Il Data Protection Impact Assessment (DPIA)

di Carmine Perri

Introduzione

E’ opportuno procedere con un esame dell’ istituto del DPIA per verificarne la natura e  l’ambito di applicabilità.

L’istituto in esame va descritto come uno strumento essenziale per il titolare, al fine di valutare la necessità e la proporzionalità del trattamento effettuato, nonché per gestire gli eventuali rischi per i diritti e le libertà delle persone fisiche da esso derivanti, attraverso una valutazione del rischio e l’individuazione delle misure più idonee per mitigarlo.[1]

L’espletamento di tale procedura, si caratterizza, quindi, per essere un’attività necessariamente prodromica alla tipologia di trattamento ipotizzata (cfr. articolo 35, comma 1 e 10, e considerando 90 e 93 del GDPR).[2]

Un tale approccio risulta pienamente coerente, infatti,  con i principi di protezione dei dati fin dalla progettazione e di protezione per impostazione predefinita (cd. Privacy by design e Privacy by default – cfr. articolo 25 e considerando 78 del GDPR).

Pertanto, l’espletamento di un DPIA consente al titolare di analizzare sistematicamente e approfonditamente l’impatto che un nuovo trattamento, una nuova tecnologia o modifiche sostanziali intervenute su un trattamento già in corso potrebbero arrecare ai diritti e alle libertà degli interessati.

Inoltre, è opportuno sottolineare che una singola valutazione può esaminare congiuntamente un insieme di trattamenti simili che presentano rischi elevati analoghi.

Casi in cui è obbligatorio un DPIA

L’art. 35, comma 1, del GDPR prevede che il processo di DPIA sia obbligatorio quando un trattamento di dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche.

A riguardo, al fine di assicurare un’interpretazione coerente delle circostanze in cui risulta obbligatorio lo svolgimento di un DPIA, il gruppo di lavoro ex articolo 29 (gruppo di lavoro di cui fanno parte tutte le Authority Privacy di ciascun Stato Membro dell’Unione Europea, c.d. “WP-29”) ha pubblicato il 4 aprile 2017 un documento contenente le linee guida per lo svolgimento di un DPIA chiarendo il concetto espresso dall’articolo 35, 1°c. GDPR.[3]

In particolare, è stato stabilito che il suddetto riferimento ai diritti e alle libertà degli interessati comprende ma non si esaurisce con i diritti alla protezione dei dati e alla vita privata.

Infatti, tale concetto va esteso anche altri diritti fondamentali quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione.[4]

E’ opportuno sottolineare, dunque, come il GDPR affidi al solo Titolare (coadiuvato eventualmente dal D.P.O.) il compito di valutare se il trattamento progettato rientri o meno tra i casi per i quali il DPIA è obbligatorio.

Il titolare del trattamento, dunque, è tenuto a consultare  il DPO, qualora designato, e ad attenersi al parere ricevuto. Il DPO, dal canto suo, ha l’obbligo di  monitorare lo svolgimento del DPIA e di fornire il suo parere per iscritto, in quanto determinante ai fini dell’esito positivo della procedura in esame.

Va evidenziato, inoltre, come, al fine di sensibilizzare e responsabilizzare il titolare, il GDPR non elenchi tassativamente i casi nei quali è obbligatorio procedere ad un DPIA, ma si limiti ad elencare tre ipotesi nelle quali esso è richiesto all’art.35, c.3:

  • quando il trattamento comporta una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • quando il trattamento avviene su larga scala e riguarda categorie particolari di dati personali di cui all’articolo 9 paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
  • quando il trattamento ha ad oggetto la sorveglianza sistematica su larga scala di una zona accessibile al pubblico;

Inoltre, bisogna sottolineare che il WP-29, su tale punto, suggerisce di effettuare il DPIA in tutti i casi in cui sussistono dei dubbi circa l’opportunità di espletare tale procedura, poiché risulta, in ogni caso, uno strumento utile per i titolari del trattamento in termini di compliance con le norme in materia di protezione dei dati.

Linee guida WP-29

Al fine di fornire un quadro più omogeneo della tipologia di trattamenti di dati personali che richiedono un DPIA, in virtù del loro rischio intrinseco elevato, il WP-29 ha emanato delle linee guida (cd. WP 248[5]) contenenti nove criteri in presenza dei quali si può desumere che il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche:

  1. nei casi di valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione. In questi casi, in particolare, deve essere presa in considerazione la ricorrenza di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato (cfr. Considerando 71 e 91 del GDPR);
  2. quando esiste un processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente;
  3. nei casi in cui il trattamento ha ad oggetto il monitoraggio sistematico. Rientrano in tale categoria i trattamenti utilizzati per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (cfr. articolo 35, comma 3, lettera c del GDPR);
  4. quando vengono trattati dati sensibili o dati aventi carattere altamente personale. Devono ritenersi ascrivibili a tale alveo le categorie particolari di dati personali così come definite all’articolo 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati di cui all’articolo 10;
  1. nei casi di trattamento di dati su larga scala. Si evidenzia sul punto che il GDPR non definisce la nozione di “larga scala”, tuttavia esso  fornisce un orientamento in merito al considerando 91. Nello specifico, il WP29 al fine di stabilire se un trattamento sia effettuato su larga scala segnala due criteri:
    • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
    • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  1. nei casi in cui viene effettuata una creazione di corrispondenze o combinazione di insiemi di dati;
  2. quando vengono trattati dati relativi a interessati vulnerabili. Il novero di tale categoria di dati nell’alveo dei casi in cui viene richiesto l’espletamento del  DPIA è dovuto alla situazione di squilibrio di potere tra gli interessati e il titolare del trattamento, aspetto questo che fa sì che i primi possono non essere in grado di opporsi al trattamento dei loro dati o di esercitare i propri diritti (ad esempio minori, lavoratori dipendenti);
  1. nel caso di uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative;
  2. quando il trattamento in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (cfr. articolo 22 e considerando 91 del GDPR).

In particolare, il WP ha delineato una regola di condotta in base alla quale, in presenza di un trattamento che soddisfi almeno due dei nove criteri, il DPIA è  da considerarsi necessario.

In generale, il WP-29 ritiene che maggiore è il numero di criteri soddisfatti dal trattamento, più elevata  sarà la probabilità di rischi elevati per i diritti e le libertà degli interessati.

Di conseguenza, in tali casi si impone come necessario un DPIA, indipendentemente dalle misure previste dal titolare del trattamento.[6]

In alcuni casi, tuttavia, il titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno di questi criteri richieda lo svolgimento di un DPIA, considerata anche l’esito della consultazione preventiva con l’autorità di controllo ex. art. 36 GDPR.[7]

Contrariamente, un trattamento può corrispondere ad uno o più dei casi suddetti ed essere comunque considerato dal titolare un trattamento non comportante un rischio elevato.

In tali casi, tuttavia, il titolare del trattamento dovrà necessariamente giustificare e documentare i motivi che lo hanno spinto a non effettuare un DPIA, nonché allegare il parere del responsabile della protezione dei dati (DPO) qualora nominato.[8]

Casi in cui un DPIA non è obbligatorio

Di converso, per rendere più agevole l’ambito di valutazione del titolare, il WP-29 ha ritenuto che un DPIA non sia richiesto nei seguenti casi:

  1. quando il trattamento non è tale da presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
  2. quando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un trattamento per il quale è già stato svolto un DPIA;
  3. quando le tipologie di trattamento sono state verificate da un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non hanno subito modifiche;
  4. qualora un trattamento trovi una base giuridica nel diritto dell’Unione o nel diritto dello Stato membro, tale diritto disciplini il trattamento specifico o sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nel contesto dell’adozione di tale base giuridica;
  5. qualora il trattamento sia incluso nell’elenco facoltativo (stabilito dall’autorità di controllo) delle tipologie di trattamento per le quali non è richiesta alcuna valutazione d’impatto sulla protezione dei dati.

Linee guida integrative dettate dall’Autorità Garante Privacy

Il Garante italiano, al fine di agevolare il titolare nell’ambito dell’identificazione dei casi in cui è opportuno procedere con un DPIA, ha fornito un ulteriore supporto operativo, pubblicando lo scorso 15 novembre un provvedimento avente carattere generale e riguardante l’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati.[9]

Il provvedimento è stato emanato ai sensi dell’art. 35, comma 4, del GDPR, infatti, in base a tale disposizione, ogni autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati.

L’autorità di controllo, poi, comunica tali elenchi al comitato di cui all’articolo 68 del citato Regolamento.

Attraverso questa facoltà concessa dal GDPR, le supervisory authority degli Stati membri possono creare propri elenchi in considerazione delle esigenze e delle normative locali.[10]

Il Comitato dei Garanti Europei (EDPB – European Data Protection Board) ha, quindi, il compito di vagliare queste liste per accertare che l’esercizio di tale discrezionalità non porti ad una sostanziale contraddizione rispetto alle disposizioni contenute nel GDPR.[11]

Il Garante italiano ha provveduto, pertanto, a stilare il proprio elenco e a comunicarlo all’EDPB che, a sua volta, nella Opinion 12/2018, pubblicata il 3 ottobre scorso[12], ha specificato il framework di tale intervento.

Sulla base delle indicazioni ricevuta dal Board europeo, il Garante italiano ha provveduto, quindi, ad individuare dodici casistiche[13] in presenza delle quali il DPIA deve essere considerato obbligatorio:

  1. Trattamenti valutativi o di scoring su larga scala, trattamenti che comportano la profilazione degli interessati, nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato;
  2. Trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici oppure che incidono in modo analogo significativamente sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi);
  3. Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione (inclusi servizi web, tv interattiva, etc.) rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati (ad es. in ambito telecomunicazioni, banche, etc.) effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi anti-frode, anti-spam, sicurezza etc.;
  4. Trattamenti su larga scala di dati aventi carattere estremamente personale (WP 248, rev. 01). Tale categoria fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione), oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti);
  5. Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (compresi i sistemi di video-sorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti (v. WP 248, rev. 01, sui criteri nn. 3, 7 e 8);
  6. Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  7. Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT, sistemi di intelligenza artificiale, utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale, monitoraggi effettuati da dispositivi wearable, tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01;
  8. Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
  9. Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile payment );
  10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse;
  11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
  12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

Contenuto del DPIA

Va evidenziato come, in base all’art. 35, c.7 del GDPR, la valutazione di impatto sul trattamento dei dati debba necessariamente comprendere alcuni elementi quali:

  1. una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  2. una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
  4. le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR, tenuto conto degli interessi legittimi degli interessati e delle altre persone in questione.

Al  fine di espletare al meglio tale procedura e di migliorarne le criticità, al titolare è concessa la facoltà di raccogliere le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto.

E’ importante considerare, infine, che per valutare l’impatto del trattamento effettuato dai titolari, è tenuto in conto il rispetto, da parte degli stessi, dei codici di condotta ex art.40 GDPR.[14]

Conclusione

In conclusione si sottolinea che, in un’ottica di responsabilizzazione dei titolari nei confronti dei trattamenti da questi effettuati, il GDPR definisce soltanto un framework all’interno del quale spetterà ai primi assumere un ruolo d’impulso per arginare e/o scongiurare  rischi elevati per i diritti e le libertà delle persone cui appartengono i dati trattati.

Sotto tale aspetto si evidenzia, pertanto, come la realizzazione di un DPIA costituisca un processo continuativo e non un esercizio una tantum da parte del titolare.[15]

Un’attività pro-attiva da parte di quest’ultimo, volta a verificare e marginalizzare i potenziali rischi per i dati trattati, si impone, quindi, come un obbligo imprescindibile per il titolare, anche al fine di scongiurare le gravi sanzioni pecuniarie imposte dall’autorità di controllo competente.

La mancata esecuzione di un DPIA nei casi in cui il trattamento è soggetto allo stesso, l’esecuzione in maniera errata del DPIA oppure la mancata consultazione dell’autorità di controllo laddove richiesta, possono comportare, infatti, l’irrogazione di una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di Euro oppure, nel caso di un’impresa, pari a fino al 2% del fatturato annuo globale dell’anno precedente, qualora tale importo risulti superiore.


[1] Lloyd I.J., Information Technology law, Oxford University Press, 2014;

[2] Pelino E., Bolognini L., Bistolfi C., Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Giuffrè, 2016;

[3] D’agostino A., Girotti G.,Il Data Protection Impact Assessment “DPIA”: cos’è e come svolgerlo, Diritto 24, Sole 24 ore, 2018;

[4] Mantelero, A. Comment to Article 35 and 36, In Cole, M., Boehm, F. (eds.). GDPR Commentary, Edward Elgar Publishing, 2019, Forthcoming, 2019;

[5] http://ec.europa.eu/justice/data-protection/index_en.htm

[6] Pelino E., Bolognini L., Bistolfi C., Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Giuffrè, 2016;

[7] Mantelero, A. Comment to Article 35 and 36, In Cole, M., Boehm, F. (eds.). GDPR Commentary, Edward Elgar Publishing, 2019, Forthcoming, 2019;

[8] Pelino E., Bolognini L., Bistolfi C., Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Giuffrè, 2016;

[9] https://www.privacy.it/2018/11/15/garante-pubblicato-elenco-trattamenti-dpia/

[10] https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/data-protection-impact-assessments-dpias-guidance

[11] D’Agostino A. Girotti G., Il Data Protection Impact Assessment “DPIA”: cos’è e come svolgerlo, Diritto 24, Sole 24 ore, 2018;

[12] https://edpb.europa.eu/sites/edpb/files/files/file1/2018-09-25-opinion_2018_art._64_it_sas_dpia_list_en.pdf

[13] https://www.privacy.it/2018/11/15/garante-pubblicato-elenco-trattamenti-dpia/

[14] Pelino E., Bolognini L., Bistolfi C., Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Giuffrè, 2016;

[15] Quelle C., The data protection impact assessment, or: how the General Data Protection Regulation may still come to foster ethically responsible data processing, SSRN, 2015.


Autore

Carmine Antonio Perri

Author Carmine Antonio Perri

More posts by Carmine Antonio Perri
en_USEnglish
it_ITItaliano en_USEnglish