Il provvedimento del nostro Garante per la protezione dei dati personali pubblicato nelle scorse settimane (che potete trovare nella sezione “documenti utili” del Blog al n. 31 dell’elenco) in tema di valutazione di impatto sulla protezione dei dati, mi permette di tornare sul tema della DPIA, che già avevo trattato circa un anno fa (“la valutazione di impatto secondo le linee guida del WP29”).
Come sappiamo, l’art. 35 del GDPR prevede che, “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”
Il comma 3 dell’art. 35 GDPR, precisa, inoltre, che “La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.
Il comma successivo stabilisce, infine, che “L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1″.
Proprio sulla base del predetto quarto comma dell’art. 35, il nostro Garante ha da poco pubblicato l’elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione di impatto, “che specificano quanto riportato nelle linee guida del WP 29 del del 4 aprile 2017” (che potete reperire sempre nella sezione “documenti utili” del Blog al n. 5), individuando 12 tipologie di trattamento che devono ritenersi soggette alla DPIA.
Occorre, peraltro, prestare molta attenzione al fatto che il Garante:
- si riferisce a trattamenti transfrontalieri, relativi, cioè, ad “attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione”;
- precisa che “l’elenco è riferito esclusivamente a tipologie di trattamento soggette al meccanismo di coerenza e che non è esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dal WP 29″ nel citato parere del 2017 e che, “in taluni casi, un titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno [dei predetti] criteri richieda una valutazione d’impatto sulla protezione dei dati”.
Nel dettaglio, il Garante ha individuato le seguenti 12 tipologie di trattamento (rimando, comunque, alla lettura integrale del documento per i dettagli dei singoli trattamenti):
- trattamenti valutativi o di scoring su larga scala, di profilazione o implicanti attività predittive;
- trattamenti automatizzati che producono effetti giuridici sugli interessati, come, ad esempio, lo screening dei clienti di una banca tramite dati presentii in una centrale rischi;
- trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, anche tramite oggetti smart, compreso il trattamento di metadati;
- trattamenti su larga scala di dati aventi carattere estremamente personale;
- trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici, anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione, in grado di determinare un controllo a distanza dei lavoratori;
- trattamenti non occasionali di dati relativi a soggetti vulnerabili;
- trattamenti effettuati attraverso l’uso di tecnologie innovative (ioT, oggetti wearable, wi-fi tracking, sistemi IA, assistenti vocali), purché ci sia anche un altro dei criteri individuati dal WP29 nel parere del 2017 sopra citato;
- trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
- trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compreso il mobile payment;
- trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati
personali raccolti per finalità diverse; - trattamenti sistematici di dati biometrici;
- trattamenti sistematici di dati genetici.
Occorre, comunque, sottolineare che l’obbligo di procedere alla valutazione di impatto prevista dall’art. 35 del GDPR si basa sul principio del risk based approach, come ha precisato il WP29 fin dalla Dichiarazione del 30 maggio 2014.
Ciò comporta che, anche al di fuori dei casi espressamente indicati dal nostro Garante con il provvedimento in commento, il Titolare del trattamento dovrà, comunque, procedere alla valutazione di impatto ogni qualvolta, sulla base delle risultanze emergenti dall’attività di assessment risk , dovesse ritenere, secondo il principio generale di responsabilizzazione caratterizzante il GDPR, di essere in presenza di un trattamento in grado di costituire un rischio elevato per i diritti e le libertà delle persone fisiche.
Ricordo, infine, che la violazione della disciplina in tema di DPIA prevede la sanzione pecuniaria fino ad un massimo di 10 milioni di Euro o 2% del fatturato globale annuo.