Come procedere per la valutazione d’impatto privacy

privacy in azienda e dati biometrici

LE LINEE GUIDA DEL GRUPPO ART.29

(versione aggiornata con gli emendamenti di ottobre 2017)

****************

Entro il prossimo 25 maggio 2018, ogni organizzazione (sia essa impresa, ente pubblico o studio professionale) dovrà adeguarsi al nuovo regolamento UE n. 679/2016 che prevede importanti novità sul piano della protezione dei dati personali, tra le quali la valutazione dei rischi sulla privacy (definita nel regolamento Data Protection Impact Assessment o DPIA) relativamente ad alcune tipologie di trattamento dei dati.

La valutazione dei rischi o DPIA è un’operazione preliminare che richiama il principio anglosassone dell’accountability, essa deve essere necessariamente svolta in una fase preliminare alla raccolta del dato, quindi prima dell’inizio di ogni operazione di trattamento o comunque già in fase di sviluppo della tecnologia che si occuperà di trattare dati personali, in modo da rispettare il principio della privacy by design (ovvero della realizzazione dell’obiettivo “protezione dei dati” sin dalle fasi di progettazione).

In occasione delle nuove regole previste dal Regolamento UE, il Gruppo art. 29 ha adottato delle linee guida in materia di valutazione dei rischi sulla privacy.

Cosa dicono le linee guida adottate dal Gruppo art. 29 sulla valutazione d’impatto sulla protezione dei dati personali?

Il 4 aprile scorso, il Gruppo art. 29 ha adottato delle nuove linee guida allo scopo di promuovere una coerente e unitaria applicazione delle disposizioni previste dal nuovo Regolamento UE, aiutando i titolari del trattamento e tutti coloro che sono tenuti ad effettuare un Data Protection Impact Assessment (DPIA o Valutazione d’impatto sulla protezione dei dati personali), a conformarsi alla legge e garantire così la certezza del diritto.

Secondo quanto stabilito dal Regolamento Europeo (Regolamento UE n. 679/2016) e come chiarito dalle linee guida, non è sempre obbligatorio effettuare una valutazione d’impatto (che da qui in poi chiameremo DPIA).

Un DPIA è richiesto solo quando il trattamento dei dati personali è “suscettibile di provocare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35 (1) del Regolamento UE n. 679/2016).

Le linee guida definiscono:

  • quando il DPIA è obbligatorio (articolo 35 (4));
  • quando il DPIA non è necessario (articolo 35 (5));
  • i criteri generali sulla metodologia per la realizzazione di un DPIA (articolo 35 (5));
  • i criteri generali per stabilire quando il Garante nazionale deve essere consultato (articolo 36 (1));
  • raccomandazioni, laddove è possibile, per costruire un’esperienza comune a tutti gli Stati Membri.

Valutazione d’impatto o DPIA. In sostanza di cosa si tratta?

Un DPIA può riferirsi ad una singola operazione di trattamento di dati o ad una serie di trattamenti simili, secondo l’articolo 35 (1) del Regolamento, infatti,  “una sola valutazione d’impatto sulla protezione dei dati personali può essere riferita ad una serie di operazioni di trattamento simili che presentano un livello elevato di rischio di analoga natura”.

Ai sensi del Considerando 92 del Regolamento, un singolo DPIA potrebbe essere utilizzato per molteplici operazioni di trattamento che presentano quindi una valutazione d’impatto simile, in termini di rischi presentati, considerando adeguatamente il tipo di dati specifici oggetto della singola operazione di trattamento, la portata, il contesto e le finalità del trattamento.

Ad esempio, un unico DPIA può essere utile per valutare l’impatto di un prodotto tecnologico sulla protezione dei dati (hardware o software) da parte del produttore e questa valutazione può essere utilizzata da altri titolari del trattamento, come il distributore del medesimo prodotto, per effettuare diverse altre operazioni che partono da quella valutazione. Naturalmente, il distributore del prodotto, che sarà a sua volta titolare del trattamento, occupandosi di distribuire il prodotto resta obbligato ad effettuare un proprio DPIA per quanto riguarda i rischi connessi alla propria attività, magari prendendo a base il DPIA preparato dal produttore. Un esempio che i Garanti forniscono nelle linee guida riguarda i produttori di contatori intelligenti e le società che forniscono i servizi ad essi connessi.

Ma quando un trattamento è ``suscettibile di provocare un alto rischio``?

Secondo il Regolamento, il DPIA è obbligatorio quando il trattamento presenta rischi elevati per la privacy degli interessati.
Non si richiede che un DPIA venga effettuato per ogni operazione relativa a diritti e libertà delle persone fisiche. La realizzazione di un DPIA è obbligatoria esclusivamente quando un trattamento è “suscettibile di provocare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35). L’articolo 35 (3) fornisce alcuni esempi (si tratta comunque di un elenco non tassativo) di casi in cui un trattamento è “suscettibile di provocare rischi elevati“.

Nei casi in cui non risulti chiaro se sia necessario un DPIA, le linee guida raccomandano comunque i titolari del trattamento di effettuarlo, in quanto si tratta  di un utile strumento a tutela dei dati trattati.

Ad ogni modo, le linee guida forniscono 9 criteri esemplificativi da considerare per valutare la gravità del rischio nel trattamento:

  • Trattamenti valutativi e discoring, compresa la profilazione e attività predittive, in particolare a partire da “aspetti relativi al rendimento professionale, alla situazione economica, a preferenze, affidabilità o comportamento dell’interessato, sua ubicazione e spostamenti”; si pensi ad esempio, ad un istituto finanziario che effettui lo screening dei propri clienti usando un database di rischio creditizio oppure ad una società che crei profilo comportamentali o di marketing partendo dallanavigazione online.
  • Decisioni automatizzate che producono significativi effetti giuridici o di analoga natura, ad esempio trattamenti che possono comportare l’esclusione di una persona fisica da determinati benefici o la sua discriminazione.
  • Monitoraggio sistematico ovvero trattamenti usati per osservare, monitorare, controllare gli interessati, compresa la raccolta dei dati attraverso la rete o la raccolta di dati in aree accessibili al pubblico.

Criteri per valutare il grado di rischio

  • Dati sensibili o dati di natura strettamente personale.
  • Trattamenti di dati su larga scala. Il concetto di “larga scala” è da intendersi riferito al numero di soggetti interessati, volume di dati, durata o persistenza delle attività di trattamento, ambito geografico del trattamento.
  • Combinazione o raffronto di insiemi di dati, ad esempio derivanti da due o più trattamenti svolti per finalità differenti o da titolari distinti.
  • Dati relativi ad interessati vulnerabili, es. i minori i dipendenti, e ogni interessato per il quale possa identificarsi una situazione di squilibrio con il titolare del trattamento.
  • Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative, es. applicazioni legati all’Internet delle cose”.
  • Tutti quei trattamenti che, di per sè, impediscono (agli interessati) di esercitare un diritto o di avvalersi di un servizio o di un contratto, questo ocmprende ad esempio, i trattamenti finalizzati a permettere, modificare o negare l’accesso degli interessati a un servizio o la stipulazione di un contratto. Si pensi, a titolo di esempio, allo screening dei clienti di una banca mediante i dati registrati in una centrale rischi al fine di stabilire se ammetterli o meno ad un finanziamento.

In tali circostanze, la valutazione se un DPIA sia necessario o meno dipende da diversi criteri, come regola generale, un’operazione di trattamento che incontra meno dei due criteri innanzi presentati può non richiedere un DPIA, in quanto c’è un minor livello di rischio, mentre operazioni di trattamento che soddisfano almeno due di questi criteri richiederanno un DPIA.

Ad esempio, l’elaborazione di dati genetici e sanitari da parte del sistema informativo di un ospedale, gestendo dati sensibili e riferendosi a soggetti vulnerabili, richiede un DPIA obbligatorio, ciò vale anche per l’uso di un sistema di telecamere per monitorare il comportamento di guida sulle autostrade. In tal caso, il controller previsto utilizza un sistema di analisi video intelligente per individuare gli autoveicoli e riconoscere le targhe automaticamente. Ricorrono due criteri: a. il monitoraggio sistematico; b. l’uso innovativo o l’applicazione di nuove soluzioni tecnologiche, pertanto è richiesto un DPIA.
Altro esempio è la raccolta dei profili pubblici da parte dei social media che potrebbero essere utilizzati da aziende private per la generazione di database di profili di contatto. In tal caso, ricorrono i seguenti criteri:
a. gestione di dati su larga scala e b. valutazione del comportamento, è quindi obbligatorio procedere ad un DPIA.

Diverso è il caso di una rivista online che utilizza una mailing list per inviare newsletter giornaliere agli abbonati. In tal caso, se l’attività si ferma qui, non ricorrendo nessun criterio generale, un DPIA non è obbligatorio, sebbene raccomandato.
Un sito di e-commerce che visualizza annunci di auto d’epoca che svolge attività di profilazione limitata al comportamento degli utenti che hanno già effettuato gli acquisti sul sito. In tal caso, ricorre una profilazione, ma non di natura sistematica o estensiva.
Si tenga presente che, in alcuni casi, anche riscontrare uno solo di questi criteri nel trattamento richiederà un DPIA. Al contrario, se il titolare del trattamento ritiene che, nonostante il fatto che il trattamento stesso riunisca almeno due criteri, le operazioni non sono ritenute ad alto rischio, allora potrà non procedere al DIPA, ma dovrà motivare le sue ragioni per iscritto.
I Garanti sono tenuti a rendere pubblico e comunicare un elenco delle operazioni di trattamento che richiedono il DPIA al Comitato europeo per la protezione dei dati (PBDE) (articolo 35 (4)) 17. I criteri di cui sopra potranno aiutare i Garanti a costituire tale elenco, in maniera più precisa e nel minor tempo.

Il Registro sulla valutazione d’impatto

Il titolare del trattamento, soggetto all’obbligo di effettuare un DPIA, tiene un registro delle attività di trattamento sotto la propria responsabilità, specificando, tra l’altro:

  1. le finalità del trattamento;
  2. una descrizione delle categorie di dati e dei destinatari dei dati;
  3. dove possibile, una descrizione generale delle misure tecniche e organizzative di sicurezza previste dal Regolamento;
  4. effettuare la valutazione del rischio, ma, laddove verifichi che il rischio nel trattamento non sia elevato, allora potrà anche non procedere ad un DPIA.

Quando non è obbligatorio un DPIA?

Quando l’elaborazione non è “suscettibile di provocare un rischio elevato” o l’operazione sia già stata autorizzata da una norma giuridica.
Un DPIA non è richiesto nei seguenti casi:

  • se il trattamento non è “suscettibile di provocare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35 (1));
  • quando il tipo, la portata, il contesto e la finalità del trattamento sono molto simili ad un trattamento per cui un DPIA è stato già effettuato. In tali casi, i risultati del DPIA per un analogo trattamento possono essere riutilizzati (articolo 35 (1) 18);
  • se il trattamento è stato sottoposto a verifica da parte di un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non hanno subito modifiche;
  • se il trattamento è incluso nell’elenco facoltativo (stabilita dal Garante nazionale) delle operazioni di trattamento per cui non è necessario un DPIA (articolo 35 (5) 20) o anche quando il Garante attraverso un provvedimento ha già autorizzato le operazioni, ritenendole a basso rischio.

In questi casi, previa rivalutazione da parte della competente Autorità Garante, può non essere necessario un DPIA.

DPIA già svolti e aggiornamento

L’obbligo di effettuare una DPIA si applica ad operazioni di trattamento che soddisfano i criteri di cui all’articolo 35 del regolamento UE, dopo che il regolamento diventerà effettivamente operativo ovvero dal 25 maggio 2018.
I Garanti europei comunque raccomandano vivamente di iniziare a verificare la necessità di una valutazione di impatto già prima del maggio 2018, in particolare quando vi è un cambiamento sulle operazioni di trattamento che potrebbe presentare rischi nuovi, per esempio a causa di una nuova tecnologia che nel frattempo è entrata in uso o perché i dati personali raccolti vengono usati per scopi diversi. In casi come questo, il trattamento a tutti gli effetti diventa una nuova elaborazione dei dati e la gestione potrebbe richiedere un DPIA.
Il DPIA, laddove già svolto deve necessariamente essere rivisto alla luce del cambiamento del trattamento, in quanto la valutazione del rischio relativo al nuovo trattamento potrebbe dare risultati diversi da quella precedente. I rischi possono cambiare a seguito delle modifiche ad una delle componenti dell’operazione di trattamento (dati, attività di supporto, sorgenti di rischio, potenziali ripercussioni, minacce, ecc) o perché il contesto dell’elaborazione si è evoluto (scopo, funzionalità, ecc), ma anche perché i sistemi di elaborazione dei dati possono trasformarsi rapidamente e possono sorgere nuove vulnerabilità. Quindi la revisione di un DPIA già esistente non è solo utile per il miglioramento continuo, ma soprattutto per mantenere un elevato livello di protezione dei dati in un ambiente che cambia nel corso del lungo periodo.

Ad ogni modo, un DPIA dovrebbe essere ri-effettuato ogni 3 anni o, forse anche prima, a seconda del tipo di trattamento e del tasso di variazione delle operazioni di trattamento e delle circostanze generali. Una ri-valutazione è consigliata per i trattamenti dei dati iniziati prima del maggio 2018 e quindi non soggetti ad un DPIA, per verificare che 3 anni dopo questo periodo o anche prima, a seconda del contesto, i rischi per i diritti e le libertà sono ancora moderati.

Come effettuare un DPIA?

Il DPIA dovrebbe essere svolto come operazione preliminare al trattamento. Ciò è coerente con la protezione dei dati in base ai principi della privacy by design e by default (articolo 25 e il considerando 78). Il DPIA dovrebbe essere avviato già nella fase di progettazione delle operazioni di trattamento, anche se alcune delle operazioni di trasformazione sono ancora sconosciute.

Come il DPIA viene aggiornato?

Per tutta la durata del progetto, dello sviluppo del dispositivo, del software, del prodotto ecc, si farà in modo che la protezione dei dati e la privacy siano sempre considerate come obiettivo finale, promuovendo la creazione di soluzioni che la rispettino. Può essere necessario ripetere la valutazione per singole fasi del processo, man mano che si va avanti, perché la selezione di alcune misure tecniche o organizzative può influenzare la gravità dei rischi o la probabilità che essi si verifichino.
Gli aggiornamenti del DPIA dovranno essere conservati nel corso del processo, ad esempio quando un’operazione di trattamento è dinamica e soggetta a modifiche. La realizzazione di un DPIA è un processo continuo, non è un’operazione che va fatta una sola volta.

Chi è obbligato ad effettuare il DPIA?

Il titolare, con il privacy officer ed il responsabile del trattamento.

Il titolare deve assicurarsi che il DPIA sia elaborato ed è responsabile di questo (articolo 35 (2)). L’esecuzione concreta del DPIA può essere demandata a qualcun altro, soggetto interno o esterno all’organizzazione, come il Privacy Officer, l’obiettivo rimane la verifica definitiva da parte del soggetto responsabile per quell’attività (il titolare).
Il titolare deve chiedere il parere del responsabile della protezione dei dati (RPD), dove designato (articolo 35 (2)), e questo parere e le decisioni assunte, dovrebbero essere documentate nel DPIA. Il Privacy Officer dovrebbe monitorare la corretta applicazione del DPIA (articolo 39 (1) (c)).
Secondo l’articolo 36 punto 9 del regolamento, il titolare deve “chiedere il parere agli interessati o ai loro rappresentanti” “se è il caso”.
Infine, è buona norma definire e annotare altri ruoli e responsabilità specifiche, a seconda delle politiche, dei processi e delle regole interne, per es.:

  • dove vi sono specifiche business unit, esse dovrebbero essere sentite ed essere coinvolte nel processo di sviluppo e convalida del DPIA;
  • laddove utile, si consiglia di chiedere il parere di esperti indipendenti (avvocati, tecnici, esperti di sicurezza, sociologi, etica, ecc.);
  • i ruoli e le responsabilità di coloro che si occupano del trattamento devono essere contrattualmente definiti;
  • il DPIA deve essere effettuato con l’aiuto del Data Protection Officer o Privacy Officer, tenendo conto del tipo di trattamento e delle informazioni che il DPO ha a disposizione (articolo 28 (3) (f));
  • il DPO potrebbe suggerire al titolare di effettuare uno specifico DPIA per un determinato tipo di trattamento, dovrebbe aiutare i soggetti interessati alla metodologia, aiutare a valutare la qualità della valutazione dei rischi, aiutare a valutare, se il rischio residuo è accettabile e contribuire allo sviluppo di conoscenze specifiche;
  • il responsabile della sicurezza, se nominato, e / o il reparto IT, dovrebbero fornire supporto al titolare e potrebbero proporre di effettuare un DPIA per un’operazione di trattamento specifico, a seconda di esigenze operative o di sicurezza.

Qual è la metodologia da usare per effettuare un DPIA?

Esistono diverse metodologie abbinate a criteri oggettivi comuni.
Il Regolamento Privacy definisce le caratteristiche minime di un DPIA (articolo 35 (7) e considerando 84 e 90):

  • “una descrizione delle operazioni di trattamento previste e delle finalità di trattamento”;
  • “una valutazione della necessità e della proporzionalità del trattamento”;
  • “una valutazione dei rischi per i diritti e le libertà delle persone”;
  • “le misure previste per: “affrontare i rischi” o “dimostrare il rispetto del presente regolamento”;
  • il rispetto di un codice di condotta (articolo 40) deve essere preso in considerazione (articolo 35 (8)) nel valutare l’impatto di un’operazione di trattamento dei dati.Questo può essere utile per dimostrare che adeguate misure sono state prese.

Ad ogni modo, il regolamento fornisce un ampio quadro generico per la progettazione e la realizzazione di un DPIA. Chi realizza un DPIA dovrà rispettare i requisiti generali stabiliti nel regolamento stesso e completarli con orientamenti pratici più dettagliati. Questo apre la strada alla scalabilità, il che significa che anche un piccolo titolare del trattamento è in grado di progettare e realizzare un adeguato DPIA.
Quindi occorrerà stabilire innanzitutto il contesto in cui il DPIA andrà ad operare “tenendo conto della portata, delle finalità del trattamento e delle fonti di rischio”; effettuare “la valutazione dei rischi, la probabilità di accadimento e la gravità del rischio elevato; trattare i rischi, quindi “limitare il rischio”, “garantire la protezione dei dati personali” e “dimostrare il rispetto delle norme”
Nota: Il DPIA è uno strumento per la gestione dei rischi in favore dei diritti delle persone interessate e quindi è necessario valutare la loro opinione, come si è fatto in alcuni settori (ad esempio, la sicurezza sociale), mentre la gestione del rischio in alcuni altri campi (ad esempio, informazioni la sicurezza) deve essere focalizzata sull’ organizzazione.

Il concetto di rischio

Il concetto di “rischio” è strettamente connesso con quello di scenario. Per circoscriverlo è necessario descrivere un evento specifico e le sue implicazioni, stimando le probabilità di accadimento e la sua gravità.

L’Articolo 35 del Regolamento, si riferisce alla probabilità di concretizzazione di un alto rischio “per i diritti e le libertà degli individui”. Il riferimento a “diritti e libertà fondamentali” degli interessati riguarda in primo luogo il diritto al rispetto della vita privata che può coinvolgere altri diritti fondamentali, come la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà, coscienza e di religione.
Il regolamento privacy fornisce ai titolari del trattamento la flessibilità giusta per determinare la struttura e la forma adatta del DPIA, al fine di consentire ad esso di adattarsi alle pratiche operative esistenti nell’organizzazione cui il DPIA si riferisce. Ad ogni modo, ogni DPIA deve valutare correttamente i rischi potenziali, per consentire ai titolari di adottare misure adatte per prevenire e affrontare i suddetti rischi.
Al fine di permettere che possano sussistere diversi approcci alla realizzazione del DPIA, consentendo nel contempo ai titolari di conformarsi al regolamento sono stati individuati criteri comuni, che chiariscono i requisiti di base che un DPIA deve possedere previsti dal regolamento e hanno lo scopo di fornire sufficiente elasticità in relazione a diverse forme di attuazione. Questi criteri possono essere usati per dimostrare che un DPIA specifico soddisfi gli standard richiesti dal regolamento. I Garanti europei hanno incoraggiato lo sviluppo di diverse forme di DPIA adatte a settori specifici.

Il DPIA può essere pubblicato?

Sì, in tutto o in parte, e deve essere comunicato al Garante Privacy nazionale, nei casi in cui è necessaria una sua consultazione preliminare.

La pubblicazione del DPIA non è comunque prevista obbligatoriamente dal regolamento.

Ciò è rimesso alla scelta del titolare.

TUTTAVIA, secondo il gruppo art. 29, i titolari del trattamento dei dati dovrebbero optare per la pubblicazione dei loro DPIA, o anche di parte di essi. E’ buona prassi pubblicare in particolare quei DPIA in cui i cittadini sono interessati da operazioni di trattamento. Ad esempio, quando si tratta di enti pubblici tenuti ad adottare il DPIA.
Il DPIA non deve necessariamente essere pubblicato nella versione integrale, soprattutto quando il DPIA contiene informazioni specifiche concernenti rischi per la sicurezza del titolare o segreti commerciali o informazioni sensibili relative all’organizzazione. La pubblicazione potrebbe anche consistere solo in una sintesi del DPIA.

Quando il Garante della Privacy deve essere consultato?

Quando i rischi residuali sono elevati.

Un esempio di rischio elevato residuale inaccettabile si ha ad esempio nel caso in cui le persone interessate possono incontrare significativi, o anche irreversibili e insuperabili conseguenze in relazione al trattamento dei dati e / o quando si ritiene in maniera evidente che il rischio si potrà verificare.
Ogni volta che il titolare del trattamento non riesce a trovare misure sufficienti (vale a dire quando i rischi residui sono ancora elevati), il concerto con il Grante deve essere considerato obbligatorio.
Inoltre, il titolare deve consultare preliminarmente il Garante ogni volta che la legge dello Stato richieda al titolare di consultarlo o di ottenere una sua previa autorizzazione, in relazione al trattamento per l’esecuzione di un compito svolto dal titolare nel pubblico interesse, o anche in relazione ad un trattamento che ha a che fare con la protezione sociale o la salute pubblica (articolo 36 (5)).
Tuttavia, indipendentemente dal fatto che consultare il Garante sia considerato un obbligo o meno, è necessario monitorare la rispondenza delle operazioni al DPIA e aggiornare il DPIA periodicamente.

Conclusioni e raccomandazioni

I DPIA sono un utile modo per i titolari del trattamento di implementare sistemi di trattamento dei dati che soddisfino quanto stabilito dal regolamento, il ricorso alla valutazione d’impatto può essere obbligatoria per alcuni tipi di operazioni. I DPIA sono scalabili e possono assumere forme diverse, l’obiettivo del regolamento è stabilire i requisiti di base che deve avere un DPIA per essere efficace. I titolari del trattamento devono vedere la realizzazione di un DPIA come un’ utile attività che li aiuti a conformarsi alla legge.
L’articolo 24 (1) stabilisce che il titolare del trattamento è responsabile della conformità al regolamento UE, “tenendo conto del tipo, della portata, del contesto e delle finalità del trattamento, così come dei rischi di varia natura, della probabilità di concretizzazione dei rischi suddetti e della gravità per i diritti e le Libertà delle persone fisiche, il titolare attua misure tecniche e organizzative adeguate per assicurare e dimostrare che il trattamento viene eseguito in base al presente regolamento. Tali misure sono riesaminate ed eventualmente aggiornate“.
Il DPIA è uno strumento fondamentale per dimostrare il rispetto del regolamento, in particolare, nei casi in cui si preveda che il trattamento dei dati può comportare un alto rischio per la difesa della privacy. Ciò significa che i titolari del trattamento dei dati dovranno impiegare quei criteri che vengono fissati dai Garanti in queste linee guida per determinare se si debba procedere ad elaborare un DPIA. Tale lavoro si tradurrà in una maggiore fiducia delle persone interessate e degli altri titolari del trattamento in favore di chi ha provveduto ad effettuare un DPIA.

 

Annalisa Spedicato – Avvocato Esperto in IP ICT e Privacy

RICHIEDI CONSULENZA

Autore Annalisa Spedicato

Avvocato Esperto in IP ICT e Privacy