Commento Linee Guida Valutazione d’Impatto
La Valutazione d’Impatto alla luce del nuovo art 35 del Regolamento Europeo 2016/679 che entrerà in vigore il 25 maggio 2018
Commento Linee Guida Valutazione d’Impatto - (DPIA = Data Protection Impact Assessment) del WP 29.
La valutazione d’impatto prevista dall’art 35 del RGPD esprime appieno due principi cardine del nuovo regolamento 2016/679:
1) accountability = esprime la responsabilizzazione dei titolari nei confronti dei trattamenti da questi effettuati, dato che devono non solo garantire l’osservanza delle disposizioni del trattamento ma anche dimostrare adeguatamente (misure idonee ed adeguate) in che modo garantiscono detta osservanza. Quindi è utile per valutare e dimostrare la conformità alle norme in materia di protezione dati personali
2) data protection by design = ossia la protezione dei dati sin dalla progettazione del trattamento
Di conseguenza la valutazione d’impatto è utile per il titolare al fine di prevenire incidenti futuri, poiché quando il trattamento prevede l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del medesimo, può comportare un rischio elevato per i diritti e le libertà delle persone interessate (monitoraggio sistematico dei comportamenti, o il gran numero di soggetti interessati o entrambi i fattori) il regolamento 2016/679 obbliga i titolari a:
- svolgere la valutazione d’impatto (procedura intesa e finalizzata a descrivere il trattamento, valutarne la necessità e proporzionalità) prima di darvi inizio e dovrebbe essere ripetuta ad intervalli regolari (no una tantum), quindi i titolari devono valutare in modo continuativo i rischi
- consultando l’autorità di controllo nel caso in cui non siano ritenute sufficienti le misure tecniche ed organizzative da loro stessi individuate per mitigare l’impatto del trattamento, residuando un rischio elevato per le libertà ed i diritti degli interessati
- il Gruppo Art. 29 suggerisce di valutarne l’impiego per tutti i trattamenti, non solo per quelli indicati come obbligatori dal Regolamento, ovvero per quelli che possono comportare un rischio elevato per i diritti e le libertà delle persone interessate
- l’inosservanza del DPIA, il mancato svolgimento, lo svolgimento non corretto o la mancata consultazione con l’autorità competente possono portare all’irrogazione di una sanzione amministrativa pecuniaria fino ad un max di 10 milioni di euro e se si tratta di una impresa sino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente
Pertanto si dovrà verificare il trattamento, ovvero se esso possa comportare o meno un rischio elevato per i diritti e le libertà delle persone interessate e solo in quest’ultimo caso si dovrà procedere al DPIA.
Le linee guida hanno lo scopo precipuo di chiarire che cosa sia il DPIA e le norme ad esso pertinenti.
L’art 35 menziona come obbligatorio il DPIA per il rischio (=inteso come uno scenario descrittivo di un evento e delle relative conseguenze stimate in termini di gravità e probabilità) elevato per i diritti e le libertà delle persone interessate in relazione:
- alla privacy
- diritti fondamentali: libertà espressione e di pensiero
- libertà di movimento
- divieto di discriminazioni
- diritto libertà di coscienza e di religione
A) OGGETTO DPIA:
- può riguardare un singolo trattamento o un insieme di trattamenti simili che presentano rischi elevati analoghi (considerando 92: può essere ragionevole ed economico effettuare una valutazione d'impatto sulla protezione dei dati che verta su un oggetto più ampio di un unico progetto, ad es. istituire un'applicazione o una piattaforma di trattamento comuni)
- è possibile utilizzare un’unica DPIA per valutare più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi (ad es: operatore ferroviario (unico titolare del trattamento) che potrebbe svolgere un’unica DPIA con riguardo all’impiego della videosorveglianza in tutte le stazioni ferroviarie di competenza)
- quando un trattamento è svolto in contitolarità, è necessario che ciascun contitolare definisca con precisione gli obblighi rispettivamente incombenti. La DPIA dovrebbe stabilire chi ha la responsabilità delle singole misure finalizzate alla gestione dei rischi e alla tutela dei diritti e delle libertà degli interessati. Ciascun titolare dovrebbe indicare con chiarezza le rispettive esigenze e condividere tutte le informazioni utili senza pregiudicare quanto coperto da segreto (per esempio, informazioni tutelate dal segreto commerciale, soggette a diritti di proprietà intellettuale, informazioni economiche riservate) né rivelare eventuali vulnerabilità.
B) DPIA OBBLIGATORIA:
- la DPIA è obbligatoria solo qualora un trattamento "possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche", ovvero:
(a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
(b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 1012 ; o
(c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
L’elenco non è esaustivo e comprende anche:
1. Trattamenti valutativi o di scoring, compresa la profilazione e attività predittive, in particolare a partire da "aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato. (es. istituto finanziario che effettui lo screening dei propri clienti utilizzando un database di rischio creditizio società operante nel settore delle biotecnologie che offra test genetici direttamente ai consumatori per finalità predittive del rischio di determinate patologie o in generale per lo stato di salute; una società che crei profili comportamentali o di marketing a partire dalle operazioni o dalla navigazione compiute sul proprio sito web)
2. Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura che producano "effetti giuridici sulla persona fisica" ovvero che "incidono in modo analogo significativamente su dette persone fisiche" Per esempio, il trattamento può comportare l’esclusione di una persona fisica da determinati benefici ovvero la sua discriminazione
3. Monitoraggio sistematico: trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o "la sorveglianza sistematica di un’area accessibile al pubblico"
4. Dati sensibili o dati di natura estremamente personale: si tratta delle categorie particolari di dati personali di cui all’art. 9 (per esempio, informazioni sulle opinioni politiche di una persona fisica) oltre ai dati personali relativi a condanne penali o reati di cui all’art. 10. A titolo di esempio, si può citare un ospedale che conserva le cartelle cliniche dei pazienti, o un investigatore privato che conserva informazioni su soggetti responsabili di reati.
5. Trattamenti di dati su larga scala considerando: a. numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento; b. volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento; c. durata, o persistenza, dell’attività di trattamento; d. ambito geografico dell’attività di trattamento
6. Combinazione o raffronto di insiemi di dati
7. Dati relativi a interessati vulnerabili (considerando 75) nel senso che il singolo può non disporre del potere di acconsentire, o di opporsi, con facilità al trattamento dei propri dati, né può talora con facilità esercitare i propri diritti ( ad es. minori o ogni interessato per il quale si possa identificare una situazione di disequilibrio nel rapporto con il rispettivo titolare del trattamento)
8. Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative, riconoscimento del volto per migliorare il controllo degli accessi fisici
9. Tutti quei trattamenti che, di per sé, "impediscono [agli interessati] di esercitare un diritto o di avvalersi di un servizio o di un contratto" (art. 22 e considerando 91). Ciò comprende i trattamenti finalizzati a consentire, modificare o negare l’accesso degli interessati a un servizio o la stipulazione di un contratto.
Quando sono soddisfatti due o più criteri è necessario un DPIA, però il titolare può ritenerlo necessario anche con un criterio solo. Al contrario un trattamento potrebbe riflettere i criteri sopra indicati, ma a giudizio del titolare, non "può presentare un rischio elevato". In casi del genere, il titolare dovrà motivare e documentare la scelta della mancata conduzione della DPIA, allegando o annotando l’opinione del responsabile della protezione dei dati.
Inoltre:
- il principio di responsabilizzazione prevede che ciascun titolare "tiene un registro delle attività di trattamento svolte sotto la propria responsabilità" comprendente, fra l’altro, le finalità del trattamento, una descrizione delle categorie di dati e i destinatari dei dati stessi, nonché "ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1" (art. 30, paragrafo 1) e deve valutare se vi sia la probabilità di un rischio elevato anche se potrà decidere, in ultima analisi, di non condurre una DPIA
- le autorità di controllo sono tenute a redigere, pubblicare e comunicare al Comitato europeo per la protezione dei dati (CEPD) un elenco dei trattamenti che necessitano di una DPIA
C) DPIA NON OBBLIGATORIA: ECCEZIONI: ART 35 n. 5 e 10 per cui non è richiesta valutazione d’impatto:
- il trattamento non "può comportare un rischio elevato"
- esiste una DPIA simile,
- il trattamento è già stato autorizzato prima del maggio 2018
- ha una base legale: - n. 10: quando il trattamento effettuato ai sensi dell’art 6 (lett c per adempiere obbligo legale al quale è soggetto il titolare del trattamento e lett e per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) trovi nel diritto dell’UE o nel diritto dello stato membro una base giuridica e sia stata già effettuata una valutazione d’impatto
- è compreso nella lista dei trattamenti che non richiedono una DPIA.
- n. 5: l’autorità di controllo (Garante per la protezione dei dati personali) redige e rende pubblico un elenco delle tipologie dei trattamenti per le quali non è richiesta la valutazione d’impatto
D) TRATTAMENTI GIA’ IN CORSO:
- non è necessaria per quei trattamenti che siano stati oggetto di verifica preliminare da parte di un’autorità di controllo o da un responsabile della protezione dei dati e che proseguano con le stesse modalità oggetto di tale verifica
- è necessaria quando caratteristiche attuative (ambito, finalità, dati personali raccolti, identità di titolari o destinatari, periodi di conservazione dei dati, misure tecniche e organizzative, ecc.) sono mutate rispetto alla valutazione preliminare svolta dall’autorità di controllo o da un responsabile della protezione dei dati (*), e che possono presentare un rischio elevato
- è necessaria solo quando possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e per i quali siano intervenute variazioni dei rischi tenuto conto della natura, dell’ambito, del contesto e delle finalità dei trattamenti stessi.
- è necessaria nel caso di ricorso a una nuova tecnologia oppure dell’utilizzo dei dati personali per una diversa finalità
- è necessario nel caso di decisioni automatizzate, che possono acquistare maggiore significatività, oppure del presentarsi di nuove categorie di interessati vulnerabili alla discriminazione
per i trattamenti in corso dovrebbe essere previsto un riesame continuo della DPIA, ripetendo la valutazione a intervalli regolari. Pertanto, anche qualora non vi sia l’obbligo di condurre una DPIA al 25 maggio 2018, sarà necessario che il titolare, al momento opportuno, conduca tale DPIA nel quadro degli obblighi più generali di responsabilizzazione cui ogni titolare soggiace.
E) COME SI EFFETTUA DPIA:
La DPIA:
1) dovrebbe essere condotta "prima di procedere al trattamento"
2) è uno strumento di ausilio nel processo decisionale relativo al trattamento
3) è processo permanente, soprattutto se si ha a che fare con un trattamento dinamico e soggetto a continue trasformazioni.
4) è un processo continuativo e non un’attività una tantum.
F) SOGGETTO/I TENUTI A CONDURRE LA DPIA:
- titolare: La conduzione materiale della DPIA può essere affidata a un altro soggetto, interno o esterno all’organismo; tuttavia, la responsabilità ultima dell’adempimento ricade sul titolare del trattamento.
Il titolare "raccoglie le opinioni degli interessati o dei loro rappresentanti" "se del caso" (documentare sempre la decisione assunta, il discostamento e le motivazioni, la mancata consultazione e la motivazione)
- insieme al RPD e al responsabile (o ai responsabili) del trattamento : il titolare deve consultarsi e tale consultazione e le conseguenti decisioni assunte dal titolare devono essere documentate nell’ambito della DPIA. Il RPD è chiamato anche a monitorare lo svolgimento della DPIA.
una buona prassi consiste nel definire e documentare eventuali ulteriori ruoli e responsabilità in rapporto alle politiche, ai processi e alle disposizioni interne all’organismo :
- consultare esperti indipendenti provenienti da diversi ambiti disciplinari23 (legale, tecnologico, sicurezza, sociologico, etico, ecc.)
- ruoli e responsabilità dei responsabili di trattamento devono essere fissati in strumenti contrattuali
- il responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, CISO), ove designato, nonché il RPD potrebbero proporre lo svolgimento di una DPIA in rapporto a uno specifico trattamento, collaborare con i soggetti interessati
- il responsabile della sicurezza dei sistemi informativi e/o l’ufficio o divisione IT dovrebbero fornire supporto al titolare e potrebbero proporre di condurre una DPIA
G) METODOLOGIA CONDURRE DPIA - criteri
art. 35, paragrafo 7, e nei considerando 84 e 90 : (ALLEGATO 2)
• "una descrizione [sistematica] dei trattamenti previsti e delle finalità del trattamento":
o si tiene conto della natura, dell’ambito, del contesto e delle finalità del trattamento (considerando 90);
o sono indicati i dati personali oggetto del trattamento, i destinatari e il periodo previsto di conservazione dei dati stessi;
o si dà una descrizione funzionale del trattamento;
o si specificano gli strumenti coinvolti nel trattamento dei dati personali (hardware, software, reti, persone, supporti cartacei o canali di trasmissione cartacei);
o si tiene conto dell’osservanza di codici di condotta approvati (art. 35, paragrafo 8);
• "una valutazione della necessità e proporzionalità dei trattamenti"; - Misure previste per dimostrare osservanza
• "una valutazione dei rischi per i diritti e le libertà degli interessati"; - Misure previste per affrontare i rischi
• documentazione
• monitoraggio e revisione
coinvolgimento dei soggetti interessati: o si chiede consulenza al RPD/DPO (art. 35, paragrafo 2); o si sentono gli interessati o i loro rappresentanti (art. 35, paragrafo 9), se del caso.
H) NON OBBLIGATORIETA’ PUBBLICAZIONE DPIA:
Non costituisce un obbligo formale ai sensi del regolamento, ma pubblicarne una sintesi può favorire un rapporto fiduciario e la si deve inviare in forma completa all’autorità di controllo in caso di consultazione preventiva ovvero su richiesta dell’autorità stessa.
Tuttavia, sarebbe opportuno che i titolari valutassero di rendere pubbliche almeno parti della DPIA, quali una sintesi o le conclusioni (no interezza per la salvaguardia segreti commerciali o informazioni di rilevanza commerciale): si promuoverebbe la fiducia nelle attività di trattamento svolte da quei titolari dando prova di un approccio responsabile e trasparente.(ad es. autorità pubblica che conduce una DPIA)
I) CONSULTAZIONE AUTORITA’ CONTROLLO:
- Ove i rischi in precedenza identificati non possano essere gestiti dal titolare in misura sufficiente (ossia, qualora vi sia un elevato rischio residuale) il titolare è tenuto a consultare l’autorità di controllo. Un esempio di rischio residuale elevato non accettabile [SIC] è dato dalla possibilità che l’interessato patisca conseguenze significative, o addirittura irreversibili, e non eliminabili (per esempio, in caso di accesso illecito ai dati che comporti una minaccia per la vita degli interessati, la perdita o sospensione del rapporto lavorativo, un danno finanziario), e/o dai casi in cui appare evidente che il rischio paventato si manifesterà (per esempio, a causa dell’impossibilità di ridurre il numero di soggetti in grado di accedere ai dati in ragione delle modalità di condivisione, utilizzo o distribuzione di tali dati, ovvero per l’assenza di salvaguardie contro una vulnerabilità ampiamente nota).
- Qualora il titolare non sia in grado di individuare misure sufficienti a ridurre il rischio a livelli accettabili (ossia, qualora il rischio residuale continui a permanere elevato), è necessario consultare l’autorità di controllo.
- Inoltre, il titolare dovrà consultare l’autorità se il diritto dello Stato membro prevede l’obbligo di consultare e/o ottenere la previa autorizzazione dell’autorità stessa in rapporto a trattamenti svolti da quel titolare per l’esecuzione di compiti nell’interesse pubblico, fra cui i trattamenti connessi alla protezione sociale e alla sanità pubblica.
Indipendentemente dall’obbligo di consultare l’autorità di controllo in base al livello di rischio residuale, vale in ogni caso l’obbligo di conservare la documentazione della DPIA e di riesaminare la DPIA periodicamente.
La valutazione d’impatto prevista dall’art 35 del RGPD esprime appieno due principi cardine del nuovo regolamento 2016/679:
1) accountability = esprime la responsabilizzazione dei titolari nei confronti dei trattamenti da questi effettuati, dato che devono non solo garantire l’osservanza delle disposizioni del trattamento ma anche dimostrare adeguatamente (misure idonee ed adeguate) in che modo garantiscono detta osservanza. Quindi è utile per valutare e dimostrare la conformità alle norme in materia di protezione dati personali
2) data protection by design = ossia la protezione dei dati sin dalla progettazione del trattamento
Di conseguenza la valutazione d’impatto è utile per il titolare al fine di prevenire incidenti futuri, poiché quando il trattamento prevede l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del medesimo, può comportare un rischio elevato per i diritti e le libertà delle persone interessate (monitoraggio sistematico dei comportamenti, o il gran numero di soggetti interessati o entrambi i fattori) il regolamento 2016/679 obbliga i titolari a:
- svolgere la valutazione d’impatto (procedura intesa e finalizzata a descrivere il trattamento, valutarne la necessità e proporzionalità) prima di darvi inizio e dovrebbe essere ripetuta ad intervalli regolari (no una tantum), quindi i titolari devono valutare in modo continuativo i rischi
- consultando l’autorità di controllo nel caso in cui non siano ritenute sufficienti le misure tecniche ed organizzative da loro stessi individuate per mitigare l’impatto del trattamento, residuando un rischio elevato per le libertà ed i diritti degli interessati
- il Gruppo Art. 29 suggerisce di valutarne l’impiego per tutti i trattamenti, non solo per quelli indicati come obbligatori dal Regolamento, ovvero per quelli che possono comportare un rischio elevato per i diritti e le libertà delle persone interessate
- l’inosservanza del DPIA, il mancato svolgimento, lo svolgimento non corretto o la mancata consultazione con l’autorità competente possono portare all’irrogazione di una sanzione amministrativa pecuniaria fino ad un max di 10 milioni di euro e se si tratta di una impresa sino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente
Pertanto si dovrà verificare il trattamento, ovvero se esso possa comportare o meno un rischio elevato per i diritti e le libertà delle persone interessate e solo in quest’ultimo caso si dovrà procedere al DPIA.
Le linee guida hanno lo scopo precipuo di chiarire che cosa sia il DPIA e le norme ad esso pertinenti.
L’art 35 menziona come obbligatorio il DPIA per il rischio (=inteso come uno scenario descrittivo di un evento e delle relative conseguenze stimate in termini di gravità e probabilità) elevato per i diritti e le libertà delle persone interessate in relazione:
- alla privacy
- diritti fondamentali: libertà espressione e di pensiero
- libertà di movimento
- divieto di discriminazioni
- diritto libertà di coscienza e di religione
A) OGGETTO DPIA:
- può riguardare un singolo trattamento o un insieme di trattamenti simili che presentano rischi elevati analoghi (considerando 92: può essere ragionevole ed economico effettuare una valutazione d'impatto sulla protezione dei dati che verta su un oggetto più ampio di un unico progetto, ad es. istituire un'applicazione o una piattaforma di trattamento comuni)
- è possibile utilizzare un’unica DPIA per valutare più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi (ad es: operatore ferroviario (unico titolare del trattamento) che potrebbe svolgere un’unica DPIA con riguardo all’impiego della videosorveglianza in tutte le stazioni ferroviarie di competenza)
- quando un trattamento è svolto in contitolarità, è necessario che ciascun contitolare definisca con precisione gli obblighi rispettivamente incombenti. La DPIA dovrebbe stabilire chi ha la responsabilità delle singole misure finalizzate alla gestione dei rischi e alla tutela dei diritti e delle libertà degli interessati. Ciascun titolare dovrebbe indicare con chiarezza le rispettive esigenze e condividere tutte le informazioni utili senza pregiudicare quanto coperto da segreto (per esempio, informazioni tutelate dal segreto commerciale, soggette a diritti di proprietà intellettuale, informazioni economiche riservate) né rivelare eventuali vulnerabilità.
B) DPIA OBBLIGATORIA:
- la DPIA è obbligatoria solo qualora un trattamento "possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche", ovvero:
(a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
(b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 1012 ; o
(c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
L’elenco non è esaustivo e comprende anche:
1. Trattamenti valutativi o di scoring, compresa la profilazione e attività predittive, in particolare a partire da "aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato. (es. istituto finanziario che effettui lo screening dei propri clienti utilizzando un database di rischio creditizio società operante nel settore delle biotecnologie che offra test genetici direttamente ai consumatori per finalità predittive del rischio di determinate patologie o in generale per lo stato di salute; una società che crei profili comportamentali o di marketing a partire dalle operazioni o dalla navigazione compiute sul proprio sito web)
2. Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura che producano "effetti giuridici sulla persona fisica" ovvero che "incidono in modo analogo significativamente su dette persone fisiche" Per esempio, il trattamento può comportare l’esclusione di una persona fisica da determinati benefici ovvero la sua discriminazione
3. Monitoraggio sistematico: trattamenti utilizzati per osservare, monitorare o controllare gli interessati, compresa la raccolta di dati attraverso reti o "la sorveglianza sistematica di un’area accessibile al pubblico"
4. Dati sensibili o dati di natura estremamente personale: si tratta delle categorie particolari di dati personali di cui all’art. 9 (per esempio, informazioni sulle opinioni politiche di una persona fisica) oltre ai dati personali relativi a condanne penali o reati di cui all’art. 10. A titolo di esempio, si può citare un ospedale che conserva le cartelle cliniche dei pazienti, o un investigatore privato che conserva informazioni su soggetti responsabili di reati.
5. Trattamenti di dati su larga scala considerando: a. numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento; b. volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento; c. durata, o persistenza, dell’attività di trattamento; d. ambito geografico dell’attività di trattamento
6. Combinazione o raffronto di insiemi di dati
7. Dati relativi a interessati vulnerabili (considerando 75) nel senso che il singolo può non disporre del potere di acconsentire, o di opporsi, con facilità al trattamento dei propri dati, né può talora con facilità esercitare i propri diritti ( ad es. minori o ogni interessato per il quale si possa identificare una situazione di disequilibrio nel rapporto con il rispettivo titolare del trattamento)
8. Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative, riconoscimento del volto per migliorare il controllo degli accessi fisici
9. Tutti quei trattamenti che, di per sé, "impediscono [agli interessati] di esercitare un diritto o di avvalersi di un servizio o di un contratto" (art. 22 e considerando 91). Ciò comprende i trattamenti finalizzati a consentire, modificare o negare l’accesso degli interessati a un servizio o la stipulazione di un contratto.
Quando sono soddisfatti due o più criteri è necessario un DPIA, però il titolare può ritenerlo necessario anche con un criterio solo. Al contrario un trattamento potrebbe riflettere i criteri sopra indicati, ma a giudizio del titolare, non "può presentare un rischio elevato". In casi del genere, il titolare dovrà motivare e documentare la scelta della mancata conduzione della DPIA, allegando o annotando l’opinione del responsabile della protezione dei dati.
Inoltre:
- il principio di responsabilizzazione prevede che ciascun titolare "tiene un registro delle attività di trattamento svolte sotto la propria responsabilità" comprendente, fra l’altro, le finalità del trattamento, una descrizione delle categorie di dati e i destinatari dei dati stessi, nonché "ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1" (art. 30, paragrafo 1) e deve valutare se vi sia la probabilità di un rischio elevato anche se potrà decidere, in ultima analisi, di non condurre una DPIA
- le autorità di controllo sono tenute a redigere, pubblicare e comunicare al Comitato europeo per la protezione dei dati (CEPD) un elenco dei trattamenti che necessitano di una DPIA
C) DPIA NON OBBLIGATORIA: ECCEZIONI: ART 35 n. 5 e 10 per cui non è richiesta valutazione d’impatto:
- il trattamento non "può comportare un rischio elevato"
- esiste una DPIA simile,
- il trattamento è già stato autorizzato prima del maggio 2018
- ha una base legale: - n. 10: quando il trattamento effettuato ai sensi dell’art 6 (lett c per adempiere obbligo legale al quale è soggetto il titolare del trattamento e lett e per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) trovi nel diritto dell’UE o nel diritto dello stato membro una base giuridica e sia stata già effettuata una valutazione d’impatto
- è compreso nella lista dei trattamenti che non richiedono una DPIA.
- n. 5: l’autorità di controllo (Garante per la protezione dei dati personali) redige e rende pubblico un elenco delle tipologie dei trattamenti per le quali non è richiesta la valutazione d’impatto
D) TRATTAMENTI GIA’ IN CORSO:
- non è necessaria per quei trattamenti che siano stati oggetto di verifica preliminare da parte di un’autorità di controllo o da un responsabile della protezione dei dati e che proseguano con le stesse modalità oggetto di tale verifica
- è necessaria quando caratteristiche attuative (ambito, finalità, dati personali raccolti, identità di titolari o destinatari, periodi di conservazione dei dati, misure tecniche e organizzative, ecc.) sono mutate rispetto alla valutazione preliminare svolta dall’autorità di controllo o da un responsabile della protezione dei dati (*), e che possono presentare un rischio elevato
- è necessaria solo quando possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e per i quali siano intervenute variazioni dei rischi tenuto conto della natura, dell’ambito, del contesto e delle finalità dei trattamenti stessi.
- è necessaria nel caso di ricorso a una nuova tecnologia oppure dell’utilizzo dei dati personali per una diversa finalità
- è necessario nel caso di decisioni automatizzate, che possono acquistare maggiore significatività, oppure del presentarsi di nuove categorie di interessati vulnerabili alla discriminazione
per i trattamenti in corso dovrebbe essere previsto un riesame continuo della DPIA, ripetendo la valutazione a intervalli regolari. Pertanto, anche qualora non vi sia l’obbligo di condurre una DPIA al 25 maggio 2018, sarà necessario che il titolare, al momento opportuno, conduca tale DPIA nel quadro degli obblighi più generali di responsabilizzazione cui ogni titolare soggiace.
E) COME SI EFFETTUA DPIA:
La DPIA:
1) dovrebbe essere condotta "prima di procedere al trattamento"
2) è uno strumento di ausilio nel processo decisionale relativo al trattamento
3) è processo permanente, soprattutto se si ha a che fare con un trattamento dinamico e soggetto a continue trasformazioni.
4) è un processo continuativo e non un’attività una tantum.
F) SOGGETTO/I TENUTI A CONDURRE LA DPIA:
- titolare: La conduzione materiale della DPIA può essere affidata a un altro soggetto, interno o esterno all’organismo; tuttavia, la responsabilità ultima dell’adempimento ricade sul titolare del trattamento.
Il titolare "raccoglie le opinioni degli interessati o dei loro rappresentanti" "se del caso" (documentare sempre la decisione assunta, il discostamento e le motivazioni, la mancata consultazione e la motivazione)
- insieme al RPD e al responsabile (o ai responsabili) del trattamento : il titolare deve consultarsi e tale consultazione e le conseguenti decisioni assunte dal titolare devono essere documentate nell’ambito della DPIA. Il RPD è chiamato anche a monitorare lo svolgimento della DPIA.
una buona prassi consiste nel definire e documentare eventuali ulteriori ruoli e responsabilità in rapporto alle politiche, ai processi e alle disposizioni interne all’organismo :
- consultare esperti indipendenti provenienti da diversi ambiti disciplinari23 (legale, tecnologico, sicurezza, sociologico, etico, ecc.)
- ruoli e responsabilità dei responsabili di trattamento devono essere fissati in strumenti contrattuali
- il responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, CISO), ove designato, nonché il RPD potrebbero proporre lo svolgimento di una DPIA in rapporto a uno specifico trattamento, collaborare con i soggetti interessati
- il responsabile della sicurezza dei sistemi informativi e/o l’ufficio o divisione IT dovrebbero fornire supporto al titolare e potrebbero proporre di condurre una DPIA
G) METODOLOGIA CONDURRE DPIA - criteri
art. 35, paragrafo 7, e nei considerando 84 e 90 : (ALLEGATO 2)
• "una descrizione [sistematica] dei trattamenti previsti e delle finalità del trattamento":
o si tiene conto della natura, dell’ambito, del contesto e delle finalità del trattamento (considerando 90);
o sono indicati i dati personali oggetto del trattamento, i destinatari e il periodo previsto di conservazione dei dati stessi;
o si dà una descrizione funzionale del trattamento;
o si specificano gli strumenti coinvolti nel trattamento dei dati personali (hardware, software, reti, persone, supporti cartacei o canali di trasmissione cartacei);
o si tiene conto dell’osservanza di codici di condotta approvati (art. 35, paragrafo 8);
• "una valutazione della necessità e proporzionalità dei trattamenti"; - Misure previste per dimostrare osservanza
• "una valutazione dei rischi per i diritti e le libertà degli interessati"; - Misure previste per affrontare i rischi
• documentazione
• monitoraggio e revisione
coinvolgimento dei soggetti interessati: o si chiede consulenza al RPD/DPO (art. 35, paragrafo 2); o si sentono gli interessati o i loro rappresentanti (art. 35, paragrafo 9), se del caso.
H) NON OBBLIGATORIETA’ PUBBLICAZIONE DPIA:
Non costituisce un obbligo formale ai sensi del regolamento, ma pubblicarne una sintesi può favorire un rapporto fiduciario e la si deve inviare in forma completa all’autorità di controllo in caso di consultazione preventiva ovvero su richiesta dell’autorità stessa.
Tuttavia, sarebbe opportuno che i titolari valutassero di rendere pubbliche almeno parti della DPIA, quali una sintesi o le conclusioni (no interezza per la salvaguardia segreti commerciali o informazioni di rilevanza commerciale): si promuoverebbe la fiducia nelle attività di trattamento svolte da quei titolari dando prova di un approccio responsabile e trasparente.(ad es. autorità pubblica che conduce una DPIA)
I) CONSULTAZIONE AUTORITA’ CONTROLLO:
- Ove i rischi in precedenza identificati non possano essere gestiti dal titolare in misura sufficiente (ossia, qualora vi sia un elevato rischio residuale) il titolare è tenuto a consultare l’autorità di controllo. Un esempio di rischio residuale elevato non accettabile [SIC] è dato dalla possibilità che l’interessato patisca conseguenze significative, o addirittura irreversibili, e non eliminabili (per esempio, in caso di accesso illecito ai dati che comporti una minaccia per la vita degli interessati, la perdita o sospensione del rapporto lavorativo, un danno finanziario), e/o dai casi in cui appare evidente che il rischio paventato si manifesterà (per esempio, a causa dell’impossibilità di ridurre il numero di soggetti in grado di accedere ai dati in ragione delle modalità di condivisione, utilizzo o distribuzione di tali dati, ovvero per l’assenza di salvaguardie contro una vulnerabilità ampiamente nota).
- Qualora il titolare non sia in grado di individuare misure sufficienti a ridurre il rischio a livelli accettabili (ossia, qualora il rischio residuale continui a permanere elevato), è necessario consultare l’autorità di controllo.
- Inoltre, il titolare dovrà consultare l’autorità se il diritto dello Stato membro prevede l’obbligo di consultare e/o ottenere la previa autorizzazione dell’autorità stessa in rapporto a trattamenti svolti da quel titolare per l’esecuzione di compiti nell’interesse pubblico, fra cui i trattamenti connessi alla protezione sociale e alla sanità pubblica.
Indipendentemente dall’obbligo di consultare l’autorità di controllo in base al livello di rischio residuale, vale in ogni caso l’obbligo di conservare la documentazione della DPIA e di riesaminare la DPIA periodicamente.
Articolo del: