19 Mag Quando è necessario fare la DPIA?
In alcuni casi, il GDPR prevede l’obbligo per le imprese di effettuare, una valutazione d’impatto sulla protezione dei dati in fase di progettazione.
La DPIA diventa così uno strumento essenziale in termini di accountability ed è una procedura finalizzata a:
- descrivere il trattamento
- valutarne necessità e proporzionalità
- facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento dei loro dati personali
In generale, la DPIA è necessaria quando:
- il trattamento può presentare un rischio elevato per i diritti e le libertà della persona;
- il trattamento dei dati avviene in modo automatizzato (es. attraverso strumenti tecnologici che non prevedono l’intervento dell’uomo);
- vengono effettuati trattamenti valutativi come la profilazione;
- avviene un monitoraggio sistematico come nel caso della videosorveglianza;
- il trattamento riguarda dati sensibili (ora detti particolari) o soggetti vulnerabili come i minori (scuole private, centri giovanili, RSA, agenzie interinali);
- avvengono trattamenti di dati personali su larga scala. (es. e-commerce)
L’EDPB ha pubblicato le Linee Guida relative alla Valutazione d’Impatto (WP 248 rev.01) precisando ulteriormente i criteri di cui all’art. 35, traducendoli in nove parametri utili all’individuazione dei casi di necessità della DPIA.
Tra questi sono presenti la creazione di corrispondenze o combinazioni di insieme di dati, cioè trattamenti ulteriori rispetto alle originarie finalità o dati raccolti da diversi titolari; il trattamento di dati relativi a interessati vulnerabili come minori, dipendenti, ecc.
Inoltre, il comma 5 dell’art. 35 concede alle Autorità di controllo la possibilità di redigere un elenco pubblico di tipologie di trattamenti per i quali si rende necessaria la DPIA.
In tale prospettiva il Garante italiano, insieme alle alte autorità europee ha predisposto un elenco che è stato oggetto di parere da parte dell’EDPB (art. 64 GDPR).
L’elenco è stato pubblicato con provvedimento dell’11 ottobre 2018, e ovviamente è vincolante ma non è esaustivo.
Rimane però l’obbligo di adottare una valutazione d’impatto sulla protezione dei dati laddove ricorrano due o più criteri individuati dalle Linee Guida.
Di seguito l’elenco pubblicato dal Garante:
- Trattamenti valutativi o di scoring effettuati su larga scala, profilazione, attività predittive;
- Trattamenti automatizzati finalizzati ad assumere decisioni che producono effetti giuridici oppure tali da incidere in modo significativo sull’interessato, come impedire l’esercizio corretto di un diritto o di avvalersi di un bene o di un servizio o di poter continuare ad essere parte di un contratto in essere (ad es. lo screening effettuato sui clienti di una banca attraverso l’utilizzo dei dati registrati in una centrale rischi);
- Elaborazione di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa: la raccolta di dati online o con App, il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione, e i trattamenti di metadati.Tra questi rientrano anche quelli in ambito telecomunicazioni, banche ecc. effettuati anche per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza e tanto altro;
- Trattamenti su larga scala di dati aventi carattere estremamente personale (come definiti nelle Linee Guida), compreso dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche di cui occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (dati sull’ubicazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti);
- Elaborazione dati effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (videosorveglianza e geolocalizzazione) dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti;
- Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
- Operazioni sui dati effettuati attraverso l’uso di tecnologie innovative, come ad esempio: wifi tracking, IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali; monitoraggi effettuati da dispositivi wearable, come gli smartwatch o gli stessi smartphone attraverso i software di assistenza e comando vocale, ndr;
- Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
- Elaborazione di dati personali effettuati mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. pagamenti effettuati tramite tecnologia mobile);
- Operazioni su categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse;
- Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento;
- Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata (persistenza) e dell’attività di trattamento.
Alcuni esempi di Imprese che potrebbero dover fare la DPIA:
- Poliambulatori
- Scuole Private – Centri giovanili
- RSA
- Agenzie interinali
- E-commerce e Piattaforme
- Istituti di vigilanza
- Studio commercialista – Revisore dei conti
- Consulente del lavoro
- Fornitori di servizi informatici
- Centri di formazione