Come fare una DPIA e quando è obbligatoria

Come fare una DPIA e quando è obbligatoria

Che cos’è la DPIA?

Ai sensi del Regolamento generale sulla protezione dei dati dell’UE (GDPR), la DPIAData Protection Impact Assessments, (in italiano, “valutazione di impatto sulla protezione dei dati”) è obbligatoria per il trattamento dei dati che possono comportare un rischio elevato per i diritti e le libertà degli interessati. L’ambito di applicazione si estende a tutte le organizzazioni che conservano o elaborano i dati dei residenti nell’Unione Europea (UE). 

Nel dettaglio, la valutazione di impatto privacy è una procedura prevista dall’articolo 35 del Regolamento 2016/679 e può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi. L’assenza di una DPIA adeguata, ove richiesta, costituisce una violazione del GDPR e comporta una sanzione amministrativa pari a un massimo di 10 milioni di euro oppure, se si tratta di un’impresa, pari al 2% del fatturato annuo globale. 

La DPIA aiuta a valutare e mitigare i possibili rischi legati alla privacy dei dati personali oggetto delle attività di trattamento ed è particolarmente rilevante quando si implementa un nuovo processo, un nuovo sistema o una nuova tecnologia di gestione delle informazioni. In altre parole, una valutazione di impatto serve a garantire che i dati privati e sensibili delle persone rimangano al sicuro e non vengano utilizzati in modo improprio.

Condurre una valutazione d’impatto sulla protezione dei dati è un compito complesso e impegnativo, ma è fondamentale farlo. Le preoccupazioni relative alla privacy dei dati, infatti, sono diventate un tema importante in tutti i settori, e per una buona ragione: i dati oggi sono più a rischio che mai. Basti pensare che secondo nel suo rapporto 2020 Q3 Data Breach QuickView, Risk Based Security ha rivelato che nei primi tre trimestri del 2020 sono stati esposti 36 miliardi di record di dati.

La DPIA, come evidenziato dal Garante della Privacy, è uno degli elementi di maggiore rilevanza del General Data Protection Regulation, perché mettono l’accento sulla responsabilizzazione (Accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l’osservanza delle disposizioni del Regolamento 2016/679, ma anche a dimostrare adeguatamente in che modo garantiscono il rispetto delle prescrizioni del GDPR.

Quando è necessaria una DPIA?

La valutazione d’impatto sulla protezione dei dati richiesta in particolare nei casi seguenti:

  • Una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • Il trattamento, su larga scala, di categorie particolari di dati personali (art. 9, paragrafo 1 del GDPR) o di dati relativi a condanne penali e a reati (art. 10);
  • La sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Quali sono i trattamenti che richiedono un DPIA? I 9 criteri da considerare

Al fine di fornire un insieme più chiaro di trattamenti che richiedono una valutazione d’impatto sulla protezione dei dati, in virtù del loro rischio elevato intrinseco, si devono considerare i nove criteri individuati dal Gruppo Articolo 29 (sostituito nel 2018 dall’European Data Protection Board-EDPB).

Vediamoli nel dettaglio:

1) Valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione. Esempi che chiariscono questo primo criterio possono includere:

  • Un ente finanziario che esamina i suoi clienti rispetto a una banca dati di riferimento in materia di crediti oppure rispetto a una banca dati in materia di lotta contro il riciclaggio e il finanziamento del terrorismo (AML/CTF) oppure contenente informazioni sulle frodi;
  • Un’impresa di biotecnologie che offre test genetici direttamente ai consumatori per valutare e prevedere i rischi di malattia o per la salute. O ancora, un’impresa che crea profili comportamentali o per la commercializzazione basati sull’utilizzo del proprio sito web o sulla navigazione sullo stesso;

2) Processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente. Ad esempio, il trattamento può portare all’esclusione o alla discriminazione nei confronti delle persone;

3) Monitoraggio sistematico, con riferimento a quel tipo di trattamento utilizzato per osservare, monitorare o controllare gli interessati;

4) Dati sensibili o dati aventi carattere altamente personale. Tale criterio include categorie particolari di dati personali così come definite all’articolo 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati di cui all’articolo 10. Un esempio potrebbe essere quello di un ospedale generale che conserva le cartelle cliniche dei pazienti oppure quello di un investigatore privato che conserva i dettagli dei trasgressori;

5) Trattamento di dati su larga scala. Per stabilire se un trattamento sia effettuato su larga scala bisogna tenere conto dei seguenti fattori:

  • Numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • Volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • Durata, ovvero la persistenza, dell’attività di trattamento;
  • Portata geografica dell’attività di trattamento; 

6) Creazione di corrispondenze o combinazione di insiemi di dati, ad esempio a partire da dati derivanti da due o più operazioni di trattamento svolte per finalità diverse;

7) Dati relativi a interessati vulnerabili, come minori e le categorie più vulnerabili della popolazione (ad esempio: gli anziani);

8) Uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, quali la combinazione dell’uso dell’impronta digitale e del riconoscimento facciale per un miglior controllo degli accessi;

9) Quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto. Ciò include i trattamenti che mirano a consentire, modificare o rifiutare l’accesso degli interessati a un servizio oppure la stipula di un contratto. Un esempio di ciò è rappresentato dal caso in cui una banca esamina i suoi clienti rispetto a una banca dati di riferimento per il credito al fine di decidere se offrire loro un prestito o meno.

La Commissione europea specifica che la valutazione d’impatto deve essere eseguita prima del trattamento e va considerata come uno strumento vivo, non semplicemente come un esercizio una tantum. Laddove vi siano rischi residui che non possono essere mitigati dalle misure messe in atto, l’autorità di protezione dei dati deve essere consultata prima dell’inizio del trattamento.

Come va svolta una valutazione d’impatto sulla protezione dei dati?

La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento. Inoltre, potrebbe essere necessario ripetere singole fasi della valutazione man mano che il processo di sviluppo evolve, dato che la selezione di determinate misure tecniche od organizzative può influenzare la gravità o la probabilità dei rischi posti dal trattamento.

Al titolare del trattamento spetta assicurare che la DPIA venga eseguita. Tuttavia, la valutazione d’impatto sulla protezione dei dati può essere effettuata anche da un altro soggetto, all’interno o all’esterno dell’organizzazione, ma resta sempre in capo al titolare del trattamento la responsabilità ultima per tale compito.

La valutazione deve contenere almeno:

  • Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
  • Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • Una valutazione dei rischi per i diritti e le libertà degli interessati;
  • Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento UE, tenuto conto dei diritti e degli interessi e delle altre persone in questione.
Articolo precedenteLa differenza tra Cyber Resilience e Cyber Security
Articolo successivoLe direttive che regolano il Whistleblowing e il GDPR

ARTICOLI CORRELATIALTRO DALL'AUTORE