ultimo aggiornamento:
Login

Privacy: Valutazione d’impatto sulla protezione dei dati (DPIA)

Pubblicato il: 29 Novembre 2018

Circolare n. 62/2018 – CO 20/2018

ll Garante privacy ha reso disponibile l’elenco delle tipologie di trattamenti soggetti alla valutazione d’impatto sulla protezione dei dati.

Image

Il Garante per la protezione dei dati personali ha reso disponibile sul proprio sito istituzionale (Allegato 1), poi pubblicato sulla Gazzetta Ufficiale n. 269 del 19.11.2018, l’elenco delle tipologie di trattamenti soggetti alla valutazione d’impatto sulla protezione dei dati (Data Protection Impact Assesment-DPIA), ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 (GDPR).

Il GDPR non richiede sempre una DPIA per ogni trattamento effettuato dal titolare, ma solo nel caso in cui il trattamento sia suscettibile di causare un rischio elevato per i diritti e le libertà delle persone fisiche, ovvero quando il titolare del trattamento utilizzi o effettui una determinata operazione per l’esercizio della propria attività.

La DPIA è una procedura che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. La valutazione d’impatto va effettuata prima di iniziare il trattamento e consente di mettere in pratica la protezione dei dati anche nella fase di progettazione (data protection by design).

Il comma 3 dell’articolo 35 del GDPR prevede che la valutazione d’impatto è in ogni caso necessaria nei seguenti casi: nel caso di valutazione sistematica e globale di aspetti personali relativi a persone fisiche basate su un trattamento automatizzato compresa la profilazione, o nel caso in cui ci sia un trattamento su larga scala di particolari categorie di dati e nel caso di  sorveglianza di larga scala di una zona accessibile al pubblico.

La valutazione d’impatto, ricorda il Garante, è uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti effettuati e costituisce una buona prassi, poiché attraverso di essa “il titolare può ricavare indicazioni importanti e utili per prevenire incidenti futuri”. E’, infine, una procedura che permette di valutare e dimostrare la conformità con le norme in materia di protezione dei dati personali.

Al fine di dare concretezza all’obbligo di effettuare una DPIA, anche il Gruppo ex art. 29, oltre a chiarire il significato con “sistematico” e su “larga scala”, ha anche individuato nove criteri che costituiscono indici rilevanti per il titolare che deve porre in essere un decisione in ordine alla necessità di realizzarla (vedere  circolare n. 29/2018 – CO 10/2018 del 04.05.2018).

Il Gruppo art. 29 ha individuato alcuni criteri specifici a questo proposito:

  • trattamenti valutativi o di scoring, compresa la profilazione;
  • decisioni automatizzate che producono significativi effetti giuridici (es: assunzioni, concessione di prestiti, stipula di assicurazioni);
  • monitoraggio sistematico (es: videosorveglianza);
  • trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche);
  • trattamenti di dati personali su larga scala;
  • combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);
  • dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, richiedenti asilo, anziani, ecc.);
  • utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, device IoT, ecc.);
  • trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

Il documento elaborato dal Gruppo ex articolo 29 aveva infatti precisato che la DPIA è necessaria in presenza di almeno due di questi criteri, ma tenendo conto delle circostanze, il titolare può decidere di condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra.

Le suddette linee-guida del WP29 hanno offerto alcuni chiarimenti sulla DPIA e sulla necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum.

Le linee-guida hanno chiarito che una valutazione di impatto non è richiesta per i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e che non presentino modifiche significative prima del 25 maggio 2018, data di piena applicazione del regolamento.

Tuttavia, nella consapevolezza di una difficoltà interpretativa circa il dovere di svolgere una DPIA, il Regolamento sulla protezione dei dati ha previsto che ogni Autorità di controllo stabilisca e renda pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto e lo comunichi al Comitato europeo per la protezione dei dati di cui all’art. 68 del GDPR.

Le liste predisposte da ogni singola Autorità di controllo non dovranno essere considerate esaustive, ma progressive e adattabili per raggiungere gli obiettivi del GDPR e la DPIA dovrà essere effettuata sempre nel caso in cui ricorrano le condizioni applicative previste dall’art. 35 del GDPR e nel caso in cui ricorrano due o più criteri individuati dal Gruppo ex art. 29.

Nella delibera dell’11 ottobre scorso (Allegato 2), che recepisce le osservazioni del Comitato europeo per la protezione dei dati, l’Autorità ha stabilito che sono soggette alla DPIA le seguenti  tipologie  di  trattamenti:

  • valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati  nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad «aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le  preferenze o gli interessi personali,  l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato»;
  • automatizzati finalizzati ad assumere decisioni che producono «effetti  giuridici» oppure che incidono «in  modo analogo significativamente» sull’interessato;
  • relativi ad un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la  raccolta di dati attraverso reti, effettuati anche on-line o attraverso app, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc;
  • su larga scala di dati aventi carattere estremamente personale (v. WP 248, rev. 01): si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o  privata (quali  i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale;
  • effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi   la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
  • non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di  mente, pazienti, richiedenti asilo);
  • effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo;
  • che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
  • di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di  consumo di beni digitali con dati di pagamento (es. mobile payment);
  • categorie  particolari  di  dati  ai  sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali  raccolti  per finalità diverse;
  • di dati biometrici, tenendo conto, in particolare,  del  volume  dei  dati,  della  durata,  ovvero   della persistenza, dell’ attivita’ di trattamento
  • di dati genetici, tenendo conto, in particolare, del  volume dei  dati, della durata, ovvero della persistenza, dell’ attività di trattamento.

Allegati

Share:
Image
Piemonte: Contributi destinati alle MPMI per l’acquisto o la conversione di veicoli commerciali N1 o N2
Image
Fatturazione elettronica: FAQ dell'Agenzia delle Entrate
Top
Federauto
Panoramica privacy

Questo sito Web utilizza i cookie per consentirci di offrire la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito web e aiutando il nostro team a capire quali sezioni del sito web trovi più interessanti e utili.

È possibile regolare tutte le impostazioni dei cookie navigando nelle schede sul lato sinistro.