La valutazione di impatto del trattamento (DPIA, cioè Data Protection Impact Assessment) è un processo aziendale inteso a garantire e dimostrare la conformità di un trattamento dei dati personali alle norme, valutandone la necessità e la proporzionalità e gestendo gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento.
Si tratta di un onere previsto dall'art. 35 GDPR come emanazione diretta del principio di accountability, in quanto contribuisce a dimostrare la corretta implementazione delle norme e delle prassi in materia di protezione dei dati personali. Con tale strumento si sposta l'onere dell'analisi dei rischi dai Garanti ai titolari del trattamento. Se prima era necessario richiedere all'Autorità di controllo un'autorizzazione preventiva, adesso il GDPR pone questo onere direttamente a carico del titolare del trattamento.
Con tale valutazione si assicura trasparenza e protezione nelle operazioni di trattamento dei dati personali. E' lo strumento cardine tramite il quale il titolare effettua l'analisi dei rischi derivanti dai trattamenti posti in essere. Il titolare, quindi, deve sviluppare una valutazione preventiva (cioè prima di iniziare il trattamento) delle eventuali conseguenze del trattamento dei dati personali sulle libertà e i diritti degli interessati. Il responsabile del trattamento deve assistere il titolare fornendogli ogni informazione necessaria. E' da tenere presente che il livello di impatto va calcolato sugli interessati, non sul titolare.
La valutazione del rischio, da realizzare per ogni trattamento (anche se è possibile eseguire un'unica valutazione nel caso di trattamenti simili tra loro), dovrà portare il titolare a decidere in autonomia se sussistono rischi elevati inerenti il trattamento, in assenza dei quali potrà procedere oltre. Se invece ritenesse sussistenti rischi per le libertà e i diritti degli interessati, dovrà individuare le misure specifiche richieste per attenuare o eliminare tali rischi.
Solo nel caso in cui il titolare non dovesse trovare misure idonee a eliminare o ridurre il rischio, occorrerà consultare l'Autorità di controllo (consultazione preventiva o prior checking). Normalmente l'Autorità interviene ex post, sulle valutazioni del titolare, indicando le misure ulteriori eventualmente da implementare, fino ad eventualmente ammonire il titolare o vietare il trattamento.
In ogni caso il titolare dovrà giustificare le sue valutazioni e rendicontarle, eventualmente anche nel registro dei trattamenti.
I casi classici nei quali generalmente si rende necessaria una DPIA sono:
- trattamenti valutativi (es. scoring bancario o finanziaio);
- trattamenti basati su decisioni automatizzate (es. tracciamento dei comportamenti online);
- monitoraggio sistematico (es. tracciamento della localizzazione degli interessati);
- trattamenti di dati ex art. 9 GDPR;
- trattamento di dati relativi a soggetti vulnerabili (es. minori, migranti, o in genere soggetti che si trovano in condizioni di sudditanza psicologica o di altro tipo rispetto al titolare);
- trattamenti su larga scala (es. videosorveglianza);
- confronto di basi di dati (es. machine learning utilizzato per la trascrizione di parole o il funzionamento di assistenti digitali);
- trattamenti effettuati con nuove tecnologie.
Contenuto della DPIA
La valutazione di impatto deve contenere almeno:
- la descrizione sistematica dei trattamenti previsti, la finalità del trattamento, compreso la base giuridica (quindi l'eventuale interesse legittimo) utilizzata dal titolare);
- la valutazione della necessità e proporzionalità del trattamento in relazione alla finalità;
- la valutazione dei rischi per i diritti e le libertà degli interessati;
- le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Il titolare e il responsabile del trattamento provvedono a sviluppare la valutazione di impatto. E' preferibile che sia una squadra a portare avanti la valutazione, in modo che più componenti possano dare un contributo. La valutazione implica l'analisi e la descrizione delle aree critiche da esaminare, del profilo di tutti i soggetti coinvolti, gli effetti e le conseguenze del trattamento dei dati, la valutazione dei rischi collegati e quindi la stesura di un piano di mitigazione dei rischi. Il DPO analizzerà il rapporto e proporrà eventuali migliorie. Se il rapporto è approvato si passa all'attuazione delle misure di sicurezza proposte.
Procedura per la DPIA
Di seguito si indicano le fasi generalmente necessarie per completare una DPIA:
- Raccolta informazioni: dal DPO, dai vari dipartimenti (in particolare quello della sicurezza), ma anche dai clienti (o associazioni di categoria);
- Descrizione dei trattamenti: descrizione delle finalità, delle categorie di persone e dati coinvolti, della basi giuridiche e valutazione della proporzionalità dei trattamenti;
- Data Flow: essenziale è una descrizione del flusso dei dati, utile in formato diagramma, per capire quali problemi possono sorgere e dove è possibile (o necessario ) intervenire;
- Revisione dei principi e dei diritti: principi del GDPR e diritti dell'interessato devono sempre essere tenuti in considerazione per valutare se e come i trattamenti incidono su di essi;
- Identificazione dei rischi: e conseguente valutazione delle misure per minimizzare o eliminare tali rischi;
- Realizzazione del rapporto: il tutto va documentato in un rapporto da tenere a disposizione delle autorità;
- Consultazione preventiva: nei casi in cui non si riece a stabilire misure per mitigare i rischi occorre rivolgersi preventivamente all'Autorità di controllo (prior consultation);
- Revisione e fima: il rapporto finale va sottoposto a revisione dalle parti coinvolte, e poi firmato dal titolare del trattamento;
- Implementazione: il Titolare dovrà porre in essere i suggerimenti emersi dal rapporto (o dalla consultazione del Garante) per minimizzare o eliminare i rischi dei trattamenti;
- Eventuale pubblicazione: a fini di trasparenza può essere utile pubblicare il rapporto, ovviamente depurato dalle parti sensibili per l'azienda. Non è un obbligo per i privati.
Il titolare deve consultarsi col DPO quando svolge la valutazione di impatto. Il DPO ha il compito di fornire, se richiesto, un parere in merito alla valutazione di impatto e sorvegliarne lo svolgimento. Nel caso in cui il titolare non concordi con le indicazioni del DPO dovrà motivare e documentare il suo dissenso.
L'art. 36 del GDPR stabilisce che Il titolare del trattamento, prima di procedere al trattamento, deve consultare l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio. Le autorità di controllo tengono in debita considerazione l'adesione a Codici di condotta.
Addirittura, il par. 9 dell'art. 35 prevede la possibilità che il titolare consulti gli interessati coinvolti, per valutazioni sull'eventuale invasività del trattamento. Qualora la decisione del titolare si discosti dall'opinione degli interessati occorre motivare le decisioni prese. Il titolare dovrebbe documentare anche le motivazioni della mancata consultazione degli interessati.
Casi nei quali la DPIA è obbligatoria
A differenza delle valutazioni di sicurezza, la valutazione di impatto va sviluppata solo per particolari trattamenti, e cioè quando il trattamento prevede l'uso di nuove tecnologie o può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. L'articolo 35 del GDPR indica i criteri in base ai quali si individuano i casi nei quali la DPIA è necessaria:
- il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale valutazione si fondano decisioni che hanno effetti giuridici sugli interessati (es. lo screening dei clienti di una banca per la lotta alle frodi o al riciclaggio);
- il trattamento riguarda dati sensibili o giudiziari su larga scala;
- il trattamento riguarda la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Il Considerando 91 ci aiuta a definire il concetto di "larga scala", fondamentale per l'interpretazione della disposizione, dove recita: "i trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato". In tal senso si è individuata la "larga scala" nei seguenti trattamenti:
- trattamenti di dati relativi ai pazienti svolti da un ospedale nell’ambito delle ordinarie attività;
- trattamenti che interessano i dati relativi agli spostamenti degli utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
- trattamento dei dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
- trattamento dei dati da parte di un motore di ricerca per finalità di pubblicità comportamentale o il trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
Non è, invece, considerato un trattamento su larga scala quello che riguarda i dati personali di pazienti da parte di un singolo medico, operatore sanitario oppure avvocato.
L'EDPB ha pubblicato le Linee Guida relative alla Valutazione d’Impatto (WP 248 rev.01) precisando ulteriormente i criteri di cui all'art. 35, traducendoli in nove parametri (tra i quali la creazione di corrispondenze o combinazioni di insieme di dati, cioé trattamenti ulteriori rispetto alle originarie finalità o dati raccolti da diversi titolari; il trattamento di dati relativi a interessati vulnerabili, come minori, dipendenti, ecc.) utili all'individuazione dei casi di necessità della DPIA.
Inoltre, il comma 5 dell’art. 35 concede alle Autorità di controllo la possibilità di redigere un elenco pubblico di tipologie di trattamenti per i quali si rende necessaria la DPIA. In tale prospettiva il Garante italiano, insieme alle altre autorità europee ha predisposto un elenco che è stato oggetto di parere da parte dell'EDPB (art. 64 GDPR). L'elenco è stato pubblicato con provvedimento dell'11 ottobre 2018, e ovviamente è vincolante ma non è esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dalle Linee Guida.
Sinteticamente l'elenco prevede tali ipotesi:
1) Trattamenti valutativi o di scoring effettuati su larga scala, profilazione, attività predittive;
2) Trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici oppure tali da incidere in modo significativo sull’interessato, come impedire l’esercizio corretto di un diritto o di avvalersi di un bene o di un servizio o di poter continuare ad essere parte di un contratto in essere (ad es. lo screening effettuato sui clienti di una banca attraverso l’utilizzo dei dati registrati in una centrale rischi);
3) Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati online o con App, il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione, e i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati anche per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc;
4) Trattamenti su larga scala di dati aventi carattere estremamente personale (come definiti nelle Linee Guida), compreso dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti);
5) Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
6) Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
7) Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable, cioè indossabili quali, ad esempio, gli smartwatch o gli stessi smartphone attraverso i software di assistenza e comando vocale, ndr.); tracciamenti di prossimità come ad es. il wi-fi tracking, ogniqualvolta ricorra anche almeno un altro dei criteri individuati nelle Linee Guida;
8) Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
9) Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. pagamenti effettuati tramite tecnologia mobile);
10) Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse;
11) Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
12) Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
13) Trattamenti relativi all'utilizzo di strumenti per lo svolgimento della prestazione lavorativa (obbligo introdotto dal "decreto trasparenza").
Infine, in caso di dubbi il titolare potrà sempre rivolgersi alle Autorità di controllo per una consultazione preventiva sulla necessità o meno di effettuare la valutazione di impatto (art. 36). In ogni caso va documentata anche la decisione di non procedere a valutazione di impatto in presenza di rischi comunemente ritenuti elevati.
PIA tool
Il CNIL (autorità di controllo francese) ha messo a disposizione un software open source per la valutazione di impatto sia nella versione standalone (da scaricare sul computer) che in quella online. Anche il Garante italiano segnala questo software come tool per effettuare la DPIA.
La procedura di valutazione tramite il software prevede varie fasi:
- contesto dei trattamenti;
- esposizione ai relativi rischi;
- misure di sicurezza adottate;
- mappatura globale dei rischi;
- mitigazione dei rischi.
Individuazione e gestione del rischio - Il tutorial del Garante privacy