Compliance

Valutazione di Impatto Privacy: facciamo chiarezza

Prevista dal Regolamento UE 2016/679 si esplica maggiormente nell’analisi del rischio e la conseguente adozione di misure. Ma come e da chi va fatta?

Pubblicato il 03 Nov 2020

Federica Domenici

Compliance Consultant e Data Protection Officer

valutazione impatto privacy

Come noto, l’approccio metodologico proposto dal Regolamento UE 2016/679 (di seguito anche “GDPR”) ha rivoluzionato il ruolo dei Titolari del trattamento rendendoli, ancor più, soggetti attivi e propositivi della propria compliance privacy. In particolar modo, tale cambiamento è stato accelerato dal principio di responsabilizzazione (cd. accountability) che ha posto in capo al Titolare del trattamento l’onere di “auto valutarsi” al fine di determinare, in maniera autonoma, come porre in essere i trattamenti di dati personali. Molte delle incertezze riguardano, ad oggi, la Valutazione di Impatto Privacy (di seguito anche “V.I.P.”), nuovo adempimento inserito all’art. 35 del GDPR e che è frutto, principalmente, di una valutazione del rischio che rilevi un rischio rilevante.

L’adempimento in cui si esplica maggiormente questo approccio è l’analisi del rischio e la conseguente adozione di misure, sia tecniche che organizzative, adeguate, ovvero calibrate alle attività di trattamento dati concretamente svolte. La novità rispetto alle misure di sicurezza minime dell’All. B del Codice privacy ante-riforma del 2018 è di rilievo. Tuttavia, come si suole dire, “da grandi poteri derivano grandi responsabilità” ed è così che molti Titolari del trattamento si sono trovati spaesati, senza più quel “minimo” punto di riferimento dato dall’All. B del vecchio Codice Privacy.

La Valutazione di Impatto Privacy: cos’è?

La V.I.P. è una procedura prevista dall’art. 35 del GDPR attraverso la quale si descrive un trattamento di dati, col fine di valutarne la necessità e la proporzionalità, nonché, i relativi rischi e di approntare le misure idonee ad affrontarli.

La V.I.P. fornisce un approccio sistematico che consente di comprendere, con efficacia, i profili di rischio e le “remediations”, permette al Titolare del trattamento di valutare, a priori, l’impatto nella protezione dei dati personali e l’adeguatezza delle misure di sicurezza tecnico/organizzative che, di conseguenza, si possono adottare.

E’ uno strumento principe dell’accountability in quanto, da un lato supporta il Titolare nel rispettare le prescrizioni del GDPR, e dall’altro consente di dimostrare la conformità dei trattamenti stessi.

Oggetto della V.I.P. possono essere o un singolo trattamento di dati personali oppure più trattamenti, purché simili tra loro per natura, ambito di applicazione, contesto, finalità e rischi.

In quali casi deve essere effettuata

L’articolo 35 del GDPR stabilisce che, qualora un trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione di impatto dei trattamenti previsti sulla protezione dei dati personali.

La V.I.P. è richiesta, in particolare, qualora si ricada in una di queste ipotesi:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

È, quindi, particolarmente importante effettuare una V.I.P. ogni qual volta venga progettata una nuova tecnologia.

Si ricorda che, la mancata esecuzione di una valutazione d’impatto sulla protezione dei dati nei casi in cui il trattamento è soggetto alla stessa (articolo 35, paragrafi 1, 3 e 4), l’esecuzione in maniera errata di detta valutazione (articolo 35, paragrafi 2 e da 7 a 9) oppure la mancata consultazione dell’autorità di controllo laddove richiesto (articolo 36, paragrafo 3, lettera e)), possono comportare una sanzione amministrativa pecuniaria pari a un importo massimo di 10 milioni di EUR oppure, nel caso di un’impresa, pari a fino al 2% del fatturato annuo globale dell’anno precedente, a seconda di quale dei due importi sia quello superiore.

Le Linee Guida WP 29 n°248 in materia di Valutazione di Impatto Privacy (di seguito anche “WP248”), al fine di facilitare il lavoro ai Titolari, già dalla fase di individuazione dei trattamenti da sottoporre a V.I.P., fornisce nove categorie di rischi elevati, suggerendo di sottoporre alla V.I.P. i trattamenti di dati che comprendano almeno due dei nove criteri.

I criteri indicati dalle Linee Guida sono i seguenti:

  1. valutazione o assegnazione di un punteggio;
  2. processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente;
  3. monitoraggio sistematico;
  4. dati sensibili o aventi carattere altamente personale;
  5. trattamento di dati su larga scala;
  6. creazione di corrispondenze o di combinazioni di insiemi di dati;
  7. dati relativi ad interessati vulnerabili;
  8. uso innovativo o applicazione di soluzioni tecnologiche o organizzative;
  9. trattamento di dati che incidono sull’accesso a servizi o contratti.

Resta inteso che il Titolare può decidere di effettuare la V.I.P. anche in presenza di nessuno o uno solo dei criteri, non essendo tale regola vincolante, ovviamente, in questo caso, dimostrerà un maggior grado di accountability.

Nel rispetto dell’art. 35, par. 4, che rimette alle autorità di controllo nazionali il compito di redigere e rendere pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto, il Garante per la Protezione dei Dati Personali con il Provvedimento n. 476 dell’11 ottobre 2018 ha individuato  l’elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto.

Si rimanda alla lettura dell’allegato 1 del citato Provvedimento per l’elenco completo dei trattamenti, qui si elencano, a titolo esemplificativo, alcuni dei trattamenti indicati dal Garante:

  • trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché lo svolgimento di attività predittive effettuate anche on-line o attraverso app;
  • screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi;
  • servizi web, tv interattiva;
  • trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc;
  • dati relativi alle comunicazioni elettroniche;
  • dati sull’ubicazione;
  • sistemi di videosorveglianza e di geolocalizzazione nell’ambito di rapporti lavorativi;
  • trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo);
  • sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità;
  • trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche;
  • sistemi di mobile payment;
  • Trattamenti sistematici di dati biometrici e/o biometrici.

Le Linee Guida WP29 N° 248 hanno, altresì, individuati i casi in cui la V.I.P. non è necessaria, ovvero: quando ambito e finalità sono simili a quelle per i quali è già stata condotta una Valutazione, i trattamenti sono stati già sottoposti a verifica dall’Autorità prima del 25 maggio 2018 e non sono intervenute modifiche, sono compresi nell’elenco facoltativo dei trattamenti per i quali non è richiesta (ancora non presente), i trattamenti fanno riferimento a basi giuridiche o a norme per la cui definizione è già stata condotta una V.I.P. o tali norme disciplinino il trattamento specifico.

La Valutazione di Impatto Privacy: a chi compete svolgerla

Lo scopo della Valutazione d’Impatto sulla protezione dei dati è garantire e dimostrare la conformità del trattamento di dati posto in essere dal Titolare. Di conseguenza, è un obbligo che ricade sul Titolare stesso.

Qualora sia presente uno o più Responsabili del trattamento, questi saranno tenuti a fornire la dovuta consulenza al Titolare per i trattamenti effettuati per conto di quest’ultimo. (Art. 28.3 lett. f))

Se è stato nominato un DPO il Titolare del Trattamento sarà tenuto a consultarlo, e il parere ricevuto, così come le decisioni prese dal titolare del trattamento, dovranno essere documentate all’interno della Valutazione stessa.

Il Titolare può anche dare incarico a un consulente/società di consulenza esterni per supportarlo nella redazione. (Cons. 97 GDPR)

All’interno dell’organizzazione aziendale del Titolare saranno coinvolte le specifiche unità aziendali interessate nel trattamento e, se presente, il responsabile capo della sicurezza dei sistemi di informazione (CISO).

Inoltre, il Titolare dovrà, se del caso, raccogliere le opinioni degli interessati o dei loro rappresentanti tramite il mezzo ritenuto più idoneo, ad esempio anche per mezzo di uno studio generico. Nel caso in cui le decisioni finali del Titolare si discostino dalle opinioni degli interessati, lo stesso dovrà documentare le motivazioni delle sue decisioni. Il Titolare dovrà documentare e giustificare anche la mancata raccolta delle opinioni degli interessati.

In merito al DPO, le Linee Guida WP29 n° 243 suggeriscono come il DPO svolga un ruolo fondamentale assistendo il titolare nello svolgimento. Nel rispetto del principio di “data protection by design”, l’articolo 35, paragrafo 2, prevede in modo che il titolare “si consulta” con il DPO quando svolge una V.I.P.. A sua volta, l’articolo 39, paragrafo 1, lettera c) affida al DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35”.

Il Gruppo di lavoro raccomanda che il titolare del trattamento si consulti con il DPO, fra l’altro, sulle seguenti tematiche:

  • se condurre o meno una DPIA;
  • quale metodologia adottare nel condurre una DPIA;
  • se condurre la DPIA con le risorse interne ovvero esternalizzandola;
  • quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate;
  • se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al GDPR.

Qualora il Titolare del trattamento non concordi con le indicazioni fornite dal DPO, è necessario che la documentazione riporti specificamente per iscritto le motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni.

La Valutazione di Impatto Privacy: come si svolge

Come chiarito dal WP248 realizzare una valutazione d’impatto sulla protezione dei dati è un processo continuo, non un esercizio una tantum.

Coerentemente con i principi di protezione dei dati fin dalla progettazione e di protezione per impostazione predefinita, la Valutazione d’impatto sulla protezione dei dati va effettuata “prima del trattamento” (articolo 35, paragrafi 1 e 10, considerando 90 e 93).

Il GDPR definisce le caratteristiche minime di una valutazione d’impatto sulla protezione dei dati (articolo 35, paragrafo 7, e considerando 84 e 90), la quale deve contenere almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Il GDPR fornisce ai Titolari la possibilità di decidere autonomamente la struttura e la forma della Valutazione d’impatto, in maniera da consentire che questa sia “tailor made”, ovvero si adatti alle attività del Titolare e ai suoi metodi di lavoro.

Si potrebbe, quindi, ricorrere a metodologie diverse permettendo, in ogni caso, ai Titolari del trattamento di garantire la compliance al GDPR.

I criteri minimi comuni, da adottare nell’esecuzione della V.I.P., sono stati individuati nell’allegato 2 del WP248.

I criteri possono essere utilizzati dai Titolari per stabilire se la metodologia utilizzata per lo svolgimento della Valutazione sia sufficientemente completa.

Le macro-categorie dei criteri riguardano: descrizione sistematica del trattamento, valutazione della necessità e proporzionalità, misure che contribuiscono ai diritti degli interessati, rapporti con i responsabili del trattamento; garanzie riguardanti trattamenti internazionali; consultazione preventiva, la gestione dei rischi per i diritti e le libertà degli interessati, coinvolgimento delle parti interessate.

Per facilitare i Titolari del trattamento nel concreto svolgimento delle Valutazioni il WP248 – nell’allegato 1 – fornisce un elenco di quadri UE che possono essere utilizzati. In particolare, il più conosciuto è il software – gratuito e disponibile anche in italiano – del CNIL, reperibile a questo link.

Una volta effettuata la Valutazione sarà, poi, necessario stabilire tempistiche e casi nei quali è necessario revisionarla. Ad esempio, ogni tot mesi e/o su input ogni qualvolta vi sia un cambiamento sostanziale nel trattamento.

L’audit periodico può essere in capo al DPO, considerando il suo ruolo di supervisore della correttezza dei trattamenti.

Gli esiti degli audit devono sempre essere documentati. Nel caso in cui il DPO ritenga necessario un aggiornamento ed il management sia contrario, quest’ultimo dovrà giustificare per iscritto la propria decisione.

La consultazione preventiva

Se il Titolare del trattamento, a seguito della Valutazione di Impatto, non è stato comunque in grado di trovare misure sufficienti per ridurre i rischi a un livello accettabile (ossia i rischi residui restano comunque elevati) dovrà consultare l’autorità di controllo, attraverso, per l’appunto, la Consultazione Preventiva.

L’autorità di controllo fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al Titolare del trattamento e, ove applicabile, al Responsabile del trattamento e può avvalersi dei poteri di cui all’articolo 58 (ovvero poteri di indagine e correttivi).

Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto, l’autorità di controllo, ovviamente, ne informa, entro un mese, il titolare del trattamento e, ove applicabile, il responsabile del trattamento. La decorrenza dei termini può essere sospesa fino all’ottenimento da parte dell’autorità di controllo delle informazioni richieste ai fini della consultazione.

Il titolare del trattamento, in fase di consultazione preventiva, è tenuto a comunicare all’autorità di controllo:

a) ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell’ambito di un gruppo imprenditoriale;

b) le finalità e i mezzi del trattamento previsto;

c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;

d) ove applicabile, i dati di contatto del responsabile della protezione dei dati;

e) la valutazione d’impatto sulla protezione dei dati di cui all’articolo 35;

f) ogni altra informazione richiesta dall’autorità di controllo.

L’Autorità entra nel merito del trattamento unicamente in questa ultima fase e solamente se interpellata direttamente dal Titolare stesso; questo uno degli aspetti più innovativi del GDPR rispetto alla normativa precedente, ove, ad esempio in Italia, i Titolari erano tenuti a rivolgersi ab initio all’Autorità attraverso lo strumento della verifica preliminare.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Federica Domenici
Compliance Consultant e Data Protection Officer

Articoli correlati

Articolo 1 di 4