Ogni innovazione tecnologica o di altro tipo comporta nuove e ulteriori opportunità per l’uomo e spesso anche la possibilità di esercitare nuovi diritti; allo stesso tempo però costringe soprattutto chi l’ha ideata a essere maggiormente responsabile. Questo in particolare quando una innovazione è potenzialmente in grado di diminuire la sicurezza individuale e sociale, ad esempio determinando menomazioni di autonomia nelle scelte oppure condizionando comportamenti o consentendo di penetrare senza consenso nell’intimità delle persone o mettendone a rischio l’identità e la dignità. A tale proposito, il GDPR ha introdotto un ulteriore strumento, essenziale per il titolare al fine di valutare la necessità e la proporzionalità del trattamento, nonché per gestire gli eventuali rischi per i diritti e le libertà delle persone da esso derivanti, attraverso una valutazione del rischio e l’individuazione delle misure più idonee per mitigarlo: la Data Protection Impact Analysis (DPIA).
Il GDPR e la tutela dei diritti e delle libertà delle persone
L’introduzione di innovazioni tecnologiche dovrebbe sempre tener conto dei diritti di libertà, di rispetto della dignità e della riservatezza, di tutela della personalità dell’individuo. A fronte dei diritti del progresso tecnologico vanno quindi sempre considerati anche i doveri di chi si occupa dell’avanzamento della scienza e delle sue applicazioni.
Il Regolamento Europeo per la protezione dei dati personali tiene in massima considerazione questo rapporto tra esigenze dei progetti innovativi, in grado di utilizzare enormi moli di dati personali, e tutela dei diritti e delle libertà delle persone, prevedendo in capo al titolare del trattamento la responsabilità di tenere conto della sicurezza e della protezione dei dati personali sin dall’inizio della progettazione di ogni nuovo servizio o prodotto. È questo il concetto di privacy by design introdotto per la prima volta dal Regolamento, assieme a quello di accountability, ovvero responsabilizzazione del titolare.
Nell’ottica della responsabilizzazione dei titolari spetta agli stessi assumere un ruolo di impulso per arginare ed evitare i potenziali rischi per le libertà e i diritti dei soggetti cui appartengono i dati trattati.
A tal fine il Regolamento ha introdotto la Data Protection Impact Analysis. La DPIA si caratterizza per essere una procedura necessariamente prodromica alla tipologia di trattamento ipotizzata e quindi rappresenta uno strumento perfettamente coerente con i principi di protezione dei dati fin dalla progettazione e di protezione per impostazione predefinita. L’espletamento della DPIA consente quindi al titolare di analizzare in maniera completa ed efficace l’impatto che un nuovo trattamento, conseguente per esempio ad una nuova tecnologia, potrebbe arrecare ai diritti e alle libertà dei soggetti interessati.
La Data Protection Impact Analysis come strumento di gestione della sicurezza
La Valutazione di Impatto sulla Protezione dei Dati (DPIA) è una particolare procedura prevista dall’articolo 35 del Regolamento e dai considerando nn. 90 e 93, finalizzata proprio a individuare, valutare e gestire i rischi legati a un trattamento che, se prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Si tratta evidentemente di un rischio molto pertinente allorché si voglia introdurre una tecnologia di trattamento innovativa.
La valutazione del rischio impone al titolare di decidere se sussistono rischi elevati inerenti al trattamento; solo in assenza di questi potrà procedere oltre, mentre qualora ritenesse sussistenti rischi per le libertà e i diritti degli interessati dovrà individuare misure specifiche idonee ad attenuare o eliminare tali rischi. Qualora poi non riuscisse a trovare misure specifiche per eliminare o ridurre il rischio, occorrerà procedere a una consultazione dell’Autorità di controllo (c.d. prior checking) la quale indicherà le misure da implementare o vieterà il trattamento.
Il GDPR affida al titolare il compito di valutare se il trattamento rientri o no tra i casi per i quali è obbligatoria la DPIA, non elencando tassativamente i casi nei quali è obbligatorio procedere all’analisi d’impatto, ma limitandosi a elencare tre ipotesi per le quali è sicuramente richiesta:
- il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici;
- il trattamento riguarda dati particolari e giudiziari su larga scala;
- il trattamento riguarda la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Le Linee Guida WP29 e il Provvedimento del Garante del 11 ottobre 2018
Al fine di assicurare un’interpretazione coerente dell’istituto il WP29 (Gruppo di lavoro a cui prendono parte tutte le Autorità Privacy di ciascun Stato Membro – oggi sostituito dal Comitato Europeo per la Protezione dei Dati – EDPB) ha pubblicato il 4 aprile 2017 le Linee Guida per lo svolgimento della DPIA, chiarendo peraltro il concetto di rischio elevato per i diritti e le libertà.
Le linee guida specificano come il riferimento ai diritti e le libertà comprende ma non si esaurisce con i diritti alla protezione dei dati ed alla vita privata, ma il concetto va esteso anche ad altri diritti fondamentali come la libertà di parola, di pensiero, di circolazione, alla libertà di coscienza e di religione, al divieto di discriminazione.
Inoltre, le linee guida suggeriscono di effettuare la valutazione d’impatto in tutti i casi in cui sussistono dubbi circa l’opportunità o meno di espletarla, poiché essa rappresenta in ogni caso uno strumento utile al fine di raggiungere e poter dimostrare la compliance con le norme in materia di protezione dei dati.
Peraltro, il comma 5 dell’art. 35 concede all’Autorità di controllo nazionale la possibilità di redigere un elenco di tipologie di trattamenti per i quali è necessaria la valutazione d’impatto. Il Garante italiano, insieme alle autorità europee, ha quindi predisposto un elenco, sottoposto anche al parere dell’EDPB e pubblicato in data 11 ottobre 2018; tale elenco è vincolante ma non esaustivo, restando fermo quindi l’obbligo di procedere comunque a una valutazione d’impatto laddove ricorrano i criteri individuati dalla Linee Guida.
Da evidenziare come nell’elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto stilato dal Garante italiano siano citati, tra gli altri, i trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable, cioè indossabili quali ad esempio smartwatch o gli stessi smartphone attraverso i software di assistenza e comando vocale, ecc).
Conclusioni
Un’accurata analisi dei rischi per le libertà e i diritti delle persone è pertanto il filtro attraverso cui ogni progetto innovativo deve passare. Nel progettare nuovi servizi diventa essenziale tenere in debito conto il profilo della protezione dei dati personali, essere consapevoli delle eventuali criticità del trattamento ed elaborare procedure adeguate a eliminare o quantomeno arginare ogni rischio.
Nell’ottica della responsabilizzazione dei titolari imposta dal Regolamento Europeo per la Protezione dei Dati spetta a qualunque azienda intenda avviare un progetto innovativo assumere un comportamento proattivo per eliminare o arginare i rischi elevati del trattamento dei dati personali ad esso conseguenti, al fine di rendere il trattamento stesso compliance al Regolamento e di scongiurare, peraltro, le gravi sanzioni imposte dall’Autorità di controllo.
