Linee Guida sulla Valutazione di Impatto sulla protezione dei dati personali: ecco le novità

 Linee Guida sulla Valutazione di Impatto sulla protezione dei dati personali: ecco le novità

Il 4 ottobre scorso il Gruppo Articolo 29 ha pubblicato le Linee Guida sulla Valutazione di Impatto sulla protezione dei dati personali (Data Protection Impact Analysis).

Il documento chiarisce l’importanza, nel conformarsi alle prescrizioni del Regolamento, di adottare un approccio basato sulla corretta valutazione del rischio connesso al trattamento dei dati personali e cioè in relazione a quei trattamenti che possono avere conseguenze pregiudizievoli sui diritti e le libertà delle persone fisiche.

Grazie all’ausilio di molteplici esempi pratici le Linee Guida forniscono le indicazioni interpretative necessarie per capire cosa si deve intendere concretamente con DPIA e quando ricorrervi.

Infatti si precisa che, pur se il Regolamento richiede la Valutazione di Impatto con riferimento a specifiche situazioni (si veda soprattutto l’art. 35 del Regolamento), tuttavia questa deve essere posta in essere ogni qualvolta il titolare ritenga che ci sia il pericolo che i diritti e le libertà degli interessati possano essere posti a rischio.

Il WP29 infatti chiarisce come la DPIA è lo strumento principale per garantire il rispetto da parte del titolare del trattamento del principio di accountability (cioè la responsabilità e la responsabilizzazione del titolare del trattamento connessa alla capacità da parte di quest’ultimo di essere in grado di dimostrare l’efficacia e l’efficienza delle misure adottate).

Da questa considerazione ne consegue anche un’importante conseguenza operativa e cioè che, qualora il titolare non ritenga che dai risultati della propria valutazione i trattamenti eseguiti non necessitino di una DPIA, egli dovrà giustificare per scritto le valutazioni fatte da tenere nel registro dei trattamenti svolti sotto la sua responsabilità.

Al fine di supportare il titolare del trattamento a compiere queste scelte, le Linee Guide forniscono nove criteri di riferimento per capire quando, con molta probabilità, sarà necessario procedere alla DPIA:

  1. Trattamenti che comportano valutazioni della persona e profilazione (es. rendimento professionale, situazione economica, ubicazione, spostamenti, ecc);

  2. Decisioni automatizzate con effetti giuridici significativi (es. esclusione da benefici);

  3. Attività di monitoraggio sistematico (es. raccolti di dati attraverso reti, sorveglianza sistematica in un’area accessibile al pubblico);

  4. Dati sensibili o dati di natura estremamente personale (es. opinione politiche o sindacali, condanne penali, cartelle cliniche, ecc.)

  5. Trattamenti di dati su larga scala (il concetto di larga scala va riverito a: numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento; volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento; durata, o persistenza, dell’attività di trattamento; ambito geografico dell’attività di trattamento);

  6. Combinazione o raffronto di insiemi di dati (es. dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti);

  7. Dati relativi a interessati vulnerabili (si va dai minori sino ai soggetti con patologie psichiatriche, richiedenti asilo, anziani, pazienti);

  8. Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es. l’associazione fra tecniche dattiloscopiche e riconoscimento del volto per migliorare il controllo degli accessi fisici);

  9. In generale, infine, tutti quei trattamenti che, di per sé, impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es. lo screening dei clienti di una banca attraverso i dati registrati in una centrale rischi al fine di stabilire se ammetterli o meno a un finanziamento).

Le linee guida chiariscono che la pubblicazione della DPIA non costituisce un obbligo formale ai sensi del Regolamento ed è quindi una scelta rimessa alla discrezionalità del titolare. Si suggerisce, comunque, di rendere pubbliche almeno una sintesi o le conclusioni.

Come chiariscono le Linee Guida: la DPIA è uno strumento che consente ai titolari di implementare sistemi di trattamento dati conformi al regolamento, e in taluni casi di trattamento la sua conduzione è obbligatoria. Si tratta di una procedura scalabile che può assumere forme diverse, tuttavia i requisiti basilari di una DPIA efficace sono fissati nel regolamento. I titolari dovrebbero guardare alla DPIA come a un’attività utile e positiva che favorisce l’osservanza dei requisiti di legge.

Avv. Emiliano Vitelli

Emiliano Vitelli

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.