GDPR: La Valutazione d’Impatto sulla Protezione dei Dati – DPIA

Dalle nuove modalità per una corretta gestione di un trattamento di dati personali così come previste dal Regolamento UE 2016/679 derivano una serie di attività che devono essere poste in essere dai Titolari, iniziamo l’esame di queste.

All’interno del Regolamento Europeo sono previsti una serie di obblighi a carico del Titolare o del Responsabile del trattamento finalizzati al rafforzamento della protezione dei dati, alla tutela dei diritti degli interessati e al loro esercizio.

Il G.D.P.R., infatti, pone a carico di questi soggetti sia l’analisi e la valutazione dei rischi connessi ai trattamenti dei dati con particolare attenzione alla sicurezza di questi e alla loro integrità (DPIA), sia l’adozione di misure tecniche e organizzative in linea e adeguate alla protezione dei dati personali e alla redazione di una specifica documentazione.

L’articolo 35 del Regolamento Europeo rende obbligatorio effettuare un’analisi preliminare del trattamento dei dati personali per verificare i rischi correlati, in particolare quando sia previsto l’uso di nuove tecnologie.

La valutazione di impatto sulla protezione dei dati personali meglio nota come DPIA (dall’acronimo inglese di Data Protection Impact Assessment) deve essere effettuata in un momento precedente alla messa in atto del trattamento dei dati personali al fine di valutare le gravità degli eventuali rischi a questo connessi e la probabilità che essi si verifichino. Ciò al fine di prendere le decisioni conseguenti e porre in essere le misure tecniche e organizzative necessarie per rendere operative le valutazioni effettuate e le relative decisioni assunte.

Di questo argomento, dato il carattere di importanza e di relativa novità in rapporto al sistema della tutela dei dati personali, si è occupato il Gruppo Articolo 29 che ha emesso delle specifiche linee guida (nel documento WP 248, rev.1 del 2017) in cui si sottolinea come la Valutazione d’Impatto sia un elemento significativo e fondamentale per dimostrare, da parte dei Titolari e dei Responsabili del trattamento, il rispetto delle prescrizioni contenute nel Regolamento UE con particolare riguardo all’“obbligo generale cui gli stessi sono soggetti, di gestire adeguatamente i rischi presentati dal trattamento di dati personali”. Infatti, il Regolamento prevede la messa in atto di adeguate misure che possano garantire il rispetto delle norme in esso contenute con particolare attenzione ai “rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” (art. 24, par 1 Reg. UE 679/2016).

Sulla base di queste prime considerazioni è possibile affermare come la DPIA sia lo strumento che permette di realizzare concretamente il principio enunciato dal G.D.P.R. secondo il quale la protezione dei dati personali debba informare i trattamenti posti in essere fin dalla fase di progettazione degli stessi, la c.d. Privacy by Design.

Sempre le medesime Linee Guida ci supportano esplicitando cosa debba intendersi con la parola rischio e con la locuzione gestione dei rischi.

Il rischio è uno “scenario che descrive un evento e le sue conseguenze in termini di gravità e probabilità”; mentre la gestione di questo è “l’insieme delle attività coordinate, volte a indirizzare e controllare un’organizzazione in relazione ai rischi”.

All’interno del documento, inoltre, troviamo utili chiarimenti in merito a quando una Valutazione di Impatto sia obbligatoria, fornendo casi e fattispecie ulteriori oltre a quelli espressamente citati dall’articolo 35, ai soggetti chiamati a porla in essere a vario titolo – tipicamente il Titolare o il Responsabile del trattamento coadiuvati dal D.P.O. (Responsabile della Protezione dei Dati) qualora designato – e descrivendo in cosa essa consista in pratica, attraverso l’illustrazione di esempi basati su schemi già posti in essere e dimostratisi validi alla prova dei fatti.

Il Gruppo Articolo 29 sottolinea come sia di fondamentale importanza, quasi necessario, intendere la DPIA, non tanto come un’attività da svolgere una volta, ma come un “processo continuo” da sottoporre a una revisione costante per poter seguire l’evoluzione della realtà operativa e l’insorgere di eventuali nuovi fattori di rischio., e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

La DPIA è richiesta, in particolare, nei seguenti casi:

  • quando si verifichi una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato – compresa la profilazione – sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • quando si effettui il trattamento, su larga scala, di categorie di dati personali particolari di cui all’articolo 9 del regolamento UE o di dati relativi a condanne penali e a reati;
  • quando si ponga in atto la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

La Valutazione di Impatto, invece, non è richiesta per quei trattamenti già in corso prima della data di applicazione del regolamento Europeo (25 maggio 2018) e che hanno ricevuto già un’autorizzazione da parte delle autorità competenti e non presentino modifiche significative.

La norma disciplina anche il contenuto minimo che questo documento deve avere.

La DPIA deve obbligatoriamente contenere almeno:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

È bene sottolineare, infine, come la Valutazione di Impatto costituisca una “buona prassi” indipendentemente da quanto specificatamente previsto dalle norme in vigore perché, attraverso di questa, specialmente se intesa come evidenziato in precedenza alla stregua di un processo in costante revisione, il Titolare o il Responsabile del trattamento possono disporre di un utile strumento di previsione di eventuali “incidenti futuri”.

Renato Carafa