Privacy: cos’è e come fare la valutazione d’impatto protezione dati

La valutazione d’impatto sulla protezione dei dati (o DPIA – Data Protection Impact Assessment) è una particolare procedura, prevista dall’articolo 35 e dai considerando nn. 90 e 93 del GDPR, finalizzata a individuare, valutare e gestire i rischi legati a una specifica tipologia di trattamento. L’approccio sotteso è direttamente ispirato ai principi generali di protezione dei dati fin dalla progettazione e di protezione per impostazione predefinita (si veda, in proposito, il contributo “Privacy by design e Privacy by default” in relazione a quanto previsto all’articolo 25 e al considerando 78 del GDPR).

La procedura in esame consente al titolare del trattamento di analizzare in via preliminare l’impatto che possono avere sui diritti e le libertà degli interessati i nuovi trattamenti (legati ad esempio all’applicazione di una nuova tecnologia o di una nuova strategia aziendale), oppure modifiche sostanziali a un trattamento già in essere.

Quando è obbligatorio la DPIA

La valutazione d’impatto privacy  è obbligatoria solo quando un trattamento di dati presenti un rischio elevato per i diritti e le libertà delle persone fisiche.

In particolare, l’articolo 35 del GDPR indica i criteri in base ai quali si individuano i casi in cui la DPIA è obbligatoria:

  • il trattamento riguarda la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;
  • il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici;
  • il trattamento riguarda dati particolari (es. sanitari e giudiziari) su larga scala.

Come fare la DPIA

Ecco quali sono le fasi da seguire per completare con successo una valutazione d’impatto (DPIA):

  • Pianificazione delle attività: si costituisce il gruppo di lavoro, condividendo gli obiettivi generali e di dettaglio e pianificando le attività (task, tempi, risorse da coinvolgere);
  • Raccolta delle informazioni: si acquisiscono dati e informazioni necessari per il raggiungimento degli obiettivi, mediante interviste e raccolta di documenti, confrontandosi con il Data Protection Officer (DPO) e gli uffici e i dipartimenti coinvolti;
  • Analisi dei dati e descrizione dei trattamenti: una volta terminata la fase di raccolta delle informazioni, si avvia la fase di analisi con l’obiettivo di individuare e descrivere finalità, categorie di interessati e di dati coinvolti, basi giuridiche del trattamento;
  • Data Flow: per meglio valutare i profili critici del trattamento, può essere molto utile la descrizione grafica (diagrammi) del flusso dei dati;
  • Identificazione e valutazione dei rischi: terminata la fase di analisi e descrizione del trattamento, si passa all’individuazione delle criticità in termini di rischi per i diritti e le libertà degli interessati e, alla luce dei principi del GDPR, si valutano le necessarie misure per eliminare o quantomeno minimizzare tali rischi;
  • Revisione delle valutazioni effettuate: l’esito dell’analisi e delle valutazioni potranno eventualmente essere oggetto di revisione da parte dei soggetti coinvolti nella DPIA, anche in funzione del parere espresso del DPO, se nominato;
  • Implementazione delle misure di mitigazione: all’esito dell’analisi e delle valutazioni, il titolare del trattamento dovrà attuare le misure individuate al fine di gestire e minimizzare i rischi.

Quanto sopra deve essere oggetto di opportuna documentazione da parte del titolare. Il rapporto finale deve infatti poter fornire adeguata prova, in caso di necessità, dell’attività svolta per ottemperare alla normativa vigente (viste le implicazioni derivanti dal principio generale di responsabilizzazione/accountability).

Il documento contente lo svolgimento della DPIA sarà infine sottoscritto dal titolare del trattamento.

Qualora la valutazione d’impatto sulla protezione dei dati evidenzi il permanere di rischi elevati per gli interessati, in assenza di misure adottate dal titolare per attenuare il rischio, il titolare deve obbligatoriamente consultare l’Autorità di controllo. Il Garante – qualora ritenga che il trattamento violi il GDPR, ovvero qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio – fornisce il proprio parere scritto.

Cosa deve contenere la valutazione di impatto

La valutazione di impatto (DPIA), per considerarsi correttamente svolta dal punto di vista formale, deve contenere quantomeno:

  • la descrizione sistematica dei trattamenti e delle finalità del trattamento;
  • la valutazione della proporzionalità del trattamento rispetto alle finalità;
  • la valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per gestire e mitigare i rischi derivanti dal trattamento, in attuazione del principio di responsabilizzazione del titolare.

Può essere opportuno inserire nella documentazione rilevante per la DPIA anche il parere del DPO, per quanto previsto all’art. 39, paragrafo 1, lettera c) del GDPR.

Il fascicolo contente la DPIA può infine essere archiviato in modo da essere disponibile per eventuali verifiche sulle scelte effettuate da parte delle Autorità competenti (Garante privacy).

Chi deve condurre la DPIA?

Come anzidetto, la conduzione della DPIA è in capo ​al titolare del trattamento dei dati, anche se, in concreto, lo svolgimento della valutazione d’impatto può essere affidata ad un consulente esterno (purché in stretto contatto con le key persons dell’organizzazione).

In caso di soggetto esterno, il titolare sarà tenuto a monitorare lo svolgimento del Data Protection Impact Assessment, eventualmente consultando anche il Chief Technology Officer (CTO), il responsabile IT ​e​, quando nominato, il Data Protection Officer (DPO) o Responsabile della Protezione dei Dati (RPD). ​

È molto importante che nello svolgimento della DPIA siano coinvolte le persone chiave dell’Ente, nonché i responsabili del trattamento coinvolti nelle attività di specifico interesse. Se ritenuto opportuno o necessario, possono essere coinvolti anche gli interessati o le associazioni rappresentative.

È bene inoltre considerare che, tra i compiti del DPO, l’art. 39 del GDPR include anche quello di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati personali. Le linee guida sui Responsabili della protezione dei dati del Comitato Europeo per la protezione dei dati (adottate il 13 dicembre 2016 ed emendate il 5 aprile 2017) hanno precisato che il DPO deve essere consultato anche in fase preliminare, per capire se effettivamente sia necessario o meno condurre una DPIA, oppure per individuare la metodologia da seguire e, in ogni caso, per valutare se le salvaguardie individuate siano idonee per assicurare e mantenere la conformità al GDPR.

Casi in cui la DPIA non è obbligatoria

Per semplificare il compito dei titolari del trattamento, il Working Party Articolo 29 – WP29 (oggi sostituito dall’EDPB – European Data Protection Board) ha precisato i casi in cui non si ritiene necessario svolgere una DPIA:

  • quando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un trattamento per il quale è già stata svolta una valutazione di impatto (in questo caso, si possono utilizzare i risultati già ottenuti in precedenza per mitigare i rischi del nuovo trattamento);
  • quando le tipologie di trattamento sono state verificate da un’Autorità di controllo prima del maggio 2018, in condizioni specifiche che non hanno subìto modifiche nel tempo;
  • qualora un trattamento trovi la propria base giuridica nel diritto dell’Unione o nel diritto dello Stato membro, e tale diritto disciplini il trattamento specifico o sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nel contesto dell’adozione di tale base giuridica;
  • qualora il trattamento sia incluso nell’elenco facoltativo (stabilito dalle rispettive Autorità di controllo) che include le tipologie di trattamento per le quali non è richiesta alcuna valutazione d’impatto sulla protezione dei dati.

Le sanzioni in caso di mancata o errata DPIA

La mancata conduzione di una DPIA obbligatoria o il suo non corretto svolgimento può comportare l’irrogazione di una sanzione amministrativa pecuniaria pari a un importo fino a  10 milioni di Euro oppure, nel caso di impresa, pari a fino al 2% del fatturato annuo globale dell’anno precedente, qualora tale importo risulti superiore.

Conclusioni

La valutazione d’impatto è uno strumento utile di cui dispongono i titolari del trattamento per attuare sistemi di gestione dei dati conformi al Regolamento europeo in materia di protezione dei dati personali.

La DPIA ha una natura intrinsecamente modulabile e per questo motivo può assumere forme diverse in funzione delle concrete esigenze, pur nel rispetto dei requisiti essenziali stabiliti dal GDPR. Rappresenta una grande opportunità per le aziende, oltre che un preciso obbligo: quello di mantenere nel tempo la conformità giuridica della propria organizzazione attraverso periodici processi di revisione e controllo.

Author: Antonello

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *