mercoledì, Marzo 27, 2024
Uncategorized

Le valutazioni d’impatto (DPIA) del GDPR

Il 27 aprile 2016 il Parlamento e il Consiglio dell’Unione europea hanno approvato il Regolamento 2016/679[1] relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (d’ora in poi GDPR). Il nuovo pacchetto di riforme sostituito totalmente la Direttiva 95/46/CE[2] ed il D.Lgs. 196/2003[3], e, a breve, sarà direttamente applicabile in tutti gli Stati Membri in virtù della sua natura di normativa self-executive. Tra le innumerevoli novità introdotte[4], ci saranno anche nuove figure professionali, tanto da poter parlare di necessità di riorganizzare i flussi aziendali in modo da essere “privacy focused”.

Se per privacy intendiamo correttamente il trattare i dati personali solo se necessario, nella misura minore possibile, prevedendo ogni sistema di sicurezza utile alla tutela del dato trattato, nel rispetto delle libertà delle persone, per essere privacy compliant, qualora un tipo di trattamento, allorché preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere, una valutazione dell’impatto (c.d. impact assessment) dei trattamenti previsti sulla protezione dei dati personali per determinare, in particolare, l’origine, la natura, la particolarità e la gravità di tale rischio. L’esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il nuovo regolamento.

Posto che una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi, laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo (c.d. Supervisory Authority) che è chiamata a pronunciarsi in 8 giorni (fino a 6 settimane per casi complessi).

L’ autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati e può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati.

Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati (DPO)[5], qualora ne sia designato uno, e raccoglie le opinioni degli interessati o dei loro rappresentanti.

La valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:

  1. una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  2. il trattamento, su larga scala, di categorie particolari di dati personali (di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10)
  3. la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

La valutazione contiene almeno:

–  una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

–  una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

–  una valutazione dei rischi per i diritti e le libertà degli interessati;

–  le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. Il grado di sicurezza si valuta dunque attraverso le contromisure che si sono applicate per proteggere i dati personali dalle minacce individuate ed al titolare spetta di determinare le proprie misure di sicurezza in relazione al fattore di rischio residuo che intende sostenere. I criteri adottati possono essere: bilanciare il costo di sicurezza contro il valore dei beni da proteggere e gli obblighi di legge; bilanciare i bisogni di sicurezza contro i bisogni del business; bilanciare probabilità contro possibilità.

Le linee guida[6] del Gruppo di lavoro ex art. 29 (Working Party 29) individuano nove criteri che il titolare deve prendere in esame per valutare se il trattamento presenta un rischio elevato e di conseguenza vada eseguita una DPIA:

  1. trattamenti che hanno ad oggetto la valutazione, il punteggio (scoring), compresa la profilazione e le attività che attengono in particolare ad “aspetti riguardanti il rendimento professionale, la situazione patrimoniale, la salute, le preferenze, ecc”:
  2. le decisioni automatizzate dalle quali scaturiscono effetti giuridici significativi;
  3. il monitoraggio sistematico degli interessati compresa la raccolta di dati attraverso sistemi di sorveglianza di un’area accessibile al pubblico;
  4. i dati sensibili o di natura estremamente personale;
  5. trattamenti di dati su larga scala, avendo come elementi di riferimento: il numero di soggetti interessati dal trattamento, il volume dei dati oggetto di trattamento, la durata e l’ambito geografico dell’attività di trattamento;
  6. la combinazione o il raffronto di insieme di dati;
  7. i dati relativi a interessati vulnerabili;
  8. l’impiego di nuove soluzioni tecnologiche o organizzative;
  9. i trattamenti che impediscono all’interessato di esercitare un diritto o di avvalersi di un servizio o di un contratto.

Se il titolare ravvisa che un trattamento soddisfa due dei nove criteri sopra enunciati deve condurre una DPIA.

Sempre secondo le linee guida del Gruppo di lavoro ex art. 29 il c.d. impact assessment non è richiesto nei seguenti casi:

  • qualora il trattamento non presenti rischi elevati per i diritti e le libertà delle persone fisiche;
  • qualora la natura, l’ambito, il contesto e le finalità del trattamento siano molto simili a quelli del trattamento per cui è già stata condotta una DPIA (in questi casi, i risultati della DPIA per trattamenti simili possono essere utilizzati);
  • qualora il trattamento sia già stato valutato dall’autorità di controllo prima di maggio 2018 e le condizioni non siano nel frattempo mutate;
  • per i trattamenti effettuati per adempiere un obbligo legale al quale è soggetto il titolare del trattamento, così come per i trattamenti necessari per eseguire un compito di interesse pubblico o connesso all’esercizio di un pubblico potere di cui è investito il titolare del trattamento, sottoposti a disciplina legale comunitaria o da parte di uno Stato membro e che siano già sottoposti a DPIA;
  • qualora il trattamento sia compreso nell’elenco facoltativo redatto dall’autorità di controllo nazionale dei trattamenti.

È previsto un apparato sanzionatorio[7] che si applica nei seguenti casi:

  • mancato svolgimento della DPIA, quando il trattamento lo richiedeva;
  • una errata DPIA;
  • mancata consultazione dell’autorità di controllo competente, ove ciò sia necessario.

Una o più di queste violazioni possono comportare l’irrogazione di una sanzione amministrativa pecuniaria.

Per concludere, proprio perché la potenza è nulla senza controllo, così la privacy diventa un concetto evanescente se non supportata da idonee misure di sicurezza ed attività da porre in essere prima di procedere al trattamento dei dati personali (c.d. “data protection by design”). La protezione dei dati personali dev’essere valutata già nel momento in cui si progettano nuove procedure, con l’attuazione di adeguate misure tecniche e organizzative, ed i dati devono essere trattati solamente per le finalità previste e per il tempo strettamente necessario (c.d. “data protection by default”). Occorre dunque una gestione attiva e non passiva del GDPR, per garantire maggiore efficienza ed acquisire credibilità sul mercato.

 

[1] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. É entrato in vigore il 24 maggio 2016 (pubblicato sulla Gazzetta Ufficiale dell’Unione europea del 4 maggio 2016) e si applica a decorrere dal 25 maggio 2018.

[2] Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

[3] D.Lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), pubblicato sulla G.U. 29 luglio 2003, n. 174 S.O., e successive modifiche.

[4] Simone Cedrola, “Il nuovo scenario in tema di protezione dei dati personali alla luce dell’imminente applicazione del GDPR“, novembre 2017, disponibile qui: https://www.iusinitinere.it/nuovo-scenario-dati-personali-applicazione-gdpr-6131

[5] Simone Cedrola, “Il Data Protection Officer: ruolo e funzioni“, gennaio 2018, disponibile qui: https://www.iusinitinere.it/data-protection-officer-dpo-ruolo-funzioni-6976

[6] “Guidelines on Data Protection Impact Assessment (DPIA)” adottate il 4 aprile 2017.

[7] Simone Cedrola, “La disciplina delle sanzioni previste dal GDPR“, marzo 2018, disponibile qui: https://www.iusinitinere.it/quadro-sanzionatorio-previsto-dal-gdpr-8445

 

fonte immagine: privacyofficertoscana.eu

Anna Rovesti

Anna Rovesti nasce a Modena il 31 ottobre 1992. Conseguita la maturità classica, prosegue i suoi studi presso il Dipartimento di Giurisprudenza dell’Università degli Studi di Modena e Reggio Emilia e consegue la laurea a luglio 2016 con il massimo dei voti. La passione e l’interesse per Informatica giuridica e il Diritto dell'informazione e delle comunicazioni la portano ad approfondire in particolar modo queste materie grazie a corsi universitari, seminari di approfondimento e la partecipazione a luglio 2015 tramite l’Associazione ELSA (European Law Student Association) di cui è socia alla Summer Law School di Copenhagen in Media Law. Proprio in quest’ambito decide di redigere la tesi di laurea dal titolo: “Disciplina della libertà di stampa alla prova delle nuove comunicazioni telematiche. Libertà di espressione e di informazione tra ordinamento italiano e prospettive sovranazionali”. Grazie a un tirocinio formativo presso COOPSERVICE S. Coop. p. A. in area legale-privacy, riesce a mettere a frutto l'interesse per questo ambito, affiancando il tutor aziendale e le figure senior dell’ufficio nella gestione della modulistica, di comunicati, lettere, avvisi e convocazioni d’uso comune legati alla normativa sulla protezione dei dati personali. Attualmente lavora come praticante consulente del lavoro in uno studio di Modena prestando consulenza legale in materia giuslavoristica e nella gestione delle risorse umane (gestione del personale inviato all'estero con assistenza contrattuale fiscale e previdenziale, assistenza giudiziale e stragiudiziale in controversie inerenti il rapporto di lavoro, assistenza nelle procedure concorsuali e di licenziamento individuale e collettivo, trattative sindacali inerenti a contratti integrativi aziendali, gestione di survey aziendali finalizzate all'implementazione di piani di welfare, assistenza nella predisposizione di piani relativi ai premi di produzione e di risultato, ecc). La sua collaborazione con “Ius in itinere” nasce dal desiderio di mettersi in gioco come giurista, studiosa e giovane lavoratrice alle prese con il mondo del diritto, tanto complesso quanto affascinante. Una forte determinazione, senso del dovere e capacità di organizzazione la contraddistinguono nella vita e nel lavoro. Email: anna.rovesti@iusinitinere.it

Lascia un commento