L’acronimo DPIA significa letteralmente Data Protecion Impact Assessment (ovvero Valutazione d’impatto della protezione dei dati).
Nelle riunioni del 3 e 4 ottobre il gruppo dei Garanti Privacy UE WP29 ha adottato tre provvedimenti molto importanti. Il primo, già approvato in una prima versione il 4 aprile 2027, e adottato in via definitiva al termine della consultazione pubblica che si è chiusa già il 27 maggio 2017, porta il numero WP 248 rev.01, ed è intitolato “Guidelines on Data Protection Impact Assessment (DPIA) and determining weheter processing is “likely result in hig risk” for the purposes of Regulation 2016/679”.
Il secondo e il terzo, approvati ma messi in consultazione, come è ormai prassi, per un periodo di sei settimane prima della definitiva adozione, riguardano invece le “Guidelines on Personal data breache notification under Regulation 2016/679” (WP 250) e le “Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679” (WP 251).
I tre provvedimenti costituiscono un complesso di indicazioni molto importanti su punti essenziali del GDPR anche rispetto alle nuove tecnologie, dall’Intelligenza Artificiale al Machine Learning fino all’Internet delle cose, in particolare se lette tenendo presente che si inseriscono in un quadro che comprende anche la privacy by design, la privacy by default e la pseudo-anonimizzazione.
In questa sede l’attenzione è rivolta alle Linee guida relative alla valutazione di impatto sulla protezione dei dati disciplinata dagli articoli 35 e 36 del GDPR.
Cos’è la DPIA (Data protection Impact Assessment, o Valutazione d’Impatto Protezione Dati)
La Dpia è una procedura prevista dall’articolo 35 del Regolamento UE/2016/679 (RGDP).
La valutazione d’impatto della protezione dei dati (DPIA) serve a descrivere un trattamento di dati per valutarne la necessità, la proporzionalità e i relativi rischi. L’obiettivo è sempre quello di stabilire misure idonee ad affrontare questi ultimi. Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.
Merita sottolineare innanzitutto che il GDPR fa riferimento all’obbligo del titolare (e eventualmente del responsabile) di tenere conto dei rischi che i trattamenti possono comportare per i diritti e le libertà delle persone fisiche in due norme diverse: l’art.24, che colloca l’analisi dei rischi fra le caratteristiche dei trattamenti di cui occorre tener conto per mettere in atto tutte le misure tecniche e organizzative adeguate, e l’art. 35, che prevede invece una specifica valutazione di impatto quando i trattamenti, considerate le circostanze indicate nella norma, possono presentare rischi elevati per gli interessati.
Inoltre, a differenza dell’art. 24, che si limita a stabilire che il titolare debba essere sempre in grado di dimostrare di aver adottato tutte le misure necessarie affinché il trattamento sia conforme al GDPR, l’art. 35 non solo specifica i casi in cui è necessaria la valutazione di impatto, ma ne procedimentalizza anche le modalità da seguire e gli elementi da tenere in considerazione.
Nell’ambito della valutazione di impatto disciplinata dall’art.35 si prevede inoltre un ruolo molto rilevante delle Autorità di controllo. Esse infatti possono redigere e rendere pubblico un elenco delle tipologie di trattamenti per i quali è richiesta comunque la valutazione di impatto (art. 35, 4); così come possono, se lo ritengono opportuno, redigere un elenco delle tipologie di trattamenti per i quali essa non è necessaria. In entrambi i casi gli elenchi eventualmente adottati devono essere comunicati al Comitato europeo dei garanti dell’art. 65 (EDPB).
Infine, per completare il quadro, merita ricordare che l’art.36 stabilisce la consultazione preventiva obbligatoria dell’Autorità di controllo quando il titolare ritiene che i trattamenti richiedano misure specifiche per attenuarne i rischi.
Sulla base della lettura testuale delle disposizioni citate l’obbligo del titolare di tener conto dei rischi ex art. 24 sembrerebbe differenziarsi nettamente da quelli disposti dall’art. 35 e 36, tanto da far pensare che il GDPR preveda due distinte modalità di valutazione del rischio.
Wp29, come fare l’assessment DPIA e le novità su valutazioni d’impatto per privacy e protezione dei dati
Dalle linee guida del WP29 emerge invece una visione differente. Si sottolinea infatti, che, ex art. 24, ogni trattamento deve essere analizzato dal titolare anche al fine di verificare se i rischi che ne derivano siano o no elevati.
Ne consegue che anche l’analisi implicitamente prevista dall’art.24 è finalizzata all’accertamento del livello di rischio perché solo a valle di questa il titolare può decidere se il rischio per i cittadini sia elevato o meno.
In questo senso, come sottolinea il WP29, prima di porre in essere un qualunque trattamento, è sempre necessaria l’analisi dei rischi che possono derivarne.
Secondo il WP29 non vi è dunque una sostanziale differenza tra quanto previsto dall’art. 24, da un lato, e dagli articoli 35 e 36, dall’altro. Ne consegue che è opportuno che il titolare svolga la valutazione di rischio rispetto ad ogni trattamento che voglia porre in essere seguendo le indicazioni date nell’art. 34 e specificate nelle Linee guida.
La differenza tra le misure da adottare ex art. 24 e quelle che devono essere adottate ex art. 35 e 36 emerge solo a valle della analisi preventiva dei trattamenti, ed è sulla base di questa che il titolare dovrà decidere in concreto quali misure adottare.
Nella parte conclusiva delle Linee guida, del resto, si dice con chiarezza che il titolare del trattamento deve usare comunque i criteri indicati dall’art.35, sia per decidere che è necessaria continuare la valutazione di impatto al fine della individuazione delle misure specifiche da adottare a seguito dell’accertamento di rischi elevati, sia per decidere che non è necessario andare oltre perché tali rischi non sono stati riscontrati.
Di fatto, dunque, il WP29 distingue nettamente tra valutazione di impatto come analisi dei trattamenti e la valutazione di impatto come individuazione di misure specifiche quando la verifica svolta le richieda.
Esempi DPIA e precisazioni su come funziona davvero
Da questa ricostruzione interpretativa le Linee guida traggono alcune precisazioni molto importanti.
La prima riguarda il fatto che la DPIA, per la parte relativa all’analisi dei rischi relativi a un trattamento, va fatta sempre prima che questo inizi. La seconda sottolinea che l’analisi va fatta rispetto a ciascun singolo trattamento, salvo il caso di trattamenti simili. La terza ribadisce che è utile prestare attenzione anche alle componenti dei device utilizzati sul piano tecnologico.
Infine, la quarta chiarisce che ogni analisi deve tener conto dei casi di cui all’art. 35 nonché delle specifiche indicate ai punti 71, 75 e 91 dei Considerando. Inoltre essa deve essere svolta con una metodologia che tenga conto dei criteri e degli elementi indicati nell’annesso 2 delle Linee guida. Qualora il titolare, sentito il DPO se nominato, ritenga che il trattamento non comporti rischi elevati può decidere di non procedere oltre.
In sostanza, nel caso in cui al termine dell’analisi condotta secondo la metodologia indicata nelle Linee guida il titolare ritenga che non sussistano rischi elevati può limitarsi a dare applicazione a quanto richiesto dall’art. 24. Tuttavia il WP29 precisa che anche in questo caso deve giustificare per scritto le valutazioni fatte e tenere un registro dei trattamenti svolti sotto la sua responsabilità.
Restano da valutare quali siano le misure tecniche che il titolare debba adottare quando, all’esito dell’analisi svolta nell’ambito della DPIA, risultino rischi elevati per gli interessati.
Linee guida DPIA: cosa cambia per la privacy
Le linee guida non contengono indicazioni specifiche su questo punto, a conferma che il loro contenuto e il loro obiettivo è essenzialmente procedurale. Del resto non a caso esse affermano esplicitamente che: “Carring out a DPIA is a continual process, not a one-time exercise”.
Spetta dunque al titolare individuare le misure di sicurezza o altre modalità di diminuzione del rischio da adottare, sentito il DPO se nominato. Il titolare può anche consultare gli interessati o i loro rappresentanti dandone conto nel documento scritto che costituisce la parte formale della DPIA.
Nel medesimo documento è bene indicare le strutture che hanno svolto l’analisi dei trattamenti e individuato le misure necessarie; se siano stato sentiti o no esperti esterni; il ruolo svolto dal responsabile del trattamento e quello che esso dovrà svolgere; gli eventuali suggerimenti ricevuti dal Chief of information Officer (CISO) e dal DPO se nominati.
Per quanto riguarda la metodologia relativa all’individuazione delle misure idonee a diminuire i rischi, le linee guida, come già si è detto, si limitano a fissare i criteri da seguire distinguendo tra quelle che hanno come obiettivo principale la riduzione del rischio e quelle finalizzate a dimostrare la compliance col Regolamento.
Si precisa, inoltre, che le metodologie di analisi e di individuazione delle misure da adottare possono essere diverse ma i criteri da seguire devono essere comuni a tutti.
Per quanto riguarda la pubblicazione della DPIA, sia per la parte “analitica” che deve essere predisposta anche ove si concluda per la non sussistenza di rischi elevati, che per la parte contenente le prescrizioni che è necessario adottare quando sussistano “hig risk”, le linee guida sottolineano che essa non è obbligatoria.
Tuttavia si suggerisce che dell’esistenza di questo documento si dia notizia e che siano resi accessibili almeno un adeguato sommario e le conclusioni.
Le Linee guida affrontano anche il tema di quando si debba consultare preventivamente l’Autorità.
Anche in questo caso il provvedimento offre una interpretazione della norma che apparentemente va oltre il dettato letterale.
L’art. 36 infatti si limita a prevedere che il titolare deve consultare l’Autorità di controllo ogni volta che, sulla base dell’analisi svolta ex art. 35, risulti che i trattamenti comportano rischi elevati “in assenza di misure adottate dal titolare per attenuare il rischio”.
Sembrerebbe dunque che il titolare debba consultare l’Autorità in ogni caso in cui la analisi della DPIA svolta ex art.35 comporti l’adozione di misure adeguate per evitare o ridurre i rischi elevati che il trattamento presenta. Insomma l’art. 36 così letto configurerebbe una sorta di prior cheking obbligatorio ogni volta che si fosse in presenza di trattamenti comportanti rischi elevati.
Le linee guida, invece, facendo forza sul contenuto del Considerando 94, dà della disposizione una lettura profondamente diversa e oggettivamente differente anche dal suo dettato letterale.
Si afferma, infatti, che il ricorso alla consultazione dell’Autorità di controllo è necessario solo quando il titolare “cannot find sufficient measures to reduce the risks to an acceptable level (i.e. thje residual risks are still).
Conclusioni: GDPR e DPIA e conseguenze per le aziende
La conseguenza di questa lettura è duplice.
Da un lato evita un generale e indiscriminato ricorso alla consultazione dell’Autorità di controllo ogni volta che l’analisi del trattamento dimostri l’esistenza di rischi elevati. Dall’altro però scarica totalmente sul titolare l’assunzione delle responsabilità sull’adeguatezza delle misure da adottare, compreso il riscorso preventivo all’Autorità. Spetta a lui, infatti, valutare se l’analisi del trattamento abbia o no accertato l’esistenza di rischi così elevati da rendere la loro riduzione particolarmente difficile..
Si tratta di una linea coerente con tutto il contesto in cui si colloca il GDPR e ribadisce la centralità del titolare in ordine alla valutazione dei trattamenti e alle misure da adottare per assicurare la loro compliance con le regole di protezione dei dati personali.
In sostanza, gli aspetti che emergono con chiarezza dal provvedimento del WP29 sono la concezione della valutazione di rischio come processo e flusso costante; la definizione dell’analisi del rischio come una fase comunque necessaria per ogni trattamento e prima che il trattamento inizi; l’attribuzione esclusiva alla responsabilità del titolare di ogni decisione sia sulla valutazione della elevatezza o meno dei rischi sia dell’eventuale esistenza di rischi così elevati da rendere necessario il ricorso preventivo all’Autorità di controllo.
L’elasticità della interpretazione delle norme sulla valutazione del rischio è dunque compensata dalla continua sottolineatura, peraltro supportata sia dall’art. 24, paragrafo 1, che dall’art.35, paragrafo 11, che sia l’analisi dei rischi che la DPIA intesa come individuazione delle misure necessarie devono essere concepite come un processo costante e continuamente rinnovantesi. Una conferma, dunque, che il GDPR contiene una normativa molto elastica e, per questo, adattabile a ogni innovazione tecnologica che comporti appunto il trattamento di dati personali.
