La valutazione di impatto (DPIA) secondo le linee guida del WP29

In base all’art. 35 del GDPR, quando si è in presenza di una tipologia di trattamento dei dati personali che – per l’uso di nuove tecnologie o per la natura, l’oggetto, il contesto o le finalità del trattamento – può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare preventivamente una valutazione di impatto dei trattamenti (Data Protection Impact Assessment – DPIA) previsti sulla protezione dei dati personali.

Sull’argomento è recentemente intervenuto il Data Protection Working Party ex art. 29 (WP29), aggiornando le proprie Linee Guida proprio allo scopo di offrire un’interpretazione uniforme delle situazioni in cui, in base al GDPR, si deve ritenere integrato il requisito del “rischio elevato per i diritti e le libertà delle persone”.

Il WP29 ha, innanzitutto, chiarito che il DPIA è un importante strumento in funzione ed a  supporto del principio di accountability, in quanto aiuta i titolari del trattamento non solo ad essere conformi alle prescrizioni del GDPR, ma anche a dimostrare di aver adottato le misure tecniche ed organizzative adeguate per assicurare la protezione dai dati personali dai rischi tipici di uno specifico trattamento.

L’attività di risk management relativa alla protezione dei dati personali è, d’altra parte, solo una faccia della medaglia costituita, nel suo complesso, dalla gestione del rischio aziendale e della sua governance.

In questo contesto, i rischi cui può andare incontro l’integrità e la sicurezza dei dati personali possono suddividersi in:

1. rischi connessi al comportamento delle persone;
2. rischi connessi agli strumenti di lavoro;
3. rischi relativi al contesto in cui opera l’azienda.

Il GDPR impone al titolare del trattamento di vagliare i rischi sottesi allo svolgimento delle attività di trattamento dei dati personali, alla luce dell’evoluzione dei servizi offerti dal web 2.0, che sono potenzialmente in grado di ledere la sfera del privato cittadino con una pervasività ed intensità mai in precedenza riscontrata, mediante le tecniche di profilazione in connessione con i c.d. “trattamenti secondari” (cioè quei trattamenti con finalità ulteriori e diverse rispetto a quelle originarie, in relazione alle quali i dati erano stati inizialmente raccolti).

Secondo l’opinione del WP29 il risk based approach richiesto dal GDPR trova la sua ideale finalizzazione proprio nello svolgimento, da parte dell’azienda, di un adeguato DPIA, ritenuto, infatti, strumento idoneo a dimostrare la compliance al GDPR anche laddove non sia richiesto come obbligatorio dall’art. 35.

Anzi, il WP29 precisa che, nei casi dubbi tra obbligatorietà e facoltatività, è buona prassi effettuare, comunque, il DPIA.

Per quanto riguarda, poi, l’individuazione delle concrete ipotesi di “rischio elevato per i diritti e le libertà delle persone” da cui discende l’obbligatorietà del DPIA, il WP 29 elenca i seguenti nove casi:

1. casi di valutazione o di attribuzione di punteggi, inclusa la profilazione anche a scopo predittivo, aventi ad oggetto le performance di una persona sul luogo di lavoro, la sua situazione economica, la sua salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, la posizione o i movimenti di un interessato;
2. decisioni automatizzate, con conseguenze legali o effetti similari di significativo impatto sulla vita delle persone, per il rischio insito in possibili discriminazioni sistematiche contro individui con determinate caratteristiche;
3. monitoraggio sistematico, sia in contesti privati sia in contesti pubblici, soprattutto quando di tale attività gli interessati possono non essere consapevoli;
4. trattamento di dati sensibili o di natura estremamente personale, ivi compresi i contenuti di email o di diari e/o note di natura personale provenienti da e-readers o, ancora, informazioni provenienti da applicazioni (anche wearable) di monitoraggio delle abitudini quotidiane;
5. dati personali trattati su larga scala, intendendosi per tali quelli relativi ad un numero elevato di soggetti sia in termini assoluti, sia in termini percentuali in relazione ad un determinato territorio, sia in termini di durata nel tempo;
6. attività di rielaborazione di dati personali provenienti da più fonti per finalità che l’interessato riterrebbe eccedenti le sue ragionevoli aspettative;
7. dati personali di soggetti vulnerabili, quali minori, bambini, lavoratori, pazienti, persone affette da handicap di vario genere;
8. uso innovativo di tecnologie già esistenti (finalità non previste né prevedibili) o applicazione di nuove tecnologie o di nuovi processi organizzativi in grado di disvelare ulteriori aspetti della vita delle persone che gli stessi interessati non consideravano poter essere presi in considerazione, come potrebbe avvenire con determinate tipologie di tecnologie IoT;
9. trattamento di dati personali che possono comportare l’effetto di impedire all’interessato di esercitare un diritto o di poter beneficiare di un servizio o di un contratto.

In tutti i casi sopra descritti, sarà necessario, quindi, effettuare uno o più DPIA (in base alle finalità del trattamento).

Il WP29 precisa, in ogni caso, che, anche in ipotesi di obbligatorietà, il titolare del trattamento che ritiene di non essere, i concreto, in una situazione di “rischio elevato per i diritti e le libertà delle persone”, potrà evitare il DPIA, giustificando e documentando le ragioni di tale suo convincimento.

E’, in ogni caso, convinzione del WP29 che costituisca buona prassi:

1. revisionare costantemente regolarmente la valutazione di impatto, al fine di garantirne la validità nel tempo;
2. documentare nel DPIA le decisioni assunte dal titolare del trattamento, anche in base ai suggerimenti offerti dal DPO;
3. definire, in un apposito documento, i ruoli e le responsabilità delle diverse funzioni aziendali in relazione alle finalità del trattamento, alle policy interne, etc..

Lo svolgimento del DPIA è, quindi, un processo dinamico e circolare che accompagna l’impresa in ogni sua fase produttiva nel corso del tempo, perché – per usare le parole del WP29 – la valutazione di impatto prevista dall’art. 35 del GDPR “is a continual process, not a one-time exercise”.