Data Protection Impact Assessment: come gestire i rischi privacy e garantire la conformità normativa

Sotto un precipuo profilo di c.d. “risultato”, la valutazione di impatto del relativo trattamento si correla ad un processo aziendale diretto a garantire la conformità dei dati personali rispetto alle norme; si tratta di una valutazione dai connotati variegati, essendo determinante la preventiva predeterminazione della necessità e proporzionalità, gestendo gli eventuali rischi correlati a diritti e le libertà delle persone derivanti dal trattamento.

Il dinamismo dello strumento finisce così per spostare l’onere dell’analisi dei rischi dalle Autorità di controllo dei titolari del trattamento, sicché se prima era necessaria la richiesta di un’autorizzazione preventiva all’Autorità di controllo, adesso invece il GDPR pone l’onere direttamente in capo al titolare del trattamento, che con tale valutazione finisce per assicurare trasparenza e protezione nelle operazioni di trattamento dei dati personali.

Egli, cioè, sarà tenuto ad assistere il titolare fornendogli ogni informazione necessaria e sviluppando una valutazione preventiva delle eventuali conseguenze del trattamento dei dati personali sulle libertà ed i diritti degli interessati.

Come si vede, si tratta di uno strumento importante in termini di responsabilizzazione, poiché possiede la finalità di aiutare il titolare non soltanto a rispettare le, ma anche e soprattutto ad attestare di aver adottato misure idonee a garantire il rispetto di tali prescrizioni.

Nella propria dimensione ontologica, pertanto, la valutazione d’impatto si correla all’analisi dei potenziali effetti che un evento indesiderato potrebbe avere all’interno di un complesso di circostanze variegate. E’ in sostanza la manifestazione normativa dell’onere previsto dalla norma base in materia, cioè l’art. 35 GDPR (rubricato significativamente “Valutazione d’impatto sulla protezione dei dati”), contribuendo a dimostrare la realizzazione delle norme e delle prassi in materia di protezione dei dati personali: necessaria per la realizzazione di ogni trattamento, la valutazione del rischio dovrà portare il titolare a decidere in autonomia l’eventuale sussistenza di rischi elevati inerenti il trattamento.

Viceversa, laddove ritenesse sussistenti rischi per le libertà ed i diritti degli interessati, sarà invece obbligatorio individuare le misure specifiche richieste per attenuare od eliminare tali rischi. Eventualmente la consultazione dell’Autorità di controllo (c.d. consultazione preventiva), avverrà nel solo caso in cui il titolare non dovesse trovare misure idonee ad eliminare o ridurre il rischio.

Sarà comunque necessario che il titolare giustifichi le sue valutazioni, rendicontandole eventualmente nel registro dei trattamenti.

Soggetti legittimati e distinzione dei casi in cui la DPIA risulti o meno obbligatoria

Come accennato, la conduzione della DPIA viene rimessa in capo al titolare del trattamento dei dati, nonostante in concreto lo svolgimento della valutazione d’impatto possa essere affidata ad un consulente esterno. In quest’ultima ipotesi, in particolare, il titolare sarà tenuto a monitorare lo svolgimento del Data Protection Impatc Assesment, eventualmente consultando il Chief Technology Officer (CTO), il Reponsabile IT ed eventualmente il Data Protection Officer (DPO) o Responsabile della Protezione Dati (RDP).

Dal punto di vista procedurale sarà poi necessario che nello svolgimento della DPIA siano coinvolte le persone chiave dell’Ente, nonché i responsabili del trattamento coinvolti nelle attività di specifico interesse. Se ritenuto opportuno o necessario, potranno essere coinvolti anche gli interessati o le associazioni rappresentative. Tra i compiti del DPO, l’art. 39 del GDPR (Riguardante i compiti del responsabile della protezione dei dati) include altresì quello di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati personali.

A loro volta, le linee guida sui responsabili della protezione dei dati del Comitato Europeo per la protezione dei dati hanno precisato che il DPO debba essere consultato anche in fase preliminare, per capire se effettivamente sia necessario o meno condurre una DPIA, oppure per individuare la metodologia da seguire e, in ogni caso, per valutare se le salvaguardie individuate siano idonee per assicurare e mantenere la conformità al GDPR.

Per quanto riguarda i casi in cui è obbligatoria, la valutazione d’impatto privacy sarà necessaria solo quando un trattamento di dati presenti un rischio elevato per i diritti e le libertà delle persone fisiche. Più in particolare, il cit. art. 35 del GDPR al comma 3° indica i criteri in base ai quali si individuano i casi in cui la DPIA è obbligatoria e cioè quando il trattamento riguarda la sorveglianza sistematica su larga scala di una zona accessibile al pubblico (lett. a), il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici (lett. b) oppure quando il trattamento riguarda dati particolari su larga scala (lett. c).

Sennonché, considerando come le autorità di controllo hanno potuto redigere, ai sensi del par. 4 dell’art. 35, un elenco delle tipologie di trattamenti soggetti al requisito della DPIA, l’elenco suddetto non può considerarsi tassativo. Il Garante, più precisamente, nell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679, ne ha individuato dodici, fra cui ad esempio i trattamenti valutativi o di scoring su larga scala, gli screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi; i trattamenti effettuati nell’ambito del rapporto di lavoro mediante geolocalizzazione o videosorveglianza, nonché i trattamenti sistematici di dati biometrici e genetici.

Ulteriormente, per semplificare il compito dei titolari del trattamento, il Working Party Articolo 29 – WP ha precisato i casi in cui non si ritiene necessario svolgere una DPIA e cioè in particolare, fra l’altro, quando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono molto simili ad un trattamento per il quale è già stata svolta una valutazione di impatto, quando le tipologie di trattamento sono state verificate da un’Autorità di controllo prima del maggio 2018, in condizioni specifiche che non hanno subito modifiche nel tempo, qualora un trattamento trovi la propria base giuridica nel diritto dell’Unione o nel Diritto dello Stato membro, e tale diritto disciplini il trattamento specifico o sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nel contesto dell’adozione di tale base giuridica.

Infine, quanto ai profili sanzionatori, nel caso in cui la DPIA non venga effettuata, il Titolare può essere soggetto ad una sanzione amministrativa pecuniaria pari ad un massimo di 10 milioni di euro, oppure, se si tratta d’impresa, pari al 2% del fatturato annuo globale. In ogni caso, il Comitato Europeo per la protezione dei Dati suggerisce di effettuare comunque la DPIA anche se la richiesta della valutazione d’impatto non risulta chiaro se sia richiesta o meno.

Se la tua organizzazione deve svolgere una valutazione d’impatto sulla protezione dei dati (DPIA) o ha dubbi sulla gestione del rischio nel trattamento dei dati personali, il nostro studio legale è pronto a supportarti.

Offriamo consulenza specializzata in GDPR compliance, data protection impact assessment e gestione delle procedure richieste dal Garante per la protezione dei dati personali.

Contattaci per ricevere un’assistenza legale qualificata che ti permetterà di ridurre i rischi, evitare sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo e garantire la piena conformità normativa nella gestione dei tuoi trattamenti di dati personali.

(5 votes, average: 5,00 out of 5)
Loading...