La valutazione d'impatto sulla protezione dei dati (in inglese D.P.I.A. Data Protection Impact Assessment) è uno dei nuovi adempimenti del nuovo Regolamento Europeo sulla protezione dei dati e sostituisce il precedente obbligo generale di notifica alle autorità di controllo del trattamento dei dati personali.
Il D.P.I.A. è un processo, da effettuare preliminarmente al trattamento, volto a descrivere un trattamento di dati personali, valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischio e determinando le misure idonee a mitigarlo.
Per meglio definire se un'azienda è soggetta a tale obbligo, l'authority italiana, il Garante per la protezione dei dati personali, ha emanato il provvedimento n. 467 dell’11 ottobre 2018 (pubblicato nella Gazzetta Ufficiale n. 269 del 19 novembre 2018) individuando espressamente i tipi di operazioni che possono presentare rischi elevati per i diritti e le libertà e quindi soggetti alla Valutazione d'impatto sulla protezione dei dati personali.
Cosa prevede il G.D.P.R.
Il Regolamento Europeo prevede che la Valutazione d'impatto è obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone.
In particolare nelle linee guida vengono individuati i seguenti casi specifici:
- Trattamenti valutativi o di scoring (compresa la profilazione) sul rendimento professionale, la salute, la situazione economica, le preferenze personali, l'ubicazione o gli spostamenti degli interessati.
- Decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessioni di prestiti, stipula di assicurazioni), compresa la profilazione.
- Monitoraggio sistematico di dati personali, come nel caso di dati raccolti tramite reti o di sorveglianza sistematica su larga scala di una zona accessibile al pubblico, ad esempio con la videosorveglianza.
- Trattamento di dati sensibili/particolari (come quelli relativi alla salute), giudiziari o di natura estremamente personale (come le opinioni politiche).
- Trattamento dati personali su larga scala, tenendo conto del numero di interessati (anche in proporzione alla popolazione locale), del volume dei dati e della persistenza del trattamento.
- Creazione di corrispondenze o combinazione di insiemi di dati, es. Big Data.
- Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo).
- Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, dispositivi indossabili, dispositivi IoT, ecc.).
- Trattamento che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).
È sufficiente quindi, secondo il GDPR, che sussistano almeno due di queste nove condizioni per rendere obbligatorio il D.P.I.A.
Cosa prevede il provvedimento del Garante Italiano
Il Garante quindi ha ulteriormente specificato i casi in cui è obbligatoria la valutazione d'impatto:
- Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”.
- Trattamenti automatizzati finalizzati ad assumere decisioni che producono “effetti giuridici” oppure che incidono “in modo analogo significativamente” sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
- Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza ecc.
- Trattamenti su larga scala di dati aventi carattere estremamente personale: si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
- Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.
- Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
- Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi indossabili; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati dalle linee guida G.D.P.R. (vedi sopra).
- Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
- Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment).
- Trattamenti di categorie sensibili/particolari di dati oppure di dati relativi a condanne penali e a reati interconnessi con altri dati personali raccolti per finalità diverse.
- Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
- Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
Come si vede dunque, tenendo conto degli esempi riportati dalle linee guida del G.D.P.R. e di quanto stabilito dal Garante, i trattamenti dati soggetti a D.P.I.A. sono numerosi e la Valutazione d'impatto si configura come uno degli strumenti più importanti nella nuova disciplina della Privacy.
------
(06/01/19, Luigi Morganti - specialista privacy e data protection)
Per info e contatti: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
Short url: tinyurl.com/valutazioneimpatto