), ha chiarito peraltro che non possono essere considerati quali criteri di rischio una specifica base giuridica o il trattamento ulteriore dei dati e che le liste non devono contenere una definizione numerica o percentuale del concetto di “larga scala”.
[13] Cfr. paragrafo 5.4.2., pag. 83 della Relazione 2018 del Garante Privacy.
[14] Così il Garante a pag. 91 della Relazione 2018, dove si legge che “vista la delicatezza delle informazioni rilevate presso minori, relative anche alle discriminazioni eventualmente subite in diversi ambiti (origine etnica, identità di genere, genere, religione o credo, aspetti relativi alla salute, orientamento sessuale), sono stati richiesti specifici chiarimenti sui questionari utilizzati nell’ambito del lavoro IST-02726-Indagine sulle discriminazioni, nonché alla conservazione dei dati identificativi diretti per la “creazione di un archivio per ritorni sull’argomento”, prima di avviare il trattamento”.
[15] Pag. 91 Relazione 2018.
[16] Le Linee guida adottate il 25 gennaio 2019 (T-PD(2019)01) dove il Comitato afferma che “Dovrebbero essere incoraggiate forme partecipative di valutazione del rischio, basate sul coinvolgimento attivo degli individui e dei gruppi potenzialmente interessati dalle applicazioni I.A.” (intelligenza artificiale) e che “le procedure di appalto pubblico dovrebbero imporre a sviluppatori, produttori e fornitori di servizi di IA specifici obblighi di trasparenza, una valutazione preliminare dell’impatto del trattamento dei dati sui diritti umani e sulle libertà fondamentali e l’obbligo di vigilanza sugli effetti negativi e le conseguenze potenzialmente derivanti dalle applicazioni IA”.
[17] Circolare adottata dal Ministero della Giustizia in data 31 maggio 2019.