Riforma Privacy – Come e quando fare la DPIA
Come e quando fare la DPIA – Data Protection Impact Assestment?
Ne parla il Garante della Privacy nelle ultime linee guida
In italia e nei 29 Stati dell’Unione Europea tutti gli enti pubblici e tutte le aziende che, per svariati motivi, trattano più diffusamente i dati personali e/o sensibili di persone fisiche, dovranno obbligatoriamente adeguarsi alla nuova normativa entro il 25 maggio 2018 e, fra il resto, valutare attentamente tutti i casi in cui devono realizzare la cosiddetta DPIA – Data Protection Impact Assestment, vale a dire la Valutazione d’impatto sulla protezione dei dati.
In linea generale, secondo il Regolamento la DPIA è necessaria se il trattamento “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Nella pratica, ciò significa che i titolari devono preventivamente valutare in modo continuativo i rischi creati dai propri trattamenti così da individuare quelle situazioni in cui una determinata tipologia di trattamenti “può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.
Contenuti basilari di una DPIA
Il regolamento fissa all’art. 35, paragrafo 7, e nei considerando 84 e 90 le caratteristiche di una DPIA in particolare è prevista:
- “una descrizione [sistematica] dei trattamenti previsti e delle finalità del trattamento”;
- “una valutazione della necessità e proporzionalità dei trattamenti”;
- “una valutazione dei rischi per i diritti e le libertà degli interessati”;
- “le misure previste per: o “affrontare i rischi”;
- “dimostrare la conformità con il presente regolamento”.
Criteri da prendere in considerazione al fine di valutare quando è necessaria una DPIA E casi in cui si è in presenza di un rischio elevato
- Trattamento di dati sensibili o dati di natura estremamente personale: a titolo di esempio, si può citare un ospedale che conserva le cartelle cliniche dei pazienti, o un investigatore privato che conserva informazioni su soggetti responsabili di reati.
- Trattamenti valutativi o di scoring, compresa la profilazione e attività predittive, in particolare a partire da “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”.
Ad esempio, quindi, una società che crei profili comportamentali o di marketing a partire dalle operazioni o dalla navigazione compiute sul proprio sito web. - Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura.
Per esempio, il trattamento può comportare l’esclusione di una persona fisica da determinati benefici ovvero la sua discriminazione. - Monitoraggio sistematico: trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o “la sorveglianza sistematica di un’area accessibile al pubblico” (art. 35, paragrafo 3, lettera c).
- Trattamenti di dati su larga scala: il Gruppo di lavoro raccomanda di tenere conto, in particolare, dei fattori seguenti al fine di stabilire se un trattamento sia svolto su larga scala
a. numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento;
b. volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento;
c. durata, o persistenza, dell’attività di trattamento;
d. estensione ambito geografico dell’attività di trattamento. - Combinazione o raffronto di insiemi di dati, per esempio derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dalle ragionevoli aspettative dell’interessato.
- Dati relativi a interessati vulnerabili (considerando 75): il trattamento di questa tipologia di informazioni rappresenta un criterio ai fini della DPIA in quanto è più accentuato lo squilibrio di poteri fra interessato e titolare del trattamento, nel senso che il singolo può non
disporre del potere di acconsentire, o di opporsi, con facilità al trattamento dei propri dati, né può talora con facilità esercitare i propri diritti. - Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative;
- Tutti quei trattamenti che, di per sé, “impediscono [agli interessati] di esercitare un diritto o di avvalersi di un servizio o di un contratto” (art. 22 e considerando 91).
Ciò comprende i trattamenti finalizzati a consentire, modificare o negare l’accesso degli interessati a un servizio o la stipulazione di un contratto. Si pensi, a titolo di esempio, allo screening dei clienti di una banca attraverso i dati registrati in una centrale rischi al fine di stabilire se ammetterli o meno a un finanziamento.
Riesame della DPIA
Al fine di essere a norma con il Regolamento e per buona prassi, per i trattamenti in corso dovrebbe essere previsto un riesame continuo della DPIA, ripetendo la valutazione a intervalli regolari.
L’effettuazione della DPIA dovrebbe collocarsi quanto più a monte possibile nella fase di progettazione di un trattamento, anche se non tutte le operazioni di tale trattamento sono già delineate.
Il fatto che possa rendersi necessario un aggiornamento della DPIA dopo l’inizio effettivo del trattamento non è una buona ragione per differire o evitare di condurre una DPIA.
Conclusioni
La DPIA è un processo permanente, soprattutto se si ha a che fare con un trattamento dinamico e soggetto a trasformazioni e, conseguentemente, deve essere soggetta a uno sviluppo continuativo non potendo consistere in un’attività una tantum.
Al riguardo, sarà ovviamente cura del DPO, se nominato, verificarne l’adeguamento e la corrispondenza con le norma del Regolamento.