Il 4 aprile 2017 sono state finalmente rese disponibili, in una prima versione, le linee guida sul data protection impact assessment (DPIA), ossia la “valutazione d’impatto sulla protezione dei dati” prevista dal Regolamento UE n. 2016/679.
Il documento era particolarmente atteso, vista la centralità del tema e la complessa attività organizzativa e d’investimento che la valutazione d’impatto richiede.
Qui di seguito si propone una breve sintesi per punti delle indicazioni di maggior interesse, secondo l’apprezzamento dello scrivente.
Innanzitutto, che cos’è il DPIA
In termini essenziali, il DPIA è un’attività interna cui è tenuto il titolare del trattamento prima di compiere operazioni su dati personali che pongano a rischio elevato le libertà e i diritti degli interessati (art. 35.1 RGPD).
La finalità è quella di valutare la proporzionalità e necessità del trattamento e analizzare i rischi a cui esso espone gli interessati, indicando e ponendo in essere misure idonee per eliminarli o mitigarli.
Essa fotografa in definitiva l’“impatto privacy” di una determinata attività e i correttivi predisposti in chiave di prevenzione del rischio.
A rigore, costituisce un adempimento logicamente implicito in qualsiasi trattamento di dati personali conforme alla normativa.
Il Regolamento lo rende esplicito, ne sanziona la violazione, richiede che sia documentato e dunque verificabile a posteriori.
All’interprete italiano, il DPIA riporta alla memoria, pur sussistendo non poche differenze, il DPS, il documento programmatico della sicurezza, abrogato dal d.l. 9.2.2012, n. 5, convertito, con modificazioni, dalla l. 4.4.2012, n. 35.
Chi è tenuto al DPIA?
Il solo elemento che fa scattare l’obbligo del DPIA è la presenza di un rischio elevato per i diritti e le libertà degli interessati.
Il primo passaggio è perciò proprio quello di stabilire se il DPIA sia dovuto, valutazione cui è chiamato anche il DPO.
Ma, in concreto, quando si può dire che una certa tipologia di attività di trattamento presenta un “rischio elevato”?
Le tipologie di trattamento rischiose
Si registra qui uno dei contributi più notevoli dei Garanti europei, che forniscono una serie di esempi concreti di tipologie di trattamento rischiose, che riempiono di contenuto le indicazioni più generali dell’art. 35, commi 4 e 5 e i considerando 71, 75, 91 RGPD.
Sono per esempio rischiose le seguenti tipologie di trattamento:
– raccolta di informazioni a cui l’interessato non può in linea di massima sottrarsi (es. videosorveglianza di area pubblica di passaggio),
– applicazione di schemi predittivi sul comportamento o sulla salute dell’interessato;
– trattamento svolto nei riguardi di minori, lavoratori e altri soggetti vulnerabili;
– uso di nuove tecnologie (es. Internet of Things);
– trattamento avente ad oggetto di dati sensibili o comunque strategici (es. informazioni di geolocalizzazione o finanziarie) o di elevati volumi di dati (“larga scala”) o combinazioni di informazioni diverse;
– circolazione di dati personali extra-UE verso Paesi che non offrono adeguate garanzie, dunque rischio di fuoriuscita da uno spazio di garanzie.
Il criterio della doppia tipologia
È sufficiente svolgere anche una sola di queste tipologie di attività, es. trattare dati sensibili, per essere automaticamente soggetti all’obbligo del DPIA?
Soccorre qui l’approccio pragmatico dei Garanti europei che collegano l’obbligo del DPIA al criterio, di massima, della concorrenza di almeno due tipologie tra quelle indicate.
Ad esempio una struttura sanitaria tratta dati sensibili che si riferiscono a categorie di soggetti vulnerabili, dunque rispetta il criterio della doppia tipologia.
Si può aggiungere che di norma il trattamento qui avviene su “larga scala”.
Sulla stessa base, l’invio di messaggi promozionali da parte di un venditore di parti meccaniche per auto d’epoca, basato su una profilazione di tipo predittivo delle preferenze degli interessati (precedenti acquisti), non è soggetto all’obbligo del DPIA.
Si noti che l’esito potrebbe essere diverso nel caso di un venditore di libri online, ove la profilazione sia idonea a rilevare opinioni politiche, religiose, filosofiche o di altro genere.
Va poi precisato che quello della doppia tipologia è un mero criterio, non una regola.
Pertanto, potrebbe essere sufficiente la collocazione entro una sola tipologia rischiosa per determinare l’insorgere dell’obbligo della valutazione d’impatto, e allo stesso modo potrebbero rivelarsi irrilevante intercettare tre tipologie.
Nei casi dubbi, è altamente consigliabile procedere cautelativamente al DPIA.
Metodologia del DPIA
Esiste una procedura corretta per procedere al DPIA?
Il Regolamento appare ispirato a un criterio di neutralità procedurale, purché siano assicurati i punti chiave della valutazione.
In definitiva perciò, ogni titolare di trattamento potrà scegliere la metodologia ritenuta più soddisfacente.
Ciò eviterà anche brusche interruzioni di prassi aziendali già in essere, come correttamente evidenziato dai Garanti europei.
Per praticità, comunque, le linee guida contengono uno schema essenziale di DPIA e rimandano, per mera referenza, ad ulteriori schemi e procedure suggeriti da alcune Autorità garanti europee.
La DPIA si applica ai trattamenti già in essere?
Come comportarsi rispetto ai trattamenti già in essere alla data del 25 maggio 2018 quando il Regolamento sarà attuativo?
A parere dei Garanti europei, il DPIA, ancorché raccomandato, non sarebbe normativamente prescritto per questi trattamenti, a meno che non intervenga un cambiamento tecnologico significativo o altro mutamento notevole di condizioni dopo il termine sopra indicato.
Si tratta di una notevole semplificazione organizzativa, che alleggerisce dell’onere immediato di procedere a una revisione completa dei trattamenti in essere, tuttavia la soluzione non appare persuasiva a chi scrive.
Sembra infatti non tenere conto del considerando 171 del Regolamento, espressamente dedicato alla disciplina transitoria, che, pur con formulazione non felicissima, fissa il termine massimo per l’adeguamento dei trattamenti in essere ai due anni dall’entrata in vigore dell’atto normativo (dunque non oltre il 24 maggio 2018), facendo salve, per quanto qui interessa, eventuali autorizzazioni già ricevute, che restano efficaci.
Del resto, la piana lettura dell’art. 99 RGPD non sembra consentire speciose distinzioni fra trattamenti cominciati a partire dal 25 maggio 2018 e trattamenti meramente esistenti a tale data.
Il consiglio è pertanto quello di procedere comunque al DPIA anche per i trattamenti cominciati prima ma ancora in essere a quella data.
Giova precisare che le linee guida dei Garanti europei, ancorché autorevoli, provengono da organo meramente consultivo.
Revisione
Come buona prassi, le linee guida suggeriscono di procedere alla revisione del DPIA con cadenza almeno triennale.
L’ideale – evidenzia il Gruppo di lavoro – sarebbe peraltro una continua revisione della valutazione d’impatto, soprattutto nelle realtà a più forte complessità.
Pubblicazione del DPIA
Non è richiesta e del resto il Regolamento non la prevede. Naturalmente il documento sarà a disposizione, quantomeno, dell’Autorità garante e dell’Autorità giudiziaria.
Nulla osta ovviamente a che il titolare proceda invece spontaneamente alla pubblicazione del DPIA, anche eventualmente per estratto o per riassunto.
Considerazioni finali
Al netto delle perplessità già espresse sul regime transitorio, le linee guida affrontano con soddisfacente chiarezza le coordinate essenziali della materia, fornendo numerose indicazioni pratiche e di orientamento, e perfino criteri operativi come quello della “doppia tipologia”.
È chiaro tuttavia che si tratta soltanto di un primo approccio.
L’obiettivo che occorre raggiungere al più presto è infatti quello dell’elaborazione di liste sufficientemente complete di trattamenti sottoposti o esonerati dall’obbligo di DPIA che colga il doppio obiettivo di non rimettere eccessivamente alla spontaneità dei titolari la valutazione sulla sussistenza delle condizioni per procedere alla valutazione d’impatto e di evitare approcci soluzioni disomogenee tra i vari Stati membri.
Avv. Enrico Pelino