
DPIA: Quando le nuove tecnologie richiedono valutazioni specifiche
20 Luglio 2022
Ogniqualvolta un Titolare del trattamento si trovi ad implementare un’attività o una tecnologia che, richieda il trattamento di dati personali, deve comprendere, anche in un’ottica di privacy by design e default, se un dato tipo di trattamento richieda una valutazione d’impatto.
La valutazione d’impatto rappresenta una delle maggiori novità introdotte dal GDPR e consiste nella valutazione che un Titolare svolge dinanzi ad un trattamento che per natura, oggetto, contesto e per le finalità del trattamento o per l’utilizzo di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Rappresenta, quindi, un’analisi precisa e dettagliata sugli impatti che un trattamento, qualora posto in essere, potrebbe generare sugli interessati.
La finalità ultima è capire se quel trattamento possa essere svolto o meno alla luce dei rischi e di conseguenza degli impatti sui diritti e le libertà degli interessati e se è necessario implementare adeguate misure di sicurezza al fine di gestire il rischio privacy.
Valutazione d’impatto: contenuto e modalità di svolgimento
Ai sensi dell’art 35 GDPR la valutazione deve contenere almeno i seguenti aspetti:
- a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
- b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
- d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Per quanto attiene alla metodologia utilizzata, il GDPR non indica delle modalità predeterminate, fornendo qualche piccolo chiarimento aggiuntivo nel considerando 90 ove viene aggiunto “La valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare tale rischio assicurando la protezione dei dati personali e dimostrando la conformità al presente regolamento”.
Di seguito riportiamo alcuni framework elaborati da alcune Autorità di controllo europee ed utilizzati come modelli di riferimento da molti Titolari italiani[1].
- Privacy Impact Assessment (PIA) della Commission nationale de l’informatique et des libertes (CNIL) 2015[2]
- Guìa para una Evaluacione de impacto en la Proteccion de datos personales (EIPD), Agencia espanola de proteccion de datos (AGPD) 2014;[3]
- Conducting privacy impact assessment code of practice, Information Commissioner’s Office (ICO), 2014[4]
Si sottolinea come una tale valutazione, che sarà tanto più profonda e specifica quanto particolare sarà il settore di riferimento o la tipologia dei dati trattati o le tecnologie utilizzate, potrà essere svolta anche grazie all’ausilio della norma ISO 31000 (standard internazionale sulla gestione del rischio). Tale norma, seppur non faccia riferimento al rischio privacy, può fornire chiarimenti riguardo ai vari concetti di rischio ed impatto ed essere un punto di partenza per una buona redazione di questo importante documento.
Attività che richiedono la DPIA
Procediamo nel chiarire quali tipologie di trattamenti necessitano di una valutazione di impatto.
Al di là dei casi previsti obbligatoriamente dall’art 35 GDPR, il Gruppo di lavoro WP 29 ha definito, all’interno delle sue linee guida sulla valutazione di impatto, nove criteri realizzati i quali risulta consigliabile procedere con la DPIA. Sulla scorta di tale indicazione anche il Garante italiano ha individuato un elenco di dodici tipologie di trattamenti soggetti alla valutazione di impatto[5]:
- Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.
- Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi)
- Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
- Trattamenti su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti)
- Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (si veda quanto stabilito dal WP 248, rev. 01, in relazione ai criteri nn. 3, 7 e 8)
- Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo)
- Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo ( IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01 .
- Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
- Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment)
- Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse
- Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento
- Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento
La ratio che accomuna le tipologie elencate riguarda la rischiosità dei trattamenti sui diritti e le libertà degli interessati.
Risulta consigliabile ritenere tale elenco non esaustivo e soggetto a valutazione caso per caso, soprattutto “quando un tipo di trattamento prevede in particolare l’uso di nuove tecnologie”.
Trattare dati particolari, piuttosto che monitorare comportamenti, utilizzare sistemi di rilevazione biometrica per gli accessi che comportano l’individuazione univoca di un soggetto o utilizzare trattamenti automatizzati per scelte che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, sono tutte attività a rischio. Attività che potrebbero contrastare quello che è invece il fine ultimo del GDPR.
DPIA specifiche
Al di là di una valutazione preventiva e generalizzata per la valutazione dei rischi connessi ai trattamenti che il Titolare è tenuto ad effettuare ai sensi dei considerando 75, 76 e 77 del GDPR in termini di probabilità e gravità del rischio per i diritti e le libertà dell’interessato, la DPIA rappresenta un documento specifico, ad hoc che sarà maggiormente particolareggiato.
Alla luce di quanto detto, si rileva la necessità di procedere a valutazioni specifiche, ad esempio, nei seguenti casi:
- Implementazione di sistemi che comportano un controllo, monitoraggio dei lavoratori: la videosorveglianza, sistemi Gps installati all’interno delle auto aziendali (in tali casi sarà estremamente rilevante verificare l’effettiva necessità di utilizzare tale strumento al posto di altri meno invasivi)
- Implementazione di tecnologie che comportano il trattamento di dati biometrici (rilevazione impronte digitali per accessi o tecniche di riconoscimento facciale). In quanto il ricorso a una nuova tecnologia può generare forme innovative di raccolta e utilizzo dei dati cui può associarsi un rischio elevato per i diritti e le libertà delle persone, tanto più se la tecnologia è ancora in fase di studio e non si potrebbero escludere a priori delle conseguenze spiacevoli ignote.
- Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato (è il caso di un cliente che fa richiesta di finanziamento ad un istituto di credito, il quale utilizza un sistema esclusivamente automatizzato al fine di elaborazione dei dati e fornire riscontro, determinando così effetti giuridici che incidono in modo significato (e anche negativo) sull’interessato).
Da ultimo si rammenta come, in alcuni casi, sarà non solo possibile ma anche raccomandabile, procedere ad un’unica DPIA per trattamenti che riguardano attività analoghe, o con le medesime finalità. Ad esempio, un ente ferroviario decide di implementare un sistema di videosorveglianza in tutte le stazioni ferroviarie; in tal caso il trattamento è il medesimo, le finalità e la base giuridica la stesse, di conseguenza si potrà procedere ad un unico documento di valutazione dei rischi.
Il ruolo del DPO
In merito al ruolo del Responsabile della protezione dei dati personali in tale attività, l’art 35, par. 2, del GDPR ritiene che quando un Titolare svolga una valutazione di impatto, si consulti con il DPO, qualora ne sia designato uno. A sua volta l’art. 39 GDPR, in merito i compiti del DPO, rileva che lo stesso debba “fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento” (par 1, lett c)).
A supportare il ruolo centrare del Responsabile per la protezione dei dati nello svolgimento di tale attività da parte del Titolare, sono le linee guida di riferimento dl wp 29 n. 243[6] nelle quali si raccomanda che il Titolare si consulti con il RPD, fra l’altro, sulle seguenti tematiche:
– se condurre o meno una DPIA;
– quale metodologia adottare nel condurre una DPIA;
– se condurre la DPIA con le risorse interne ovvero esternalizzandola;
– quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
– se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al RGPD.
Ricordiamo che la conduzione materiale della DPIA può essere affidata a un altro soggetto, interno o esterno all’organismo, tuttavia, la responsabilità ultima dell’adempimento ricade sul Titolare del trattamento.
[1] Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento 2016/679 (wp 248 – 4 ottobre 2017);
[2]www.cnil.fr/en/privacy-impact-assessment-pia
[3] www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-publica-nueva-guia-gestionar-riesgos-y-evaluciones-impacto
[4]https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf
[5] Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 – 11 ottobre 201
[6] Linee guida sui Responsabili della protezione dei dati (wp29 n. 243 adottate il 5 aprile 2017)