Il Regolamento generale sulla protezione dei dati (GDPR) prevede un approccio fondato sui principi di valutazione del rischio e di accountability (rendicontazione), imponendo perciò sul titolare del trattamento l’obbligo di effettuare una valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).
Si premette che l’art. 35 del cd. GDPR[1] sancisce, in via generale, in capo al titolare del trattamento[2] – con la possibilità di consultare il responsabile della protezione dei dati[3][4], se presente – l’obbligo di effettuare una valutazione di impatto sulla protezione dei dati (Data protection Impact Assessment, “DPIA”) qualora un determinato tipo di trattamento[5] – in considerazione della natura, dell’oggetto, del contesto e delle finalità del trattamento stesso – allorché preveda, in particolare, l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà[6] delle persone fisiche cui i dati trattati si riferiscono.
Da un lato, infatti, il GDPR si basa su un approccio fondato sulla valutazione del rischio (cd. risk based approach), sotteso alle attività di trattamento dei dati personali. Tale valutazione, quindi, si pone come prerequisito per l’individuazione delle misure richieste dall’art. 24 del GDPR per dimostrare il corretto trattamento dei dati personali da parte delle aziende.
Dall’altro, tale corpus normativo si fonda, ai sensi dell’art. 5 paragrafo 2 del GDPR, sul principio di accountability, traducibile (con difficoltà) con il termine di “responsabilizzazione” o “rendicontazione”.
In virtù di tale principio, il titolare del trattamento deve adottare ed attuare le misure tecniche e organizzative adeguate a garantire che il trattamento dei dati personali effettuato sia conforme alla normativa comunitaria[7]; si ribadisce che tale “conformità”, lungi dal rappresentare una prescrizione di carattere meramente formale, deve poter essere oggetto di oggettiva dimostrazione da parte del titolare del trattamento all’Autorità Garante per la protezione dei dati personali.
*
Il GDPR non definisce formalmente il concetto di valutazione d’impatto sulla protezione dei dati; ciononostante, quest’ultima può essere individuata in un “processo inteso a descrivere il trattamento, valutarne la necessità e la proporzionalità, nonché a contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi e determinando le misure per affrontarli[8]”.
Ciò premesso, ai sensi del terzo paragrafo dell’art. 35, la valutazione d’impatto sulla protezione dei dati è richiesta, in particolare, nei seguenti casi, dotati di rilevanza meramente esemplificativa:
1. valutazione sistematica e globale di aspetti personali relativi a persone fisiche[9], basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo, significativamente, su dette persone fisiche;
2. trattamento su larga scala di categorie particolari di dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché di dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona[10] o relativi a condanne penali e a reati[11];
3. sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Viceversa, la valutazione d’impatto sulla protezione dei dati non è richiesta nei seguenti casi:
- quando il trattamento non presenti “un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35, paragrafo 1 GDPR);
- qualora un trattamento trovi una base giuridica nel diritto dell’Unione o nel diritto di uno Stato membro, tale diritto disciplini il trattamento specifico e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nel contesto dell’adozione di tale base giuridica (articolo 35, paragrafo 10 GDPR);
- qualora le tipologie di trattamento siano già state verificate da un’autorità di controllo in condizioni specifiche che non siano cambiate;
4. qualora il trattamento sia incluso nell’elenco facoltativo delle tipologie di trattamento per le quali non sia richiesta alcuna valutazione d’impatto sulla protezione dei dati (articolo 35, paragrafo 5 GDPR).
*
Il settimo paragrafo dell’art. 35 del GDPR prescrive che il contenuto minimo della valutazione d’impatto debba consistere:
- in una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, e, eventualmente, dell’interesse legittimo perseguito dal titolare del trattamento;
- in una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- in una valutazione dei rischi per i diritti e le libertà degli interessati;
- nell’individuazione delle misure previste per affrontare i rischi, comprese le garanzie, le misure di sicurezza e i meccanismi previsti al fine non solo di garantire la protezione dei dati personali, ma anche di dimostrare la conformità del trattamento al GDPR.
In particolare, si sottolinea inoltre che lo standard ISO/IEC 29134: 2017 “Information technology – Security techniques – Guidelines for privacy impact assessment” si propone di fornire utili linee guida per lo svolgimento della DPIA e, nello specifico, “consiglia” di procedere come segue: (i) descrizione sistematica del trattamento e delle finalità (ii) descrizione della natura, dell’ambito, del contesto e degli scopi del trattamento (iii) individuazione dei dati personali trattati, dei destinatari e del periodo per il quale sono conservati (iv) descrizione funzionale dell’operazione di trattamento (v) descrizione dell’asset model su cui si basano i dati personali (es. hardware, siti web, software, reti…) (vi) valutazione della necessità e della proporzionalità del trattamento (vii) descrizione delle misure previste per conformarsi al GDPR (viii) descrizione del modo in cui sono gestiti i rischi per i diritti e le libertà degli interessati (ix) descrizione dell’origine, della natura, della particolarità e della gravità dei rischi (x) determinazione delle misure previste per il trattamento di tali rischi (xi) descrizione del modo in cui sono coinvolte le parti interessate (xii) parere del DPO[12] (xiii) opinioni eventualmente raccolte dagli interessati o dei loro rappresentanti.
*
Tanto (brevemente) premesso, si ritiene doveroso specificare che la conduzione di una DPIA, indipendentemente dal fatto che essa risulti, nel caso specifico, obbligatoria o meno, ha sempre un effetto positivo.
La predisposizione e lo sviluppo di una DPIA permettono infatti di identificare e gestire preliminarmente i rischi nonché di rafforzare il livello di affidabilità legato all’immagine dell’azienda.
Concludendo, le criticità inter alia derivanti dall’individuazione delle ipotesi in cui sussista un elevato rischio per i diritti e le libertà delle persone fisiche, che determinano l’obbligatorietà di procedere alla DPIA, nonché le difficoltà di approcciarsi alla materia della “privacy” – la cui disciplina non soltanto è molto recente ma richiede di coniugare alle conoscenze tecnico-informatiche competenze squisitamente giuridiche – impongono agli imprenditori di rivolgersi a legali esperti della materia, anche alla luce delle cospicue sanzioni previste dal GDPR in caso di inosservanza delle disposizioni ivi contenute.
[1] Regolamento UE 2016/679.
[2] Per titolare del trattamento, ai sensi dell’art. 4, punto 7), GDPR, deve intendersi “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”;
[3] Per responsabile del trattamento, ai sensi dell’art. 4, punto 8) GDPR, deve intendersi “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
[4] Rientra nei compiti del responsabile della protezione dei dati, infatti, fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento (cfr. art. 39, paragrafo 1, lett. c, GDPR).
[5] La necessità di assicurare trasparenza e protezione nelle operazioni di trattamento dei dati personali impone l’onere di effettuare una preliminare valutazione, precedente e prodromica al trattamento, al fine di considerare ogni aspetto rilevante.
[6] Il riferimento non è soltanto al diritto alla protezione dei dati ed alla vita privata, ma anche agli altri diritti fondamentali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione.
[7] Oltreché, si evidenzia, a verificare l’efficacia delle misure prescelte mediante il loro riesame periodico nonché il loro aggiornamento, in funzione dei cambiamenti che avvengano in relazione alle tecnologie, ai rischi, al contesto e alle finalità del trattamento.
[8] Cfr. Linee-guida del Gruppo di lavoro “Articolo 29”.
[9] Il GDPR non disciplina il trattamento dei dati personali relativi a persone giuridiche, cfr. Considerando n. 14 GDPR.
[10] Cfr. art. 9, paragrafo 1, GDPR.
[11] Cfr. art. 10 GDPR.
[12] Data Protection Officer.