La valutazione di impatto del trattamento (D.P.I.A., cioè Data Protection Impact Assessment) è un onere posto direttamente a carico del titolare del trattamento (art. 35 GDPR).

Con tale valutazione si assicura trasparenza e protezione nelle operazioni di trattamento dei dati personali. E' lo strumento cardine tramite il quale il titolare effettua l'analisi dei rischi derivanti dai trattamenti posti in essere. Il titolare, quindi, deve sviluppare una valutazione preventiva (quindi prima di iniziare il trattamento) delle conseguenze del trattamento dei dati sulle libertà e i diritti degli interessati. Il responsabile del trattamento deve assistere il titolare fornendogli ogni informazione necessaria. E' da tenere presente che il livello di impatto è calcolato sugli interessati

La valutazione del rischio, da realizzare per ogni singolo trattamento, dovrà portare il titolare a decidere in autonomia se sussistono rischi elevati inerenti il trattamento, in assenza dei quali potrà procedere oltre. Se invece ritenesse sussistenti rischi per le libertà e i diritti degli interessati, dovrà individuare le misure specifiche richieste per attenuare o eliminare tali rischi
Solo nel caso in cui il titolare non dovesse trovare misure idonee a eliminare o ridurre il rischio, occorrerà consultare l'Autorità di controllo (consultazione preventiva o prior checking). L'Autorità interviene solo ex post, sulle valutazioni del titolare, indicando le misure ulteriori eventualmente da implementare, fino ad eventualmente ammonire il titolare o vietare il trattamento. 
In ogni caso il titolare dovrà giustificare le sue valutazione e rendicontarle nel registro dei trattamenti

Il titolare deve consultarsi col DPO quando svolge la valutazione di impatto, il quale DPO ha il compito di fornire, se richiesto, un parere in merito alla valutazione di impatto e sorvegliarne lo svolgimento. Nel caso in cui il titolare non concordi con le indicazioni del DPO dovrà motivare e documentare il suo dissenso. 

Addirittura, il par. 9 dell'art. 35 prevede la possibilità che il titolare consulti gli interessati coinvolti, per valutazioni sull'eventuale invasività del trattamento. Qualora la decisione del titolare si discosti dall'opinione degli interessati occorre motivare. Il titolare dovrebbe documentare anche le motivazioni della mancata consultazione degli interessati. 

Esempi di impatto che una violazione dei dati personali potrebbe avere sugli interessati sono i seguenti:
- impatto finanziario (dati di accesso a conti correnti, credenziali carte di credito);
- impatto reputazionale, compromissione di opportunità di lavoro (divulgazione di dati concernenti attività non ben viste nella società, come contenuti per adulti, vita sessuale, ecc...);
- furto di identità (malintenzionati che si fingono altri soggetti per perpetrare reati). 
Un esempio classico riguarda la dismissione delle stampanti con memoria, senza aver provveduto a cancellare la memoria, e quindi con l'astratta possibilità che un terzo possa acquisire le immagini ottiche degli ultimi documenti stampati o scansionati.

 

Casi nei quali la DPIA è necessaria

A differenza delle valutazioni di sicurezza, la valutazione di impatto va sviluppata solo per particolari trattamenti, e cioè quando il trattamento prevede l'uso di nuove tecnologie e può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. L'articolo 35 del GDPR indica i criteri in base ai quali si individuano i casi nei quali la DPIA è necessaria: 

- il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici; 
- il trattamento riguarda dati sensibili o giudiziari su larga scala; 
- il trattamento riguarda la sorveglianza sistematica su larga scala di una zona accessibile al pubblico. 

L'EDPB ha pubblicato le Linee Guida relative alla Valutazione d’Impatto (WP 248 rev.01) precisando ulteriormente i criteri di cui all'art. 35, traducendoli in nove parametri (tra i quali la creazione di corrispondenze o combinazioni di insieme di dati, cioé trattamenti ulteriori rispetto alle originarie finalità o dati raccolti da diversi titolari; il trattamento di dati relativi a interessati vulnerabili, come minori, dipendenti, ecc.) utili all'individuazione dei casi di necessità della DPIA. 

Inoltre, il comma 5 dell’art. 35 concede alle Autorità di controllo Autorità di controllo la possibilità di redigere un elenco pubblico di tipologie di trattamenti per i quali si rende necessaria la DPIA. In tale prospettiva il Garante italiano, insieme alle alte autorità europee ha predisposto un elenco che è stato oggetto di parere da parte dell'EDPB (art. 64 GDPR). L'elenco è stato pubblicato con provvedimento dell'11 ottobre 2018, e ovviamente è vincolante ma non è esaustivo, restando fermo quindi l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più dei criteri individuati dalle Linee Guida. 

DPIA elenco

Provvedimento del Garante (11 ottobre 2018): Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto

Sinteticamente l'elenco prevede tali ipotesi: 
1) Trattamenti valutativi o di scoring effettuati su larga scala, profilazione, attività predittive
2) Trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici oppure tali da incidere in modo significativo sull’interessato, come impedire l’esercizio corretto di un diritto o di avvalersi di un bene o di un servizio o di poter continuare ad essere parte di un contratto in essere (ad es. lo screening effettuato sui clienti di una banca attraverso l’utilizzo dei dati registrati in una centrale rischi); 
3) Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati online o con App, il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione, e i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati anche per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc; 
4) Trattamenti su larga scala di dati aventi carattere estremamente personale (come definiti nelle Linee Guida), compreso dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti); 
5) Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti
6) Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo); 
7) Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable, cioè indossabili quali, ad esempio, gli smartwatch o gli stessi smartphone attraverso i software di assistenza e comando vocale, ndr.); tracciamenti di prossimità come ad es. il wi-fi tracking, ogniqualvolta ricorra anche almeno un altro dei criteri individuati nelle Linee Guida; 
8) Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche
9) Trattamenti di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. pagamenti effettuati tramite tecnologia mobile); 
10) Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse; 
11) Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento; 
12) Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento. 

Infine, in caso di dubbi il titolare potrà sempre rivolgersi alle Autorità di controllo per una consultazione preventiva sulla necessità o meno di effettuare la valutazione di impatto (art. 36). 

 

Come fare una DPIA

Di seguito si indicano le fasi generalmente necessarie per completare una DPIA. 

Raccolta informazioni: dal DPO, dai vari dipartimenti (in particolare quello della sicurezza), ma anche dai clienti (o associazioni di categoria). 
Descrizione dei trattamenti: descrizione delle finalità, delle categorie di persone e dati coinvolti, della basi giuridiche e valutazione della proporzionalità dei trattamenti. 
Data Flow: essenziale è una descrizione del flusso dei dati, utile in formato diagramma, per capire quali problemi possono sorgere e dove è possibile (o necessario ) intervenire. 
Revisione dei principi e dei diritti: principi del GDPR e diritti dell'interessato devono sempre essere tenuti in considerazione per valutare se e come i trattamenti incidono su di essi. 
Identificazione dei rischi: e conseguente valutazione delle misure per minimizzare o eliminare tali rischi. 
Realizzazione del rapporto: il tutto va documentato in un rapporto. 
Consultazione preventiva: nei casi in cui non si riece a stabilire misure per mitigare i rischi occorre rivolgersi preventivamente all'Autorità di controllo (prior consultation). 
Revisione e fima: il rapporto finale va sottoposto a revisione dalle parti coinvolte, e poi firmato dal titolare del trattamento. 
Implementazione: il Titolare dovrà porre in essere i suggerimenti emersi dal rapporto (o dalla consultazione del Garante) per minimizzare o eliminare i rischi dei trattamenti. 
Eventuale pubblicazione: a fini di trasparenza può essere utile pubblicare il rapporto, ovviamente depurato dalle parti sensibili per l'azienda. Non è un obbligo per i privati. 

 

Contenuto della DPIA 

La valutazione di impatto deve contenere almeno: 

- la descrizione sistematica dei trattamenti previsti, la finalità del trattamento, compreso l'interesse legittimo perseguito dal titolare;
- la valutazione della necessità e proporzionalità del trattamento in relazione alla finalità; 
- la valutazione dei rischi per i diritti e le libertà degli interessati;
- le misure previste per affrontare i rischi, incluse le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione. 

Il titolare e il responsabile del trattamento provvedono a sviluppare la valutazione di impatto. E' preferibile che sia una squadra a portare avanti la valutazione, in modo che più componenti possano dare un contributo. La valutazione implica l'analisi e la descrizione delle aree critiche da esaminare, del profilo di tutti i soggetti coinvolti, gli effetti e le conseguenze del trattamento dei dati, una valutazione dei rischi collegati, e quindi la stesura di un piano di mitigazione dei rischi. Il DPO analizzerà il rapporto e proporrà eventuali migliorie. Se il rapporto è approvato si passa all'attuazione delle misure di sicurezza proposte. 

L'art. 36 del GDPR stabilisce che Il titolare del trattamento, prima di procedere al trattamento, deve consultare l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio. 

 

PIA tool

Il CNIL (autorità di controllo francese) ha messo a disposizione un software open source per la valutazione di impatto sia nella versione standalone (da scaricare sul computer) che in quella online. Anche il Garante italiano segnala questo software come tool per realizzare la valutazione. 

La procedura di valutazione tramite il software prevede varie fasi: 
- contesto dei trattamenti; 
- esposizione ai relativi rischi; 
- misure di sicurezza adottate; 
- mappatura globale dei rischi; 
- mitigazione dei rischi. 

Video Placeholder

Individuazione e gestione del rischio - Il tutorial del Garante privacy