Se c'é un modo di fare meglio, trovalo.

(Thomas Edison)

Valutazione d’impatto privacy (DPIA): quando effettuarla
Mercoledì, 17 Gennaio 2018 09:42

Valutazione d’impatto privacy (DPIA): quando effettuarla

di Giacomo Lusardi

L’art. 35 del Regolamento Generale sulla Protezione dei Dati Personali (“GDPR”, Reg. UE 679/2016), che avrà piena applicazione in Italia a partire dal 25 maggio 2018, ha introdotto l’ obbligo di procedere a una c.d. “valutazione d’impatto” (“DPIA”, Data Protection Impact Assessment) prima di effettuare trattamenti di dati personali che possano presentare “un rischio elevato per i diritti e le libertà delle persone fisiche”. Ricordo che il GDPR definisce “trattamento di dati personali” “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4 GDPR).

Quanto all’individuazione dei trattamenti di dati personali che possano presentare “un rischio elevato per i diritti e le libertà delle persone fisiche”, l’art. 35 del GDPR prevede un elenco non esaustivo di ipotesi con riferimento alle quali la DPIA è obbligatoria: (i) “valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione […]”; (ii) “trattamento, su larga scala, di categorie particolari di dati personali […]”; e (iii) “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. Oltre a tali ipotesi tipiche, la norma prevede che debba essere l’autorità di controllo (per l’Italia il Garante Privacy) a pubblicare un elenco dei tipi di trattamento che richiedono la DPIA, così come un ulteriore elenco dei tipi di trattamento che invece non la richiedono, documenti ad oggi non ancora disponibili.

Tuttavia, con le linee guida del 4.10.2017, il Gruppo di lavoro ex art. 29 dir. 95/46/CE ha già fornito alcuni chiarimenti in merito ai casi concreti in cui andrà effettuata la DPIA, stabilendo precisi criteri quali, ad esempio: trattamenti che, tra gli altri, mirino alla creazione di profili comportamentali o di marketing in base alla navigazione e alle azioni compiute dagli utenti sui siti web; trattamenti che riguardino dati sensibili in senso lato, quali quelli afferenti la vita privata e quelli riguardanti l’ubicazione del soggetto (tra cui la geo-localizzazione); ogni combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti da titolari del trattamento distinti; ogni trattamento effettuato nei confronti di categorie di persone vulnerabili quali minori, pazienti e anziani; gran parte dei trattamenti legati all’internet of things. Il Gruppo ex art. 29 ha precisato che la DPIA è necessaria se ricorrono almeno due dei suddetti criteri, indipendentemente dalle misure di sicurezza adottate, ma il titolare del trattamento può decidere di effettuarla anche in presenza di uno solo di essi.

Anche nei casi in cui non è obbligatoria, una DPIA svolta correttamente consente infatti di dimostrare la conformità del trattamento alla nuova normativa europea. Nel caso in cui la DPIA evidenzi che il trattamento presenterebbe rischi elevati in assenza di misure di attenuazione del rischio, il titolare del trattamento è tenuto a consultare in via preventiva il Garante Privacy (art. 36 GDPR).

A pochi mesi della piena applicabilità del GDPR e considerati i molteplici casi in cui la DPIA dovrà essere effettuata, le imprese dovranno coinvolgere i professionisti specializzati già nella fase iniziale della programmazione del trattamento, attenuando così il rischio successivo in termini di violazioni e conseguenti sanzioni pecuniarie amministrative, a maggior ragione se si considera il severo regime sanzionatorio previsto dal GDPR (fino a un massimo di 20 milioni di Euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente).

giacomo.lusardi@milalegal.com