1. Nozione
L’art. 35 del Regolamento UE 2016/679 – General Data Protection Regulation (GDPR) dispone che il titolare del trattamento è tenuto ad effettuare la valutazione d’impatto sulla protezione dei dati qualora risulti che il trattamento che intende porre in essere possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche, anche tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento progettato e attribuendo particolare rilevanza a quei trattamenti che per la loro attuazione prevedono l’impiego di nuove tecnologie.
Il GDPR, tuttavia, non fornisce una definizione di valutazione d’impatto, o, secondo l’acronimo anglofono, DPIA (Data Protection Impact Assessment). Per inquadrare correttamente questa procedura non resta, quindi, che analizzare nel dettaglio la disposizione in esame.
Il concetto-chiave, al fine di una prima valutazione di opportunità/necessità di effettuare la valutazione d’impatto, è il rischio.
Il rischio, che si ritrova anche in molte altre disposizioni del GDPR, in quanto parametro per la valutazione di adeguatezza delle misure di sicurezza e protezione che connotano il fondamentale principio di responsabilizzazione (accountability) del titolare del trattamento, assume in questa sede due ulteriori caratteristiche. Difatti, per acquistare rilevanza ai fini della valutazione d’impatto, il rischio deve essere elevato e deve costituire una minaccia per i diritti e le libertà delle persone fisiche.
Il rischio è definito dal Gruppo di Lavoro Articolo 29, organo consultivo unionale (Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017), uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità, conseguentemente, la gestione dei rischi diviene l’insieme delle attività coordinate volte a indirizzare e controllare un’organizzazione in relazione ai rischi.
In sostanza, in base al principio di responsabilizzazione di cui all’articolo 24 GDPR, il titolare del trattamento, sempre tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR.
In questo contesto, se il trattamento si svolge con l’impiego di nuove tecnologie e/o presenta un elevato rischio per i diritti e le libertà delle persone fisiche, può nascere l’opportunità di effettuare una verifica preventiva al fine di accertarne la conformità al Regolamento, con riferimento, in particolare, proprio alla garanzia del rispetto dei diritti e delle libertà degli interessati. In tali casi, il titolare del trattamento, anche avvalendosi della consulenza di personale specializzato, interno od esterno alla struttura, avvia una procedura che si chiude con un “verdetto”: solo in caso di esito positivo il titolare del trattamento potrà avviare l’attività progettata, fermo restando l’obbligo a suo carico di programmare procedure di monitoraggio e riesame.
2. Quando la valutazione d’impatto è obbligatoria per legge
In generale, in attuazione del principio di accountability, spetta al titolare del trattamento la decisione se svolgere o meno la valutazione d’impatto sulla protezione dei dati, tuttavia, il legislatore europeo, al paragrafo 3 dell’articolo 35 GDPR, riporta un elenco di ipotesi in cui la valutazione d’impatto è sempre obbligatoria:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Questo elenco, tuttavia, è da ritenersi soltanto come esemplificativo e non esaustivo, possono, quindi, sussistere altri trattamenti in cui si configuri un rischio per i diritti e le libertà degli interessati tale da considerarsi elevato e perciò si renda necessario sottoporli ad una valutazione d’impatto preventiva.
Di ciò si era già ben reso conto il Gruppo di Lavoro Articolo 29, che, difatti, nelle menzionate Linee guida, e, in particolare, nell’Allegato 1 alle medesime, propone nove criteri ritenuti determinanti al fine di stabilire se sia obbligatorio effettuare la valutazione d’impatto: se sono presenti contemporaneamente almeno due criteri la valutazione d’impatto sarà quasi sicuramente obbligatoria, ma se risulta sussistere anche soltanto uno dei nove criteri l’attivazione della procedura è quanto meno caldeggiata (sul punto cfr. infra par. 2.2).
2.1. Di seguito si riportano, in sintesi, i nove criteri elaborati dal Gruppo di Lavoro Articolo 29 in presenza dei quali (anche di uno o due soltanto di essi) il titolare del trattamento deve porsi la questione se sia necessario effettuare la valutazione d’impatto prima di avviare il trattamento/i progettato/i:
- valutazione o assegnazione di un punteggio, inclusiva di profilazione (esempio; un’impresa che crea profili comportamentali in base all’utilizzo del suo sito web);
- processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente (esempio: una finanziaria che valuta i suoi clienti ricorrendo a banche dati segnalanti le relative posizioni/esposizioni creditizie);
- monitoraggio sistematico (esempio: videosorveglianza in spazi pubblici o accessibili al pubblico);
- dati sensibili o dati aventi carattere altamente personale (esempi: programma di posta elettronica che conserva i messaggi degli utenti; informazioni acquisite da una applicazione destinata registrare una o più attività quotidiane dell’utente);
- trattamento di dati su larga scala (esempio: gestione e conservazione delle cartelle cliniche dei pazienti da parte di un ospedale);
- creazione di corrispondenze o combinazione di insiemi di dati (esempio: incrocio non autorizzato di informazioni da parte di due titolari del trattamento distinti, per finalità diverse ed ulteriori rispetto a quelle per le quali erano stati raccolti);
- dati relativi a interessati vulnerabili (esempio: trattamento avente ad oggetto dati personali raccolti presso minori);
- uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative (esempio: un’applicazione IoT che utilizza dati biometrici dell’utente per migliorare il controllo degli accessi). L’impiego di nuove tecnologie è ritenuto dal legislatore europeo quale ipotetica fonte di rischio potenzialmente elevato perché l’impiego di nuove tecnologie potrebbe dare luogo a conseguenze personali e sociali nocive non conosciute né ragionevolmente prevedibili.
- quando il trattamento in sé impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (esempio: una banca che decide se concedere il credito ad un cliente unicamente attingendo a una banca dati di riferimento per il credito).
2.2. Non è, tuttavia, automatica la correlazione tra il rischio elevato e la presenza dei criteri ora enucleati, ben potendosi verificare casi in cui, pur risultando integrati uno o più di tali criteri, il trattamento continui a non necessitare di una valutazione d’impatto. Per riprendere uno degli esempi elaborati dallo stesso Gruppo di Lavoro Articolo 29, si pensi al caso di una rivista online che utilizza una lista di distribuzione per inviare una selezione quotidiana generica ai suoi abbonati: si tratta sicuramente di un trattamento di dati su larga scala, ma la natura dei medesimi e le modalità di svolgimento del trattamento escludono la presenza di un rischio elevato.
2.3. In attuazione della disposizione di cui all’articolo 35, paragrafo 4 GDPR e della raccomandazione del Gruppo di Lavoro Articolo 29 il Garante per la Protezione dei Dati Personali ha pubblicato un elenco di tipologie di trattamenti che richiedono la valutazione d’impatto (Provvedimento n. 467 dell’11 ottobre 2018 – doc. web n. 9058979, in particolare si veda l’Allegato 1 al medesimo).
3. Quando no è obbligatorio effettuare la valutazione d’impatto
Il Gruppo di Lavoro Articolo 29, anche per favorire l’attività del titolare del trattamento che, in ogni caso, è sempre responsabile delle sue scelte organizzative ed operative in base al principio di accountability, ha stilato anche un elenco di criteri in presenza dei quali è in linea di principio da escludersi l’obbligo di effettuare la valutazione d’impatto.
3.1. Di seguito si riportano i criteri elaborati dal Gruppo di Lavoro Articolo 29 in presenza dei quali (anche di uno o due soltanto di essi) il titolare del trattamento di regola non è obbligato ad effettuare la valutazione d’impatto prima di avviare il trattamento/i progettato/i:
a. quando il trattamento non è tale da presentare un rischio elevato per i diritti e le libertà delle persone fisiche (articolo 35, paragrafo 1);
b. quando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un trattamento per il quale è stata svolta una valutazione d’impatto: in tal caso può essere utilizzata tale valutazione d’impatto, già effettuata per il trattamento ritenuto analogo;
c. quando le tipologie di trattamento sono state verificate da un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non sono cambiate;
d. quando un trattamento, effettuato a norma dell’articolo 6, paragrafo 1, lettere c) o e), trova una base giuridica nel diritto dell’Unione o nel diritto dello Stato membro e tale diritto disciplina il trattamento specifico o è già stata effettuata una valutazione d’impatto (articolo 35, paragrafo 10 GDPR);
e. quando il trattamento è incluso nell’elenco facoltativo delle tipologie di trattamento per le quali non è richiesta alcuna valutazione d’impatto sulla protezione dei dati predisposto dall’autorità di controllo ai sensi dell’articolo 35, paragrafo 5 GDPR.
4. Consultazione preventiva dell’Autorità di controllo
Se il titolare del trattamento, anche a seguito dell’esame delle linee guida e delle indicazioni fornite dal Gruppo di Lavoro e dall’Autorità di vigilanza, permane nell’incertezza circa l’obbligatorietà o meno dell’effettuazione della valutazione d’impatto in relazione a uno o più trattamenti progettati, può consultare in via preventiva il Garante per la Protezione dei Dati Personali per ottenere l’autorizzazione preliminare al trattamento, come disposto dall’articolo 36 GDPR.
Ai sensi del paragrafo 3 dell’articolo in esame, nella richiesta indirizzata al Garante il titolare del trattamento deve indicare almeno:
a) ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei
responsabili del trattamento;
b) le finalità e i mezzi del trattamento previsto;
c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del Regolamento;
d) ove applicabile, i dati di contatto del titolare della protezione dei dati (DPO);
e) la valutazione d’impatto sulla protezione dei dati di cui all’articolo 35;
f) ogni altra informazione richiesta dall’autorità di controllo.
In risposta a tale richiesta il Garante, qualora ritenga che il trattamento non comporti un rischio elevato per i diritti e le libertà degli interessati, autorizza il trattamento; se, al contrario, ritiene che il trattamento violi la normativa sulla privacy non avendo correttamente identificato il rischio o non avendo previsto adeguate misure di prevenzione/contenimento del medesimo, fornisce un parere scritto al titolare del trattamento entro un termine di otto settimane dal ricevimento della richiesta di consultazione, prorogabile di ulteriori sei settimane.
5. Previsione di procedure periodiche di monitoraggio e riesame
Anche qualora abbia ottenuto l’autorizzazione preventiva da parte dell’Autorità di controllo o abbia comunque effettuato la valutazione d’impatto ai sensi dell’articolo 35, paragrafi 1 e 3, il titolare del trattamento deve sottoporre il trattamento in questione a processi periodici di monitoraggio e riesame che, in generale, in attuazione del già menzionato e fondamentale principio di accountability, dovrebbero essere previsti per tutti i trattamenti attivi.
Resta, difatti, in capo al titolare del trattamento la responsabilità relativa alla scelta del tipo di trattamento da porre in essere (e della sua relativa corretta descrizione nel Registro delle attività di trattamento), dell’adozione di misure tecniche ed organizzative adeguate a garantire la sicurezza e protezione dei dati trattati, nonché, con specifico riferimento all’argomento in esame, della permanenza dei requisiti del trattamento che hanno portato escludere la presenza di un rischio elevato per i diritti e le libertà degli interessati ovvero che hanno indotto alla effettuazione della valutazione d’impatto sulla protezione dei dati secondo determinati criteri, che potrebbero non risultare più attualmente efficaci.