La procedura di valutazione di impatto sulla protezione dei dati (o, all’inglese, DPIA) è disciplinata dall’art. 35 del GDPR, che ne prevede lo svolgimento obbligatorio da parte del Titolare del trattamento in questi casi:
- quando il Titolare del trattamento svolge una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su di un trattamento automatizzato, compresa la profilazione, sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sulle persone fisiche;
- quando il Titolare svolge trattamenti su larga scala di categorie particolari di dati o di dati relativi a condanne penali e/o a reati;
- quando il Titolare attua una sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
L’EDPB (allora WP29), nelle proprie linee guida del 4 ottobre 2017 – che trovate nella sezione “Documenti utili” del Blog, al n. 5 dell’elenco, cliccando qui – ha individuato, al riguardo, nove criteri, precisando che, quando un trattamento coinvolge due o più di tali criteri, il Titolare del trattamento deve attentamente valutare la situazione perché è assai probabile che il trattamento richieda lo svolgimento di un’apposita DPIA.
Inoltre, nell’ottobre del 2018, l’EDPB ha pubblicato un elenco, ripreso anche dal nostro Garante per la Protezione dei Dati Personali, contenente le tipologie di trattamenti da sottoporre senz’altro a valutazione di impatto ed alla cui lettura vi rimando (trovate anche questo documento nella sezione “Documenti utili” del Blog, al n. 31 dell’elenco, cliccando qui).
Ricordo, inoltre, brevemente che, per valutare se si è in presenza di un trattamento su larga scala, occorre fare riferimento:
- al numero di soggetti interessati in termini assoluti o espressi in percentuale sulla popolazione di riferimento;
- al volume di dati e/o alle diverse tipologie di dati oggetto di trattamento;
- alla portata geografica dell’attività di trattamento.
In linea di massima si può, comunque, ritenere che il Titolare del trattamento dovrà ricorrere alla procedura di DPIA ogniqualvolta un trattamento è potenzialmente suscettibile di determinare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizi alla reputazione, decifratura non autorizzata e, più in generale, lesioni ai diritti di libertà d’espressione, libertà di pensiero, di coscienza, di religione, di movimento, etc..
La valutazione di impatto deve essere condotta dal Titolare prima di procedere al trattamento e deve coinvolgere anche il Data Protection Officer, nel caso sia stato nominato, che vigila sullo svolgimento del processo di valutazione e al quale, normalmente, verrà richiesto un parere, che resterà allegato alla documentazione rilevante della DPIA svolta.
Il Titolare dovrà, in particolare, confrontarsi con il proprio DPO perlomeno sui seguenti aspetti:
- necessità della valutazione di impatto;
- metodologia;
- individuazione del soggetto incaricato della valutazione di impatto;
- misure tecniche ed organizzative per ridurre i rischi del trattamento;
- valutazione sulle modalità di conduzione della DPIA.
Il GDPR richiede, inoltre, al Titolare del trattamento di coinvolgere nel processo di valutazione del rischio anche:
– gli interessati, chiedendo la loro opinione (con questionari o altri strumenti ritenuti adeguati) o coinvolgendo i rappresentanti di categoria. Se gli interessati non vengono coinvolti, il Titolare dovrà esplicitarne le ragioni (ad esempio, perché si tratterebbe di un’attività sproporzionata o non praticabile o non opportuna in relazione alle informazioni da divulgare, etc.);
– tutte le persone dell’organizzazione competenti su aspetti che coinvolgono lo specifico trattamento: ad esempio, responsabili della sicurezza dei sistemi di informazione, soggetti che assumono decisioni strategiche in quel particolare trattamento, etc.;
– eventuali consulenti esterni indipendenti, quali Avvocati, Ingegneri, esperti di cyber security, che abbiano voce in capitolo sullo specifico trattamento.
Ma come si esegue una DPIA?
Secondo l’art. 35 del GDPR, la valutazione di impatto deve contenere almeno questi elementi:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso l’eventuale interesse legittimo del Titolare: questi elementi devono essere descritti in modo completo, coerente, chiaro e non generico;
- una valutazione della necessità e proporzionalità dei trattamenti, con riferimento alla finalità dichiarata sopra. Sotto questo profilo, il Titolare deve a) indicare esplicitamente per quali ragioni ciascuno dei trattamenti analizzati è necessario al perseguimento delle finalità che intende conseguire e b) i motivi in base ai quali si ritengono inidonee, rispetto agli scopi perseguiti, altre misure meno invasive dei diritti degli interessati; c) dovrà, inoltre, essere esaminata l’efficacia del trattamento in relazione allo scopo perseguito;
- la valutazione dei rischi per i diritti e le libertà degli interessati, considerata la natura, l’oggetto, il contesto e la finalità del trattamento. Per rischio si deve, in particolare, intendere uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità;
- le misure previste per affrontare i rischi e, in particolare, le garanzie, le misure di sicurezza, i meccanismi per garantire la protezione dei dati degli interessati e dimostrare la conformità del trattamento, anche tenuto conto degli interessi legittimi degli interessati e delle altre persone coinvolte nel trattamento. Per “gestione del rischio” va inteso, in particolare, l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione al predetto rischio.
In base all’ultimo comma dell’art. 35 GDPR, occorre che la procedura di DPIA sia sottoposta a riesame almeno quando “insorgono variazioni del rischio rappresentato dalle attività relative al trattamento”. Quindi, non esiste, a differenza di quanto a volte si legge, una periodicità predefinita per il riesame della valutazione di impatto.
Da quanto si è sopra descritto, si evince che la DPIA è un processo strutturato in due fasi: la prima, consistente nella stima del rischio del trattamento, con riferimento alla sua probabilità e gravità; la seconda, costituita dalla fase di decisione delle misure da adottare per gestire, attenuandolo o eliminandolo, il rischio precedentemente individuato.
Nella fase di individuazione delle migliori modalità di gestione del rischio dovrà essere tenuto in considerazione il rischio insito nel trattamento ed il rischio residuale: il primo si riferisce alla probabilità che si producano conseguenze negative se non vengono adottate misure di protezione adeguate; il secondo conduce a definire se si può adottare il trattamento senza dover preventivamente ricorrere alla consultazione dell’Autorità, come previsto dall’art. 36 del GDPR.
Per quanto riguarda la metodologia da utilizzare per condurre la DPIA, il GDPR lascia ampia libertà di scelta al Titolare del trattamento, il quale dovrà, comunque, esplicitare nel documento di valutazione quale metodologia ha seguito per svolgere la valutazione di impatto e le motivazioni che lo hanno indotto a tale scelta.
Ricordo, sul punto, che la CNIL ha elaborato un software per le PMI, richiamato anche dal nostro Garante nella versione italiana, che potete trovare sul sito dell’Autorità francese.
Nel mese di settembre 2019 anche l’Autorità irlandese ha pubblicato una propria guida alla DPIA , che ho appena aggiunto, per la vostra consultazione, nella sezione “Documenti utili” del Blog, al n. 42 dell’elenco.
Non posso, infine, concludere questo intervento senza ricordare che il GDPR sanziona l’omesso svolgimento della DPIA, laddove ritenuto obbligatorio e necessario, con la sanzione amministrativa pecuniaria fino ad un massimo di Euro 10 milioni o, se il Titolare è un’impresa, fino al 2% del fatturato mondiale annuo dell’esercizio finanziario precedente, qualora esso sia superiore.
Un incentivo sufficiente, ritengo, per non lesinare con lo strumento della DPIA, soprattutto in tutti i casi dubbi!