In questo periodo il Gruppo di lavoro ex art. 29 (WP29) sta intervenendo con una serie di provvedimenti volti a fornire utili chiarimenti per una corretta interpretazione di quanto statuito dal GDPR (Regolamento europeo n. 2016/679: a partire dal 25 maggio 2018, ogni azienda dovrà preoccuparsi di aver implementato tutte le procedure necessarie per una corretta gestione del trattamento e della sicurezza dei dati personali).
In tal senso, infatti, nella seduta dello scorso 4 ottobre, il Gruppo di lavoro ha emanato non solo la versione definitiva delle linee guida in materia di valutazione d’impatto (doc. WP248rev.01), ma anche ha predisposto una prima bozza delle linee guida, attualmente in consultazione, relative alle tematiche del data breach, della profilazione, nonché dell’applicazione delle sanzioni amministrative.
Andando più nello specifico, tra le molteplici previsioni del GDPR, l’art. 35 introduce per la prima volta l’istituto della valutazione d’impatto, in precedenza non previsto dalla Direttiva 95/46/CE dal nostro Codice per la protezione dei dati personali (d.lgs. 196/2003) che per trattamenti che presentano rischi specifici disciplina l’obbligo di verifica preliminare davanti all’Autorità Garante.
In estrema sintesi la DPIA (Data protection impact assessment) consiste in una valutazione preliminare (fatta dallo stesso titolare) degli impatti a cui andrebbe incontro un trattamento laddove dovessero essere violate le misure di protezione dei dati. Sebbene l’art. 35, paragrafo 3, del GDPR individui espressamente i casi in cui la valutazione d’impatto risulti essere necessaria (ad esempio in caso di trattamento automatizzato o di sorveglianza sistematica su larga scala), tuttavia la norma in esame non definisce una metodologia specifica per l’effettuazione di tali analisi ma solo gli aspetti che deve prendere in considerazione.
Il Gruppo di lavoro ha individuato alcuni casi di obbligatorietà della DPIA, precisando come l’elenco previsto dall’art. 35 del GDPR non deve essere interpretato come esaustivo e completo. Operazioni di trattamento definite “high risk”, infatti, potrebbero comunque comportare rischi altrettanto elevati. In considerazione di ciò, dunque, compito del Titolare del trattamento, utilizzando caso per caso un “risk-based approach”, sarà quello (prima che i dati vengano trattati) di individuare, nello specifico, l’origine, la natura, la probabilità e la gravità del rischio, l’ambito di applicazione, il contesto e le finalità del trattamento stesso in quanto più è elevata la rischiosità del dato, più alte sono le conseguenze in termini d’impatto per gli interessati. Una DPIA dovrà, quindi, tenere conto sia del grado di rischio che il trattamento possa presentare per i diritti e le libertà delle persone fisiche sia del grado di innovatività della tecnologia con cui viene effettuato il trattamento (tecnologie poco conosciute potrebbero infatti comportare rischi non ancora valutati e impatti potenziali elevati sugli interessati).
Il Titolare dovrà comprendere, per esempio, se si tratti di un dato più o meno rischioso (es. un dato “sensibile” in cui il rischio è già intrinseco), se questo sia o meno diffuso pubblicamente, se sia trattato unitamente ad altri dati (si pensi il caso della profilazione) o se sia comunicato ad un vasto numero di persone.
Il documento del Gruppo di lavoro definisce non solo un elenco di operazioni di trattamento di dati personali rispetto alle quali l’effettuazione della valutazione d’impatto debba ritenersi obbligatoria (quali, il trattamento di dati genetici o di salute dei pazienti in un ospedale, l’uso di un sistema di telecamere per monitorare il comportamento di guida in autostrada o, in materia di controllo a distanza dei lavoratori, le operazioni di monitoraggio effettuate dalla società sulle attività dei propri dipendenti inclusa la loro postazione di lavoro) ma individua criteri utili da seguire per tutte quelle operazioni di trattamento che richiedono una DPIA (per esempio l’assegnazione di un punteggio ad aspetti quali la situazione economica o la salute, il numero degli interessati, il volume di dati e l’eventuale trasferimento di dati al di fuori dell’Unione Europea etc.)
L’art. 35 del GDPR prevede inoltre ipotesi di esonero dall’effettuazione della valutazione d’impatto. In particolare il Gruppo di lavoro, nell’interpretazione della norma, ha precisato come una DPIA non sia obbligatoria per tutte quelle operazioni in cui il trattamento non presenti un rischio elevato per l’interessato, sia già stato autorizzato, trovi nel diritto dell’Unione o dello Stato membro una base giuridica oppure quando, per la natura o finalità del trattamento, questo sia molto simile ad un altro trattamento per cui la DPIA è già stata effettuata. Anche in questo caso le linee guida individuano un elenco di operazioni di trattamento di dati personali rispetto alle quali l’effettuazione della valutazione d’impatto non deve ritenersi necessaria quale, ad esempio, il caso di un trattamento di dati personali di pazienti o clienti effettuato da un medico individuale, da un altro professionista del settore sanitario o da un avvocato oppure il caso di una rivista online che utilizza una mailing list per inviare ai propri abbonati un sommario giornaliero.
Alla luce di quanto detto se ne desume che effettuare una corretta DPIA consente ai Titolari del trattamento di poter identificare le misure più appropriate per ridurre e minimizzare i rischi in termini di impatto con gli interessati e di adottare, tenuto conto dello stato dell’arte, ogni misura tecnica, giuridica ed organizzativa.
Viceversa il Titolare del trattamento, laddove dovesse ritenere che il rischio non possa essere ragionevolmente attenuato in termini di tecnologie disponibili e di costi di attuazione e dovesse risultare dalla valutazione d’impatto che il trattamento (in mancanza delle garanzie, delle misure di sicurezza e dei meccanismi per attenuare il rischio) possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, dovrà ricorrere alla consultazione preventiva dell’autorità di controllo.
In conclusione, sebbene l’obbligo di effettuare una DPIA si applica alle operazioni di trattamento che soddisfano i criteri di cui all’articolo 35 e, avviate dopo che il GPDR diventa applicabile il 25 maggio 2018, il Gruppo di lavoro raccomanda ed incoraggia vivamente di effettuare le DPIA per operazioni di trattamento già in corso prima del maggio 2018.
