[ Stampa documento ]
VG18.1057  12/04/2018Privacy: trattamento soggetti a valutazione di impatto sulla protezione dei dati canale: Diritto d'impresa |
|
Il Regolamento Europeo in materia di protezione dei dati personali introduce un adempimento specifico per quei trattamenti che, prevedendo in particolare l’uso di nuove tecnologie, in ragione della natura, dell’oggetto, del contesto e delle finalità del trattamento, possono presentare un “rischio elevato” per i diritti e le libertà delle persone fisiche. In tali casi il titolare del trattamento deve effettuare una preventiva valutazione di impatto sulla protezione dei dati (DPIA - “Data Protection Impact Assessment”). |
|
Approfondimenti
Valutazione di impatto sulla protezione dei dati La valutazione (1) svolta deve essere documentata (preferibilmente, andrebbero documentati anche i motivi che giustificano l’inesistenza dell’obbligo di valutazione di impatto). La DPIA deve essere effettuata prima di iniziare il trattamento ed è buona prassi riesaminarla continuamente e rivalutarla con regolarità. Se nominato, il responsabile della protezione dati (“Data Protection Officer” - DPO) deve essere consultato. Vengono quindi elencati tre casi in cui è sempre richiesta la valutazione di impatto: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Tali casi, tuttavia, non esauriscono i trattamenti soggetti alla valutazione. Linee guida su DPIA: 9 indici Al fine di agevolare i titolari del trattamento nell’auto-analisi circa la necessità di svolgere o meno una valutazione preventiva, il Gruppo di lavoro dei Garanti europei ha emanato delle “linee guida” in materia (2) fatte proprie dal Comitato europeo per la tutela dei dati, che hanno individuato i seguenti nove indici presuntivi di elevata rischiosità da tenere in considerazione per identificare i trattamenti che possono presentare un “rischio elevato”: 1) la valutazione o l’assegnazione di un punteggio, inclusa la profilazione basata su aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”. Ad esempio, nel caso in cui un’impresa crei profili comportamentali degli utenti del proprio sito web per finalità di marketing; 2) i processi decisionali automatizzati, che producono effetti giuridici sugli interessati o che, in modo analogo, incidono significativamente sugli stessi. Ad esempio, quando il trattamento porta all’esclusione degli interessati da un determinato processo ovvero a una discriminazione nei loro confronti; 3) il monitoraggio sistematico degli interessati. Ad esempio, quando il trattamento è utilizzato per osservare, monitorare o controllare gli interessati; 4) in trattamento di dati “sensibili” o di dati aventi carattere altamente personale. In particolare, sono considerati di carattere altamente personale, i dati legati ad attività a carattere personale o domestico (es. le comunicazioni elettroniche), quelli che influenzano l’esercizio di un diritto fondamentale (es. i dati relativi all’ubicazione) e quelli la cui violazione implica gravi ripercussioni sulla vita quotidiana dell’interessato (es. i dati finanziari); 5) il trattamento di dati su larga scala; 6) la creazione di corrispondenze o la combinazione di insiemi di dati personali. Ad esempio, quando il trattamento, avente ad oggetto dati derivanti da più attività o da più titolari, viene effettuato per finalità ulteriori rispetto a quelle originarie e con modalità che vanno oltre le ragionevoli aspettative dell’interessato; 7) i trattamenti di dati relativi a interessati vulnerabili. Ad esempio, i trattamenti dei dati dei minori e i trattamenti in ambito lavorativo; 8) l’ uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative; 9) il trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto. Le linee guida suggeriscono di considerare quale indice di trattamenti da assoggettare alla valutazione tutte le tipologie in cui ricorrono due o più criteri elencati, fermo restando che il titolare può ritenere che un trattamento che soddisfa anche un solo criterio venga assoggettato alla valutazione di impatto. Con riferimento all’individuazione del rischio, le Linee Guida chiariscono che il rischio è da riferirsi ai diritti e alle libertà dell’interessato e non già al titolare del trattamento. In particolare, ai fini dell’individuazione del rischio, rilevano non solo i diritti alla protezione dei dati e alla vita privata, ma anche gli altri diritti fondamentali, quali la libertà di parola, la libertà di pensiero, la libertà di circolazione, il divieto di discriminazione, il diritto alla libertà di coscienza e di religione. Quanto, poi, alla gestione del rischio, essa viene definita come l’insieme delle attività coordinate volte a indirizzare un’organizzazione in relazione ai rischi individuati. Trattamenti transfrontalieri Infine, il Garante privacy italiano, con proprio Provvedimento (3), ha emanato un elenco positivo (4) di trattamento soggetti alla valutazione di impatto. In particolare, l’elenco (allegato) riguarda i trattamenti soggetti al “meccanismo di coerenza” (cd. trattamenti transfrontalieri), vale a dire i trattamenti finalizzati “all’offerta di beni e servizi o al monitoraggio di interessati in più Stati Membri e i trattamenti che possono incidere in maniera significativa sulla libera circolazione dei dati personali all’interno dell’UE” (5). Nel Provvedimento, l’Autorità sottolinea come l’elenco in oggetto, che individua dodici trattamenti, non sia esaustivo e come i principi generali sulla valutazione di impatto, per come ricavabili dalla specifica norma del Regolamento europeo, siano in ogni caso prevalenti. Pertanto, a prescindere da quanto indicato nell’elenco, qualora un trattamento, transfrontaliero o meno, presenti un elevato rischio per i diritti e le libertà degli interessati, il titolare è tenuto a effettuare una DPIA in conformità a quanto previsto nelle “Linee Guida” del WP29. Software per esecuzione della DPIA L’applicativo predisposto (anche in lingua italiana) dall’Autorità di controllo francese (CNIL) per realizzare la valutazione di impatto è liberamente scaricabile al seguente indirizzo attivato dal sito del Garante italiano e che rimanda al sito dell’Autorità francese: (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil). Il Garante italiano, nel proporlo quale strumento utile, ha precisato che “Il software qui presentato NON costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d´impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d´impatto che va integrata in ragione delle tipologie di trattamento esaminate”. Note (1) La Valutazione d’impatto viene prevista dall’art. 35 del Regolamento UE 2016/679 (GDPR). (2) Linee guida WP248, rev.01 del 4 ottobre 2017, ratificate dal Comitato europeo per la protezione dei dati (cd. Board) il 25 maggio 2018. (3) Provvedimento dell’11 ottobre 2018. (4) In forza del 4° e 6° paragrafo dell’art. 35 del GDPR. (5) Art. 35, par. 5 e 6 del GDPR. |
|
Allegati
- Linee-guida concernenti valutazione impatto sulla protezione dati (file .pdf - 1370Kb)  - Elenco trattamenti VIP (file .pdf - 212Kb) - ALLEGATO 1 Elenco delle tipologie di trattamenti soggetti al meccanismo di coerenza da sottoporre a valutazione di impatto (file .pdf - 170Kb) |
|
Per informazioni Elisa Ambrosi Massimiliano Ciarrocchi Via degli Arcadi, 7, Via degli Arcadi, 7 tel. 0481 33101 int. 350, 0481 33101 int. 314 fax 0481 532204, 0481 532204 mail e.ambrosi@confindustriaaltoadriatico.it, m.ciarrocchi@confindustriaaltoadriatico.it |