DPIA: IN COSA CONSISTE E QUANDO È OBBLIGATORIA SVOLGERLA
(Un importante adempimento per essere compliant al Regolamento GDPR sotto il profilo dell’analisi del rischio)
Quando un trattamento di dati personali, svolto nell’ambito di una realtà professionale, può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i Titolari del trattamento a svolgere una valutazione di impatto prima di darvi inizio, consultando l’autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.
Tale valutazione è individuata con l’acronimo: DPIA (Data Protection Impact Assessment), disciplinata dall’art 35 GDPR.
E’ bene ricordare, innanzitutto, che la DPIA è uno strumento importante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare del trattamento non soltanto a rispettare il GDPR, ma anche ad attestare di aver condotto misure idonee a garantire il rispetto del regolamento stesso.
Ed invero, ai sensi dell’art. 5.2 e dell’art. 24 del GDPR, vige nell’attuale assetto del data protection il principio di “accountability” o responsabilizzazione: “Tenuto conto della natura, dell’ambio di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il Titolare del Trattamento mette in atto misure tecniche ed organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.
L’art. 35 del GDPR, comma 1, prevede, in completa corrispondenza che: “Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.
In particolare, l’art. 35 del GDPR, comma 3, prevede nello specifico che la valutazione d’impatto sulla protezione dei dati è obbligatoria nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Rilevante è anche valutare quanto statuito dall’art. 25 GDPR al par. 1, a mente del quale “Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
In considerazione quindi del notevole volume di dati personali oggetto di quotidiano trattamento da parte di un’azienda, il Consulente privacy deve suggerire di svolgere una valutazione di impatto al fine di individuare, sotto la lente del “risk-based approach”, la gravità del rischio che il trattamento possa presentare per i diritti e le libertà della propria clientela, tenendo conto del grado di innovatività della tecnologia con cui vengono effettuati i diversi trattamenti nonché delle misure di sicurezza adottate dalla propria organizzazione societaria.
Effettuare una corretta DPIA consentirà al Titolare del trattamento di poter meglio identificare le misure più appropriate per ridurre e minimizzare ulteriormente i rischi in termini di impatto con gli interessati al trattamento (ossia i referenti persone fisiche delle imprese associate nonché il proprio personale interno, costituito dai propri dipendenti e collaboratori) e di adottare, tenuto conto dello stato dell’arte, ogni misura tecnica, giuridica ed organizzativa.
Avv. Eleonora Mataloni