GDPR: Documento di Valutazione degli Impatti (DPIA) - SPPD-MADEIN

Privacy 4.0 e Protezione dei dati
Edizione 2018-2019

Vai ai contenuti

Menu principale:

GDPR: Documento di Valutazione degli Impatti (DPIA)

AREA FORMAZIONE > DISPENSE FORMAZIONE > ISTRUTTORIA MANUALE
GDPR: Documento di Valutazione degli Impatti (DPIA)
La privacy europea è e sarà perennemente evolutiva!

VALUTAZIONE Dl IMPATTO PRIVACY Art. 35
Linee-guida in materia di valutazione di impatto sulla protezione dei dati del Gruppo "Articolo 29", disponibili al seguente link http://ec.europa.eu/newsroom/document.cfm?doc_id=44137.

DI COSA PARLIAMO
la valutazione di impatto privacy (DPIA) è un documento che attesta precauzioni di alto livello a fronte di rischi elevati per le persone.

PRESCRIZIONI MANDATORIE
Seppure in modo condizionale, sono obbligati alla osservanza tutti i titolari di trattamento che svolgono trattamenti rientranti nell'elenco che il Garante deve rende pubblico con le tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati. Il Garante può rendere pubblico anche un elenco delle tipologie di trattamenti per le quali "non" è richiesta una vaIutazione d'impatto sulla protezione dei dati.

COME FACCIO LA DOCUMENTAZIONE SPECIFICA
Il soggetto obbligato è tenuto a redigere ed aggiornare un documento da denominare "valutazione di impatto sulla protezione dei dati".





Quali trattamenti sono soggetti a una valutazione d'impatto sulla protezione dei dati?
Ovviamente tutti i casi in cui i trattamenti "possono presentare un rischio elevato". Il regolamento sulla protezione dei dati non richiede la realizzazione di una valutazione d'impatto sulla protezione dei dati per ciascun trattamento che può presentare rischi per i diritti e le libertà delle persone fisiche.

Cerchiamo di capire dove sono le chiavi di interpretazioni corrette nei casi incerti o di dubbio.

La realizzazione di una valutazione d'impatto sulla protezione dei dati è obbligatoria soltanto qualora il trattamento "possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche". Essa praticamente ineludibile se viene introdotta una nuova tecnologia di trattamento dei dati.

NELLA INCERTEZZA
Nei casi in cui non è chiaro se sia richiesta una valutazione d'impatto sulla protezione dei dati o meno, il WP 29 raccomanda di "effettuarla comunque", perchè è uno strumento utile ai titolari del trattamento nel rispettare la legge in materia di protezione dei dati. La valutazione d'impatto sulla protezione dei dati può essere necessaria anche in altre circostanze ritrovabili nall'articolo 35, paragrafo 3 che contiene alcuni esempi di casi sospettabili di  trattamento con "rischi elevati":

  • a) una valutazione sistematica e glo-'bale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
  • b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati;
  • c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico".

Come indicato dalle parole "in particolare" nella frase introduttiva dell'articolo 35, paragrafo 3, del regolamento generale sulla protezione dei dati, ci si riferisce ad un "elenco non esaustivo".

NOTA: Vi possono essere operazioni di trattamento a "rischio elevato" che non trovano collocazione in tale elenco ma che presentano tuttavia rischi altrettanto elevati. Anche tali trattamenti devono essere soggetti alla realizzazione di valutazioni d'impatto sulla protezione dei dati. Appare pacifico che i criteri sviluppati vanno studiati al di là di una semplice spiegazione dell'interpretazione dei tre esempi di cui all'Articolo 35, paragrafo 3, del Regolamento.

___________________________________

Al fine di fornire un insieme più concreto di trattamenti che richiedono una valutazione d'impatto sulla protezione dei dati in virtù del loro rischio elevato intrinseco

Consideriamo i seguenti nove criteri di applicabilità del DPIA.

1. Valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di 'aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato".
Si pensi a: un ente finanziario che esamina i suoi clienti rispetto a una banca dati di riferimento in materia di crediti oppure rispetto a una banca dati in materia di lotta contro il riciclaggio e il finanziamento del terrorismo (AML/CTF) oppure contenente informazioni sulle frodi; piuttosto che ad un'impresa di biotecnologie che offre test genetici direttamente ai consumatori per valutare e prevedere i rischi di malattia o per la salute; oppure un'impresa di profilazione che crea profili comportamentali o per la commercializzazione basati sull'utilizzo del proprio sito web o sulla navigazione sullo stesso

2. processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente: trattamento che mira a consentire l'adozione di decisioni in merito agli interessati che "hanno effetti giuridici" o che "incidono in modo analogo significativamente su dette persone fisiche" (articolo 35, paragrafo 3, lettera a)). Ad esempio, il trattamento può portare all'esclusione o alla discriminazione nei confronti delle persone. Il trattamento che non ha effetto o ha soltanto un effetto limitato sulle persone non risponde a questo criterio specifico;

3. monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o "la sorveglianza sistematica su larga scala di una zona accessibile al pubblico" (articolo 35, paragrafo 3, lettera c) . Questo tipo di monitoraggio è un criterio in quanto i dati personali possono essere raccolti in circostanze nelle quali gli interessati possono non essere a conoscenza di chi sta raccogliendo i loro dati e di come li utilizzerà. Inoltre, può essere impossibile per le persone evitare di essere soggette a tale trattamento nel contesto di spazi pubblici (o accessibili al pubblico);

4. dati sensibili o dati aventi carattere altamente personale: questo criterio include categorie particolari di dati personali così come definite all'articolo 9 (ad esempio informazioni sulle opinioni politiche delle persone), nonché dati personali relativi a condanne penali o reati. Un esempio potrebbe essere quello di un ospedale generale che conserva le cartelle cliniche dei pazienti oppure quello di un investigatore privato che conserva i dettagli dei trasgressori. Al di là di queste disposizioni del regolamento generale sulla protezione dei dati, alcune categorie di dati possono essere considerate aumentare il possibile rischio per i diritti e le libertà delle persone fisiche. Tali dati sono considerati sensibili perché legati ad attività a carattere personale o domestico (quali le comunicazioni elettroniche la cui riservatezza deve essere protetta) oppure perché influenzano l'esercizio di un diritto fondamentale (esempio dati relativi all'ubicazione che mettono in discussione la libertà di circolazione) oppure perché la violazione in relazione a tali dati implica chiaramente gravi ripercussioni sulla vita quotidiana dell'interessato (si pensi ad esempio a dati finanziari che potrebbero essere utilizzati per frodi relative ai pagamenti).


In questo contesto, può essere rilevante il fatto che tali dati siano stati resi pubblici dall'interessato o da terzi. Il fatto che i dati personali siano di dominio pubblico può essere considerato un fattore da considerare nella valutazione qualora fosse previsto che i dati venissero utilizzati ulteriormente per determinate finalità. Questo criterio può includere anche dati quali documenti personali, messaggi di posta elettronica, diari, note ricavate da dispositivi elettronici di lettura dotati di funzionalità di annotazione, nonché informazioni molto personali contenute nelle applicazioni che registrano le attività quotidiane delle persone;

5. trattamento di dati su larga scala: il regolamento generale sulla protezione dei dati non definisce la nozione di "su larga scala", tuttavia fornisce un orientamento in merito al considerando 91. A ogni modo, il WP 29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

    • a. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
    • b. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
    • c. la durata, ovvero la persistenza, dell'attività di trattamento;
    • d. la portata geografica dell'attività di trattamento;



6. creazione di corrispondenze o combinazione di insiemi di dati, ad esempio a partire da dati derivanti da due o più operazioni di trattamento svolte per finalità diverse e/o da titolari del trattamento diversi secondo una modalità che va oltre le ragionevoli aspettative dell'interessato;

7. dati relativi a interessati vulnerabili (considerando 75): il trattamento di questo tipo di dati è un criterio a motivo dell'aumento dello squilibrio di Potere tra gli interessati e il titolare del trattamento, aspetto questo che fa sì che le persone possono non essere in grado di acconsentire od opporsi al trattamento dei loro dati o di esercitare i propri diritti. Gli interessati vulnerabili possono includere i minori (i quali possono essere considerati non essere in grado di opporsi e acconsentire deliberatamente e consapevolmente al trattamento dei loro dati), i dipendenti, i segmenti più vulnerabili della popolazione che richiedono una protezione speciale (infermi di mente, richiedenti asilo o anziani, pazienti, ecc.) e quando sia possibile individuare uno squilibrio nella relazione tra la posizione dell'interessato e quella del titolare del trattamento;

8. uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, quali la combinazione dell'uso dell'impronta digitale e del riconoscimento facciale per un miglior controllo degli accessi fisici, ecc. IT regolamento generale sulla protezione dei dati chiarisce (articolo 35, paragrafo, 1 e considerando 89 e 91) che l'uso di una nuova tecnologia, definita "in conformità con il grado di conoscenze tecnologiche raggiunto" (considerando 91), può comportare la necessità di realizzare una valutazione d'impatto sulla protezione dei dati. Ciò è dovuto al fatto che il ricorso a tale tecnologia può comportare nuove forme di raccolta e di utilizzo dei dati, magari costituendo un rischio elevato per i diritti e le libertà delle persone. Infatti, le conseguenze personali e sociali dell'utilizzo di una nuova tecnologia potrebbero essere sconosciute. Una valutazione d'impatto sulla protezione dei dati aiuterà il titolare del trattamento a comprendere e trattare tali rischi. Ad esempio, alcune applicazioni di "Internet delle cose" potrebbero avere un impatto significativo sulla vita quotidiana e sulla vita privata  delle persone e, di conseguenza, richiedono la realizzazione di una valutazione
d'impatto sulla protezione dei dati;


9. quando il trattamento in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto" (articolo 22 e considerando 91). Parliamo di trattamenti che mirano a consentire, modificare o rifiutare l'accesso degli interessati a un servizio oppure la stipula di un contratto. Un esempio di ciò è rappresentato dal caso in cui una banca esamina i suoi clienti rispetto a una banca dati di riferimento per il credito al fine di decidere se offrire loro un prestito o meno.
Un titolare del trattamento può considerare che un trattamento che soddisfi due criteri debba formare oggetto di una valutazione d'impatto sulla protezione dei dati. Il WP 29 ritiene che maggiore è il numero di criteri soddisfatti dal trattamento, più è probabile che sia presente un rischio elevato per i diritti e le libertà degli interessati e, di conseguenza, che sia necessario realizzare una valutazione d'impatto sulla protezione dei dati, indipendentemente dalle misure che il titolare del trattamento ha previsto di adottare.
Infine, un titolare del trattamento può ritenere che un trattamento che soddisfa soltanto uno di questi criteri richieda una valutazione d'impatto sulla protezione dei dati. Al contrario, un trattamento può corrispondere ai casi di cui sopra ed essere comunque considerato dal titolare del trattamento un trattamento tale da non "presentare un rischio elevato". Quando così fosse, il titolare del trattamento deve giustificare e documentare i motivi che lo hanno spinto a non effettuare una valutazione d'impatto sulla protezione dei dati, nonché includere/registrare i punti di vista del responsabile della protezione dei dati.

NOTA: Nel contesto del principio di responsabilizzazione, ogni titolare del trattamento deve tenere "un registro delle attività di trattamento svolte sotto la propria responsabilità" che includa, tra l'altro, le finalità del trattamento, una descrizione delle categorie di dati e di destinatari dei dati e "ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1" (articolo 30, paragrafo 1); inoltre, deve valutare la probabilità di un rischio elevato, anche qualora decida in ultima analisi di non realizzare una valutazione d'impatto sulla protezione dei dati.

Quando non è richiesta una valutazione d'impatto sulla protezione dei dati?
Se il trattamento non è tale da 'presentare un rischio elevato" oppure qualora esista una valutazione d'impatto sulla protezione dei dati analoga, o qualora il trattamento sia stato autorizzato prima del maggio 2018 oppure abbia una base giuridica o sia incluso nell'elenco delle tipologie di trattamento per le quali non è richiesta una alutazione d'impatto sulla protezione dei dati. Il WP 29 ritiene che una valutazione d'impatto sulla protezione dei dati non sia richiesta nei seguenti casi:

  • quando il trattamento non è tale da 'presentare un rischio elevato per i diritti e le libertà delle persone fisiche" (articolo 35, paragrafo 1);• quando la natura, l'ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un trattamento per il quale è stata svolta una valutazione d'impatto sulla protezione dei dati. In tali casi, si possono utilizzare i risultati della valutazione d'impatto sulla protezione dei dati per un trattamento analogo (articolo 35, paragrafo 119);
  • quando le tipologie di trattamento sono state verificate da un'autorità di controllo prima del maggio 2018 in condizioni specifiche che non sono cambiate;
  • qualora un trattamento, effettuato a norma dell'articolo 6, paragrafo 1, lettere c) o e), trovi una base giuridica nel diritto dell'Unione o nel diritto dello Stato membro, tale diritto disciplini il trattamento specifico o sia già stata effettuata una valutazione d'impatto sulla protezione dei dati nel contesto dell'adozione di tale base giuridica, a meno che uno Stato membro non abbia dichiarato che è necessario effettuare tale valutazione prima di procedere alle attività di trattamento;
  • qualora il trattamento sia incluso nell'elenco facoltativo (stabilito dall'autorità di controllo) delle tipologie di trattamento per le quali non è richiesta alcuna valutazione d'impatto sulla protezione dei dati (articolo 35, paragrafo 5).

Tale elenco può contenere attività di trattamento conformi alle condizioni specificate, in particolare attraverso linee guida, decisioni o autorizzazioni specifiche, norme di conformità, ecc. (ad esempio in Francia, Autorizzazioni, esenzioni, norme semplificate, pacchetti di conformità, ecc.). A condizione che venga eseguita una nuova valutazione da parte dell'autorità di controllo competente, non è richiesta una valutazione d'impatto sulla Protezione dei dati ed è sufficiente se il trattamento rientra a tutti gli effetti nel campo di applicazione di una procedura tra quellu menzionate nell'elenco.

Quale regola si applica ai trattamenti già esistenti?
Talvolta sono necessarie valutazioni d'impatto sulla protezione dei dati su trattamenti già in corso. L'obbligo di svolgere una valutazione d'impatto sulla protezione dei dati si applica alle operazioni di trattamento esistenti che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche e per le quali vi è stata una variazione dei rischi, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento. Non è necessaria una valutazione d'impatto sulla protezione dei dati per i trattamenti già verificati da un'autorità di controllo o dal responsabile della protezione dei dati, a norma dell'articolo 20 della direttiva 95/46/CE e che vengono eseguiti in maniera tale da fare sì che non si sia registrata alcuna variazione rispetto alla verifica precedente. Diversamente, qualsiasi trattamento di dati le cui condizioni di attuazione sono mutate rispetto alla prima verifica effettuata dall'autorità di controllo o dal responsabile della protezione dei dati e che possono presentare un rischio elevato devono essere soggette a una valutazione d'impatto sulla protezione dei dati.

NOTA: il cambiamento si intende riferito a ambito di applicazione, finalità, dati personali raccolti, identità dei titolari del trattamento o dei destinatari, periodo di conservazione dei dati, misure tecniche e organizzative.

SU RICHIESTA
Potrebbe sempre essere possibile la richiesta una valutazione d'impatto sulla protezione dei dati in seguito a una variazione dei rischi derivante dalle operazioni di trattamento, ad esempio perché è entrata in uso una nuova tecnologia o perché i dati personali vengono utilizzati per una finalità diversa. Le operazioni di trattamento dei dati possono evolversi rapidamente e potrebbero emergere nuove vulnerabilità. Quindi, va osservato che la revisione di una valutazione  d'impatto sulla protezione dei dati non è utile soltanto ai fini di un miglioramento continuo, bensì anche fondamentale per mantenere il livello di protezione dei dati in un ambiente che muta nel corso del tempo.
Ancora, una valutazione d'impatto sulla protezione dei dati potrebbe rendersi necessaria anche perché il contesto organizzativo o sociale per l'attività di trattamento è mutato, ad esempio perché gli effetti di determinate decisioni automatizzate sono diventati più significativi oppure perché nuove categorie di interessati sono diventati vulnerabili alla discriminazione. Queste circostanze potrebbero costituire aspetti che portano a una variazione del rischio derivante dall'attività di trattamento interessata.

Naturalmente sussiste l'ipotesi che delle "modifiche" e/o "cambiamenti" potrebbero anche ridurre il rischio. Si pensi ad un trattamento con tecnologie IT evolute tale da fare sì che le decisioni siano automatizzate. In gni caso, il riesame dell'analisi dei trattamento di dati le cui condizioni di attuazione (ambito di applicazione, finalità, dati personali raccolti, identità dei titolari del trattamento o dei destinatari, periodo di conservazione dei dati, misure tecniche e organizzative, ecc.) sono mutate rispetto alla prima verifica effettuata dall'autorità di controllo o dal responsabile della protezione dei dati e che possono presentare un rischio elevato devono essere soggette a una valutazione d'impatto sulla protezione dei dati.


In quale momento va effettuata una valutazione d'impatto sulla protezione dei dati?
La valutazione d'impatto sulla protezione dei dati va effettuata "prima del trattamento". La valutazione d'impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento (By Design) anche se alcune delle operazioni di trattamento non sono ancora note. L'aggiornamento della valutazione d'impatto sulla protezione dei dati nel corso dell'intero ciclo di vita del progetto garantirà che la protezione dei dati e della vita privata sia presa in considerazione e favorisca la creazione di soluzioni che promuovono la conformità. Può essere altresì necessario ripetere singole fasi della valutazione man mano che il processo di sviluppo evolve, dato che la selezione di determinate misure tecniche od organizzative può influenzare la gravità o la probabilità dei rischi posti dal trattamento. Il fatto che possa rendersi necessario aggiornare la valutazione d'impatto sulla protezione dei dati dopo l'effettivo avvio del trattamento non costituisce un motivo valido per rinviare o non svolgere una valutazione d'impatto sulla protezione dei dati. La valutazione d'impatto sulla protezione dei dati è un processo continuo, soprattutto quando un trattamento è dinamico ed è soggetto a variazioni continue.

Chi è obbligato a effettuare la vaIutazione d'impatto sulla protezione dei dati?
Il titolare del trattamento, con il responsabile della protezione dei dati e i responsabili del trattamento. Al titolare del trattamento spetta assicurare che la valutazione d'impatto sulla protezione dei dati sia eseguita (articolo 35, paragrafo 2). La valutazione d'impatto sulla protezione dei dati può essere effettuata da qualcun altro, all'interno o all'esterno dell'organizzazione, tuttavia al titolare del trattamento spetta la responsabilità ultima per tale compito. Inoltre il titolare del trattamento deve consultarsi con il responsabile della protezione dei dati (RPD), qualora ne sia designato uno (articolo 35, paragrafo 2) e il parere ricevuto, così come le decisioni prese dal titolare dèl trattamento, debbano essere documentate all'interno della valutazione d'impatto sulla protezione dei dati. Il responsabile della protezione dei dati deve altresì sorvegliare lo svolgimento della valutazione d'impatto sulla protezione dei dati.

Qualora il trattamento venga eseguito in toto o in parte da un responsabile del trattamento dei dati, quest'ultimo deve assistere il titolare del trattamento nell'esecuzione della valutazione d'impatto sulla protezione dei dati e fornire tutte le informazioni necessarie (conformemente all'articolo 28, paragrafo 3, lettera f)). Il titolare del trattamento deve "raccogliere le opinioni degli interessati o dei loro rappresentanti" (articolo 35, paragrafo 9), "se del caso".

Il WP 29 ritiene che: tali opinioni possono essere raccolte attraverso una varietà di mezzi, a seconda del contesto (ad esempio uno studio generico relativo alla finalità e ai mezzi del trattamento, una domanda posta ai rappresentanti del personale oppure indagini abituali inviate ai futuri clienti del titolare del trattamento), assicurando che il titolare del trattamento disponga di una base giuridica valida per il trattamento di qualsiasi dato personale interessato nel raccogliere dette opinioni; sebbene sia opportuno osservare che  il consenso al trattamento non è ovviamente un modo per raccogliere le opinioni degli interessati; qualora la decisione finale del titolare del trattamento si discosti dalle opinioni degli interessati, le sue motivazioni a sostegno del procedere o meno vanno documentate; il titolare del trattamento deve anche documentare la sua giustificazione per la mancata raccolta delle opinioni degli interessati, qualora decida che ciò non sia appropriato, ad esempio qualora ciò comporterebbe la riservatezza dei piani economici dell'impresa o sarebbe sproporzionato o impraticabile.

Buona prassi è definire e documentare altri ruoli e responsabilità specifici, a seconda delle politiche, dei processi e delle norme interni, ad esempio:

    • se del caso che specifiche unità aziendali propongano di svolgere una valutazione d'impatto sulla protezione dei dati, tali unità dovrebbero poi fornire contributi alla valutazione d'impatto sulla protezione dei dati ed essere coinvolte nel processo di convalida di detta vaIutazione;
    • se del caso, si raccomanda di consultare esperti indipendenti che esercitano professioni diverse (avvocati, esperti informatici, esperti di sicurezza, sociologi, esperti di etica, ecc.).
    • se i ruoli e le responsabilità dei responsabili del trattamento devono essere definiti contrattualmente; e la valutazione d'impatto sulla protezione dei dati deve essere svolta con l'assistenza di un responsabile del trattamento, tenendo conto della natura del trattamento e delle informazioni a disposizione di detto responsabile del trattamento (articolo 28, paragrafo 3, lettera f));
    • il responsabile capo della sicurezza dei sistemi d'informazione (CISO), se nominato, così come il responsabile della protezione dei dati, potrebbero suggerire al titolare del trattamento di realizzare una valutazione d'impatto sulla protezione dei dati in merito a una specifica operazione di trattamento e dovrebbero assistere le parti interessate in relazione alla metodologia, contribuire alla vaIutazione della qualità della valutazione dei rischi e del grado di accettabilità del rischio residuo, nonché allo sviluppo di conoscenze specifiche in merito al contesto del titolare del trattamento;
    • il responsabile capo della sicurezza dei sistemi d'informazione (CISO), se nominato, e/o il dipartimento dedicato alle tecnologie dell'informazione, dovrebbero fornire assistenza al titolare del trattamento, nonché potrebbero proporre lo svolgimento di una valutazione d'impatto sulla protezione dei dati su un'operazione specifica di trattamento, a seconda delle esigenze operative e legate alla sicurezza.


Qual è la metodologia da seguire per svolgere una valutazione d'impatto sulla protezione dei dati?
Vi sono metodologie diverse, ma criteri comuni. Il regolamento generale sulla protezione dei dati definisce le caratteristiche minime di una valutazione d'impatto sulla protezione dei dati (articolo 35, paragrafo 7,' e considerando 84 e 90):

    1. "una descrizione dei trattamenti previsti e delle finalità del trattamento";
    2. "una valutazione della necessità e proporzionalità dei trattamenti";
    3. "una valutazione dei rischi per i diritti e le libertà degli interessati";
    4. "le misure previste per: o "affrontare i rischi"; o "dimostrare la conformità al presente regolamento".


Tutti i requisiti pertinenti stabiliti nel regolamento generale sulla protezione dei dati offrono un quadro ampio e generico per la progettazione e lo svolgimento di una valutazione d'impatto sulla protezione dei dati. L'attuazione della valutazione d'impatto sulla protezione dei dati modulabile e anche un titolare del trattamento di piccole dimensioni può attuare una valutazione d'impatto sulla protezione dei dati adatta ai propri trattamenti.
In termini di gestione dei rischi, una valutazione d'impatto sulla protezione dei dati mira a "gestire i rischi" per i diritti e le libertà delle persone fisiche.
La valutazione d'impatto sulla protezione dei dati deve comprovare la gestione di rischi per i diritti degli interessati.

Esiste l'obbligo di pubblicare la valutazione d'impatto sulla protezione dei dati?
No, ma farlo favorisce la fiducia degli interessati e delle Autorità. La valutazione d'impatto sulla protezione dei dati completa deve essere comunicata all'autorità di controllo in caso di consultazione preventiva o su richiesta da parte delle autorità competenti per la protezione dei dati personali.
La pubblicazione di una valutazione d'impatto sulla protezione dei dati non è un requisito giuridico sancito dal regolamento generale sulla protezione dei dati, è una decisione facoltativa del titolari del trattamento. Se i titolari del trattamento pubblicano anche solo una sintesi o la conclusione della loro valutazione d'impatto sulla protezione dei dati, sarebbe un beneficio inestimabile. Al pari della Informativa di cui all' Art. 13.

Ricordiamo che lo scopo della DPIA è quello di contribuire a stimolare la fiducia nei confronti dei trattamenti effettuati dal titolare del trattamento, nonché di dimostrare la responsabilizzazione e la trasparenza. Essenziaqlmente, è una buona prassi soprattutto nel caso in cui individui della popolazione siano influenzati dal trattamento interessato.
Pensiamo al caso in cui  un'autorità pubblica realizza una valutazione d'impatto sulla protezione dei dati. La valutazione d'impatto sulla protezione dei dati pubblicata non deve necessariamente contenere l'intera valutazione, soprattutto qualora essa possa presentare informazioni specifiche relative ai rischi per la sicurezza per il titolare del trattamento o divulgare segreti commerciali o informazioni commerciali sensibili. In queste circostanze, la versione pubblicata potrebbe consistere soltanto in una sintesi delle principali risultanze della valutazione d'impatto sulla protezione dei dati o addirittura soltanto in una dichiarazione nella quale si afferma che la valutazione d'impatto sulla protezione dei dati è stata condotta.


Come da nostro stile riassumiamo di seguito alcune check-list operative per intraprendere le azioni sul campo

Esempi di quadri generici dell'UE:
DE: modello per la protezione dei dati standard, V. 1.0 - versione di prova, 201631.
https://www.datenschutzzentrum.de/uploads/SDM-Methodology_V1_EN1.pdf

ES: Guia para una Evaluaci6n de Impacto en la Proteccién de Datos Personales (EIPD), Agencia espanola de protecci6n de datos (AGP D), 2014.
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Gui a_EIPD.pdf;

FR: Privacy Impact Assessment (PIA), Commission nationale de l'informatique et des libertés (CNI L), 2015.
https://www.cnil.fr/fr/node/15798;

U K: Conducting privacy impact assessments code of practice, Information Commissioner's Office (ICO), 2014.
https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf.

Esempi UE specifici per tecnologie ICT - IOT specifiche:
Privacy and Data Protection Impact Assessment Framework for RF ID Applications [Quadro per la realizzazione di valutazioni di impatto sulla. protezione della vita privata e dei dati per le applicazioni RF ID]
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp180_annex_en.pdf;

Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems [Modello per la vaIutazione d'impatto sulla protezione dei dati per la rete intelligente e i sistemi di misurazione intelligenti]
http://ec.europa.eu/energy/sites/ener/files/documents/2014_dpia_smart_grids_forces.pdf.

SCHEDA/FORMULA PROCEDIMENTO VIP

    • Verifica base giuridica "assorbente"
    • Verifica elenchi casi di obbligo
    • Verifica elenchi casi di esonero

Scelta del modello
    • Consultazione del DPO
    • Raccolta opinioni degli interessati o rappresentanti
    • Verifica codici di condotta
    • Pubblicazione della valutazione di impatto
    • Manutenzione e aggiornamento periodico

CONTENUTI DELLA VIP
• Descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se applicabile, l'interesse legittimo perseguito dal titolare del trattamento
• Valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità
• Valutazione dei rischi per i diritti e le libertà degli interessati
• Misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la , protezione dei dati personali e dimostrare la conformità al regolamento

Criteri per valutazione di impatto accettabile

• Una descrizione sistematica del trattamento è fornita (articolo 35, paragrafo 7, lettera a)):

  • la natura, l'ambito di applicazione, il contesto e le finalità del trattamento sono presi in considerazione (considerando 90);
  • vengono registrati i dati personali, j destinatari e il periodo di conservazione dei dati personali;
  • viene fornita una descrizione funzionale del trattamento;
  • sono individuate te risorse sulle quali si basano i dati personali (hardware, software, reti, persone, canali cartacei o di trasmissione cartacea);
  • si tiene conto del rispetto dei codici di condotta approvati (articolo 35, paragrafo 8).

• La necessità e la proporzionalità sono valu
tate (articolo 35, paragrafo 7, lettera b)):

  • sono state determinate le misure previste per garantire il rispetto del regolamento (articolo 35, paragrafo 7, lettera d) e considerando 90):
  • misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:
  • finalità determinate, esplicite e legittime (articolo 5, paragrafo 1, lettera b));
  • liceità del trattamento (articolo 6);
  • dati personali adeguati, pertinenti e limitati a quanto necessario (articolo 5, paragrafo 1, lettera c));
  • limitazione della conservazione (articolo 5, paragrafo 1, lettera e));
  • misure che contribuiscono ai diritti degli interessati:
      • informazioni fornite all'interessato (articoli 12, 13 e 14);
      • diritto accesso e portabilità dei dati (articoli 15 e 20);
      • diritto di rettifica e alla cancellazione (articoli 16, 17 e 19);
      • diritto di opposizione e di limitazione di trattamento (articoli 18, 19 e 21);
      • rapporti con i responsabili del trattamento (articolo 28);
      • garanzie riguardanti trattamenti internazionali (capo V);
      • consultazione preventiva (articolo 36).

  • • I rischi per i diritti e le libertà degli interessati sono gestiti (articolo 35, paragrafo 7 lettera c)):

    • - l'origine, la natura, la particolarità e la gravità dei rischi (cfr. considerando 84) o, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati) vengono determinate dalla prospettiva degli interessati:
        • - si considerano le fonti di rischio (considerando 90);
        • - sono individuati gli impatti potenziali per i diritti e le libertà degli interessati in caso di eventi che includono l'accesso illegittimo, la modifica indesiderata e la scomparsa dei dati;
        • - sono individuate minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati;
        • - sono stimate la probabilità e la gravità (considerando 90);
        • - sono determinate le misure previste per gestire tali rischi (articolo 35, paragrafo 7, lettera d) e considerando 20);

• Le parti interessate sono coinvolte:
    • - si consulta il responsabile della protezione dei dati (articolo 35, paragrafo 2);
    • - si raccolgono le opinioni degli interessati o dei loro rappresentanti, ove opportuno (articolo 35, paragrafo 9).


Un ospedale che tratta i dati genetici e sanitari
• Dati sensibili o dati aventi carattere estretari dei propri pazienti (sistema informativo mamente personale ospedaliero)
• dati riguardanti soggetti interessati vulne
• trattamento di dati su larga scala

L'uso di un sistema di telecamere per monitoraggio

• Monitoraggio sistematicotorare il comportamento di guida sulle auto
• uso innovativo o applicazione di soluzioni I strade. Il titolare del trattamento prevede di tecnologiche od organizzative utilizzare un sistema intelligente di analisi video per individuare le auto e riconoscere automaticamente le targhe

Conservazione per finalità di archiviazione di
• Dati sensibili - dati sensibili personali pseudonimizzati relativi
• dati riguardanti soggetti interessati vulnevi a interessati vulnerabili coinvolti in progetti di ricerca o sperimentazioni cliniche
• impedisce agli interessati di esercitare un diritto o utilizzare un servizio o un contratto

Un'azienda che monitora sistematicamente
    • Monitoraggio sistematico le attività dei suoi dipendenti, controllando
    • dati riguardanti soggetti interessati vulneanche la postazione di lavoro dei dipendenti, le loro attività in Internet, ecc.

La raccolta di dati pubblici dei media sociali
• Valutazione o assegnazione di un punteggio per la generazione di profili
• trattamento di dati su larga scala • creazione di corrispondenze o combinazione di insiemi di dati
• dati sensibili o dati aventi carattere estremamente personale

Un'istituzione che crea una banca dati antifrode e di gestione del rating del livello nazionale (Es. centrale rischi)

Possibili criteri :
• Valutazione o assegnazione di un punteggio
• processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente
• impedisce agli interessati di esercitare un diritto o utilizzare un servizio o un contratto
• dati sensibili o dati aventi carattere estremamente personale


VALUTAZIONE Dl IMPATTO NO
• Dati sensibili o dati aventi carattere estremo
Un trattamento di "dati personali di pazienti o mamente personale clienti da parte di un singolo medico, operato

• dati riguardanti soggetti interessati vulnere sanitario o avvocato" (considerando 91)
Una rivista online che utilizza una lista di • Trattamento di dati su larga scala distribuzione per inviare una selezione quotidiana generica ai suoi abbonati

• Valutazione o assegnazione di un punteggio
Un sito web di commercio elettronico che visualizza annunci pubblicitari per parti di auto d'epoca che comporta una limitata profilazione basata sugli articoli visualizzati o acquistati sul proprio sito web






Torna ai contenuti | Torna al menu