Il Gruppo articolo 29 continua nel suo lavoro di redazione e modifica delle linee guida per la corretta applicazione del nuovo Regolamento sulla protezione dei dati personali.
Il 4 ottobre scorso è stato pubblicato l’aggiornamento delle Linee Guida sulla Valutazione di Impatto sulla protezione dei dati personali (Data Protection Impact Analysis) necessario alla corretta applicazione della nuova normativa in tema di privacy.
Nuove regole privacy: suggerimenti (ed obblighi) per le aziende.
In primo luogo viene sottolineata la centralità, nel conformarsi alle prescrizioni del Regolamento, dell’approccio basato sulla corretta considerazione del rischio connesso al trattamento dei dati personali e cioè in relazione a quei trattamenti che possono avere conseguenze pregiudizievoli sui diritti e le libertà delle persone fisiche. Il documento fornisce (anche utilizzando molteplici esempi pratici) le indicazioni interpretative necessarie al fine di capire cosa si deve intendere concretamente con DPIA e quando ricorrervi.
Su questo ultimo punto risultano fondamentali due considerazioni:
pur se il Regolamento richiede la Valutazione di Impatto in specifiche situazioni, tuttavia questa deve essere posta in essere ogni qualvolta il titolare ritenga che ci sia il pericolo che i diritti e le libertà degli interessati possano essere posti a rischio (le Autorità nazionali sono chiamate a rendere pubblico un elenco di trattamenti che comunque dovranno essere sottoposti a valutazione);
la DPIA, non va intesa come un’attività una tantum, bensì come un’attività persistente e ciclica.
Il WP29, infatti, chiarisce come la DPIA è lo strumento principale per garantire il rispetto da parte del titolare del trattamento del principio di accountabilty (cioè la responsabilità e la responsabilizzazione del titolare del trattamento connessa alla capacità da parte di quest’ultimo di essere in grado di dimostrare l’efficacia e l’efficienza delle misure adottate).
Di fatto, quindi, l’azienda-titolare del trattamento dovrà porre in essere una prima necessaria valutazione del rischio (che potrebbe essere definita: di base) per svolgere un’analisi dei trattamenti ed una seconda, eventuale, valutazione del rischio (che potrebbe essere definita di approfondimento tecnico) in relazione alle misure di sicurezza da adottare rispetto ai risultati ottenuti.
Da queste considerazioni ne consegue anche un’importante conseguenza operativa e cioè che qualora il titolare non ritenga che dai risultati della propria valutazione i trattamenti eseguiti non necessitino di una DPIA (in senso stretto), egli dovrà giustificare per scritto le valutazioni fatte da tenere nel registro dei trattamenti svolti sotto la sua responsabilità.
Al fine di supportare il titolare del trattamento a compiere queste scelte, le Linee Guide forniscono nove criteri di riferimento per capire quando, con molta probabilità, sarà necessario procedere alla DPIA:
Trattamenti che comportano valutazioni della persona e profilazione (es. rendimento professionale, situazione economica, ubicazione, spostamenti, ecc);
Decisioni automatizzate con effetti giuridici significativi (es. esclusione da benefici);
Attività di monitoraggio sistematico (es. raccolti di dati attraverso reti, sorveglianza sistematica in un’area accessibile al pubblico);
Dati sensibili o dati di natura estremamente personale (es. opinione politiche o sindacali, condanne penali, cartelle cliniche, ecc.)
Trattamenti di dati su larga scala (il concetto di larga scala va riverito a: numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento; volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento; durata, o persistenza, dell’attività di trattamento; ambito geografico dell’attività di trattamento);
Combinazione o raffronto di insiemi di dati (es. dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti);
Dati relativi a interessati vulnerabili (si va dai minori sino ai soggetti con patologie psichiatriche, richiedenti asilo, anziani, pazienti);
Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es. l’associazione fra tecniche dattiloscopiche e riconoscimento del volto per migliorare il controllo degli accessi fisici);
In generale, infine, tutti quei trattamenti che, di per sé, impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es. lo screening dei clienti di una banca attraverso i dati registrati in una centrale rischi al fine di stabilire se ammetterli o meno a un finanziamento).
Nel ribadire che la pubblicazione della DPIA non costituisce un obbligo formale ai sensi del Regolamento – risultando rimessa alla discrezionalità del titolare – le linee guida rilevano come tuttavia sarebbe opportuno che i titolari valutassero di rendere pubbliche almeno parti della DPIA, quali una sintesi o le conclusioni.
Possiamo pertanto concludere riportando un significativo passaggio del documento in commento:
“La DPIA è uno strumento che consente ai titolari di implementare sistemi di trattamento dati conformi al regolamento, e in taluni casi di trattamento la sua conduzione è obbligatoria. Si tratta di una procedura scalabile che può assumere forme diverse, tuttavia i requisiti basilari di una DPIA efficace sono fissati nel regolamento. I titolari dovrebbero guardare alla DPIA come a un’attività utile e positiva che favorisce l’osservanza dei requisiti di legge”.