26 Novembre 2018 | 

Il Garante privacy qualche settimana fa – facendo seguito ad un analogo Provvedimento del Garante francese – ha pubblicato sul proprio sito istituzionale il Provvedimento 11 ottobre 2018, n. 467, avente ad oggetto l’elenco di alcune tipologie di trattamento dei dati personali soggette a valutazione d’impatto (cd. DPIA).

Come noto, il GDPR all’art. 35 prevede – in presenza di determinati presupposti – l’obbligo, da parte del titolare o del responsabile, di effettuare il DPIA, consistente in una valutazione preventiva del rischio insito nel tipo di trattamento dati effettuato di volta in volta e che ha ad oggetto la descrizione sistematica del trattamento previsto e delle relative finalità, la valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, la valutazione dei rischi per i diritti e le libertà degli interessati e l’individuazione di misure e accorgimenti idonei per affrontare i suddetti rischi.

L’art. 35, comma 3, elenca tre principi generali che rilevano al fine di valutare se il trattamento possa presentare rischi elevati e di conseguenza si richieda di effettuare una valutazione d’impatto. In particolare, pertanto, il trattamento sarà da considerarsi potenzialmente rischioso allorquando abbia ad oggetto:

  1. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  2. il trattamento, su larga scala, di categorie particolari di dati personali (come ad esempio l’origine razziale ed etnica o l’appartenenza sindacale) o di dati relativi a condanne penali o reati;
  3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

In conformità a quanto previsto dal GDPR, il Garante per la privacy italiano, partendo dalle tre casistiche di cui sopra, ha individuato nel dettaglio dodici tipologie di trattamento che, laddove messe in atto dal titolare, dovranno essere soggette a valutazione d’impatto. SI precisa che tale elenco è da intendersi a titolo non esaustivo e sarà compito del tutelare individuare ulteriori trattamenti che possano necessitare del DPIA.

Il Garante nell’individuare le suddette tipologie ha tenuto conto:

  1. delle Linee Guida in materia di valutazione d’impatto sulla protezione dei dati emanate dal Gruppo di Lavoro WP29, all’interno delle quali sono definiti 9 criteri per l’individuazione dei trattamenti da sottoporre a DPIA (le Linee Guida sono consultabili dal seguente link:http://www.besantsrl.it/sito-wp/wp-content/uploads/2018/03/Linee-guida-concernenti-valutazione-impatto-sulla-protezione-dati.pdf). Le suddette Linee Guida stabiliscono che la valutazione d’impatto dovrà essere predisposta sia quando ricorrano almeno due dei suddetti criteri, sia quando, anche in presenza di uno solo di essi, il titolare ritenga opportuno dover procedere comunque ad una valutazione d’impatto. Qualora invece il titolare ritenga di non dover procedere a DPIA, dovrà fornire una adeguata giustificazione con la relativa documentazione a supporto;
  2. delle generali previsioni del GDPR all’art. 35 comma 1, che statuisce l’obbligo di effettuare, prima dell’inizio del trattamento, una valutazione dell’impatto nei casi in cui ci possa essere un rischio elevato per i diritti e le libertà delle persone fisiche.

Le tipologie di trattamento individuate dal Garante italiano (consultabili dal link:https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9058979) sono in sintesi le seguenti:

  1. trattamenti valutativi o di scoring su larga scala, incluse le profilazioni e le attività predittive anche online o attraverso app, riguardanti aspetti come il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato; 
  2. i processi decisionali automatizzati che hanno effetti giuridici o che incidono in modo analogo significativamente sugli interessati.Ad esempio, quando il trattamento comporta l’esclusione o la discriminazione degli interessati da un determinato processo;
  3. il monitoraggio sistematicodegli interessati attraverso la raccolta di dati che tengano conto dell’utilizzo di servizi, anche di carattere telematico. Ad esempio, nell’ambito delle telecomunicazioni, il trattamento di dati per finalità di miglioramento di piattaforme TV;
  4. il trattamento su larga scala di dati aventi carattere altamente personale. In particolare, sono considerati dati di carattere altamente personale le comunicazioni elettroniche, i dati relativi all’ubicazione, i dati finanziari;
  5. trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici, come ad esempio sistemi di sorveglianza o di geolocalizzazione;
  6. trattamenti non occasionali di dati relativi a soggetti vulnerabili, come ad esempio minori, disabili, anziani, infermi di mente, pazienti o richiedenti asilo;
  7. trattamenti effettuati con l’utilizzo di nuove tecnologie come assistenti vocali che potrebbero comportare impatti negativi sui diritti e libertà delle persone fisiche;
  8. trattamenti che comportano lo scambio di dati personali tra diversi titolari effettuati su larga scala e con modalità telematiche;
  9. trattamenti effettuati tramite interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio di dati di consumo dei beni digitali con dati di pagamento;
  10. trattamenti di particolari categorie di dati, come ad esempio appartenenza sindacale o lo stato di salute oppure dati relativi a condanne penali o reati;
  11. trattamenti sistematici di dati biometrici, come l’utilizzo di riconoscimenti facciali o impronte digitali per l’accesso in luoghi fisici;
  12. trattamenti sistematici di dati genetici.

Tre precisazioni sono doverose:

  • in primo luogo, nel Provvedimento il Garante ribadisce che, data la non esaustività dell’elenco, si debba dare sempre prevalenza ai principi generali sulla valutazione d’impatto sanciti dall’art. 35 del GDPR;
  • in secondo luogo, come suggeriscono le Linee Guida, nel caso in cui il titolare dovesse avere difficoltà interpretative sulla necessità o meno di procedere ad una valutazione d’impatto, la soluzione più opportuna è quella di effettuare in ogni caso la valutazione, risultando così conformi alla normativa vigente;
  • in terzo luogo, anche se il titolare non ravvisi i presupposti di applicabilità per una valutazione d’impatto nei casi in cui si presenti un rischio elevato per i diritti e le libertà degli interessati (e le Linee Guida dispongono che non si debba far riferimento solo ed esclusivamente ai diritti alla protezione dei dati e alla vita privata, ma anche altri diritti fondamentali come la libertà di parola, di pensiero, di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione), non è detto che il titolare sia sottratto agli obblighi normativi sulla valutazione d’impatto.

A supporto dei titolari o responsabili del trattamento sono stati messi a punto una serie di modelli a cui fare riferimento per lo svolgimento della valutazione d’impatto. Il Garante italiano suggerisce il software del Garante francese, disponendone una versione in lingua italiana. Nonostante ciò, il Garante ha voluto ribadire che non costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. “.

Da ultimo, è possibile consultare il sito istituzionale del Garante privacy, nel quale sono presenti alcuni documenti schematici che potrebbero essere utili ai fini di una miglior comprensione della problematica, reperibili al seguente indirizzo:           https://www.garanteprivacy.it/documents/10160/0/Individuazione+e+gestione+del+rischio+-+Tutorial+-+slide.

News Correlate