Avv. Angela Fiorella - Sei sicuro di non dover fare una valutazione d’impatto sulla protezione dei dati? - Il Broker.it

Avv. Angela Fiorella – Sei sicuro di non dover fare una valutazione d’impatto sulla protezione dei dati?

La Delibera n. 467 dell’Autorità Garante – Insurance & Privacy.
L’art 35 del Regolamento Europeo sulla protezione dei dati personali (Regolamento UE 2016/679 – cd. ” RGPD”), in vigore dallo scorso 25 maggio 2018, stabilisce, per il tramite delle disposizioni di cui all’articolo 35, par. 1, l’obbligo per il Titolare del trattamento dei dati personali, di effettuare, prima dell’inizio del trattamento, una valutazione dell’impatto del trattamento medesimo (cd. “DPIA”), laddove quest’ultimo possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche da esso derivanti. La valutazione d’impatto è quindi uno strumento utile per il Titolare del trattamento, per poter garantire e dimostrare la conformità al principio di accountability e cioè dell’adozione di misure appropriate per garantire una corretta gestione dei rischi presentati dal trattamento di dati personali.
In proposito, appare opportuno ricordare che non bisogna confondere la gestione dei rischi con il tema delle misure di sicurezza. Per “rischio” si intende infatti uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità (Linee guida del Gruppo di lavoro Articolo 29 17/IT WP248rev.1). La valutazione del rischio dovrebbe infatti riguardare gli effetti complessivi del trattamento[1]

[1] https://www.garanteprivacy.it/documents/10160/0/Individuazione+e+gestione+del+rischio+-+Tutorial+-+slide
 
Chi è il soggetto obbligato ad eseguire la DPIA, nei casi in cui questa è prevista?
 
In via preliminare è necessario individuare quale ruolo assuma chi effettua trattamenti di dati nel sistema/organigramma privacy. Generalmente, competendo alla compagnia assicurativa mandante l’adozione delle decisioni in ordine alle modalità e finalità del trattamento dei dati, per via della natura dell’attività di gestione del contratto assicurativo e svolgimento delle attività connesse alla richiesta di risarcimento del danno, questa riveste il ruolo di titolare del trattamento dei dati dei clienti.
 
Più spinoso è invece l’inquadramento della figura dell’intermediario assicurativo, non identificabile a priori quale titolare autonomo del trattamento nell’ambito della c.d. “catena assicurativa”.
 
Al riguardo, tenuto conto della complessità dei rapporti e delle problematiche intercorrenti tra gli agenti di assicurazione e le compagnie assicurative, non si può prescindere da un’analisi in concreto dei rapporti e degli accordi intercorrenti tra le parti (intermediario/compagnia assicurativa/cliente) per comprendere quale sia il ruolo che assume l’intermediario sotto il profilo della disciplina di protezione dei dati personali (responsabile, titolare o contitolare del trattamento).
 
Accertato chi rivesta il ruolo di titolare del trattamento, è bene considerare che l’art 35 del RGPD radica in capo a questo la responsabilità della corretta esecuzione della DPIA. Invece, se ci sono più titolari del trattamento dati, c.d. “contitolari”, a chi spetta quest’onere? In tale ipotesi, è auspicabile che nell’accordo di contitolarità del trattamento, vengano definite con precisione le rispettive competenze, stabilendo quale parte sia competente per le varie misure volte a trattare i rischi e a proteggere i diritti e le libertà degli interessati. Tuttavia, nemmeno i responsabili del trattamento ex art 28 RGPD possono considerarsi esonerati dalle operazioni necessarie ad eseguire una corretta DPIA. Infatti, qualora il trattamento venga eseguito in toto od in parte da un responsabile del trattamento, quest’ultimo deve fornire al titolare tutte le informazioni e l’assistenza necessaria nell’esecuzione della DPIA. Quindi se un responsabile del trattamento, nell’ambito delle operazioni di trattamento di dati personali si avvale di strumenti o soluzioni che richiedono una DPIA, deve tempestivamente darne avviso al Titolare. Questo può poi valutare se inibire al responsabile le operazioni di trattamento con l’ausilio dei succitati strumenti o soluzioni, o disporre una DPIA. I fornitori di dispositivi hardware o software che prevedano l’uso di nuove tecnologie che possono potenzialmente presentare un rischio elevato per i diritti e le libertà delle persone fisiche, farebbero bene ad eseguire in ogni caso una valutazione d’impatto al fine di dar corso al nuovo approccio alla protezione dei dati personali fortemente basato sul principio della responsabilizzazione e gestione dei rischi, ma anche per avere un vantaggio competitivo sul piano commerciale. Infatti, la DPIA va effettuata “prima del trattamento” e va avviata il prima possibile nella fase di progettazione del trattamento. Infatti, sebbene solo il Titolare del trattamento resta soggetto all’obbligo di svolgere la DPIA, questi può sempre avvalersi delle informazioni fornite da una valutazione analoga preparata dal fornitore del prodotto.
 
Ma in concreto quando si deve fare una DPIA?
Preliminarmente va esaminato l’articolo 35 del RGPD che indica i criteri con cui valutare la necessità di una valutazione di impatto, ovvero:

  • quando si realizza una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su persone fisiche;
  • quando avviene un trattamento su larga scala di categorie particolari di dati personali di cui all’articolo 9 del RGPD (dati sensibili, biometrici, genetici) o di dati relativi a condanne penali e a reati di cui all’articolo 10 RGPD;
  • In caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Le linee guida in materia di valutazione d’impatto del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 (17/IT WP248rev.1) hanno inoltre individuato i seguenti nove criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato”. Il ricorrere di due o più dei criteri sotto indicati è indice di un trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e per il quale è quindi richiesta una DPIA:
1) valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato”;
2) processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone;
3) monitoraggio sistematico degli interessati;
4) dati sensibili o dati aventi carattere altamente personale;
5) trattamento di dati su larga scala;
6) creazione di corrispondenze o combinazione di insiemi di dati;
7) dati relativi a interessati vulnerabili;
8) uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
9) quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto;
Va inoltre rammentato che il comma 4 del succitato articolo 35 rimette alle Autorità di Controllo nazionali il compito di redigere e rendere pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto.
A tale scopo, il Garante per la protezione dei dati personali, in data 11 ottobre 2018 ha pubblicato la Delibera n. 467 recante in allegato l’elenco delle tipologie di trattamenti per cui si attiva l’obbligo di esecuzione di una valutazione di impatto, che si riporta di seguito:

1.    Trattamenti valutativi o di scoring su larga scala, nonché trattamenti che comportano la profilazione degli interessati nonché’ lo svolgimento di attività predittive effettuate anche on-line o attraverso app, relativi ad «aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità   o   il   comportamento, l’ubicazione o gli spostamenti dell’interessato
2.    Trattamenti automatizzati finalizzati ad assumere decisioni che producono «effetti giuridici» oppure che incidono «in modo analogo significativamente» sull’interessato, comprese le decisioni che impediscono di esercitare un diritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es.  screening dei clienti di una banca attraverso l’utilizzo di dati registrati in una centrale rischi).
3.    Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, effettuati anche on-line o attraverso appi, nonché il trattamento di identificativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc.  rispetto alle abitudini d’uso e ai dati di visione per periodi prolungati. Rientrano in tale previsione anche i trattamenti di metadati ad es. in ambito telecomunicazioni, banche, ecc. effettuati non soltanto per profilazione, ma più in generale per ragioni organizzative, di previsioni di budget, di upgrade tecnologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurezza etc.
4.    Trattamenti su larga scala di   dati   aventi   carattere estremamente personale[1]: si fa riferimento, fra gli altri, ai dati connessi alla vita familiare o privata (quali i dati relativi alle comunicazioni elettroniche dei quali occorre tutelare la riservatezza), o che incidono sull’esercizio di un diritto fondamentale (quali i dati sull’ubicazione, la cui raccolta mette in gioco la libertà di circolazione) oppure la cui violazione comporta un grave impatto sulla vita quotidiana dell’interessato (quali i dati finanziari che potrebbero essere utilizzati per commettere frodi in materia di pagamenti).
5.    Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorveglianza e di geolocalizzazione) dai quali derivi   la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti[2]
6.    Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pazienti, richiedenti asilo).
7.    Trattamenti effettuati attraverso   l’uso   di   tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il Wi-Fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01.
8.    Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche.
9.    Trattamenti   di   dati   personali   effettuati    mediante interconnessione, combinazione o raffronto di informazioni, compresi i trattamenti che prevedono l’incrocio dei dati di consumo di beni digitali con dati di pagamento (es. mobile ePayment).
10. Trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse.
11. Trattamenti sistematici di dati biometrici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.
12. Trattamenti sistematici di dati genetici, tenendo conto, in particolare, del volume dei dati, della durata, ovvero della persistenza, dell’attività di trattamento.

 
Rapportando i criteri e i casi in cui il Gruppo di Lavoro Articolo 29 ha individuato la necessità di condurre una DPIA, con quelli stabiliti dall’Autorità Garante, si evince come questi ultimi sostanzialmente richiamino, scendendo maggiormente del dettaglio, i primi. Tuttavia, il Garante ha precisato che l’elenco non è esaustivo, restando fermo quindi l’obbligo di adottare una DPIA laddove ricorrano due o più dei criteri individuati dalle Linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati (WP248).
Tanto chiarito, va osservato che sebbene la DPIA possa essere condotta su una specifica operazione di trattamento dei dati, si può ricorrere a una singola DPIA per esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. Per esempio, se più società intendono introdurre un’applicazione comune in un settore analogo, con la stessa platea di potenziali interessati dal trattamento e per la medesima finalità.  In questi casi, è comunque necessario fornire una giustificazione per la realizzazione di una singola valutazione d’impatto sulla protezione dei dati.
 
Quali sono principali contenuti della DPIA?
 
La DPIA deve:
 

  • descrivere la natura, la portata, il contesto e gli scopi del trattamento;
  • valutare necessità, proporzionalità e misure di conformità adottate;
  • identificare e valutare i rischi per gli individui e individuare eventuali misure adottate per attenuare tali rischi.
  • Per valutare il livello di rischio, è necessario considerare sia la probabilità che la gravità di un eventuale impatto sulle persone derivanti dall’accadimento dell’evento di rischio (es: possibili violazioni o minacce della sicurezza dei dati). L’alto rischio potrebbe derivare sia da un’alta probabilità di un certo danno, o da una possibilità più bassa di danno serio.

 
Inoltre, il titolare del trattamento deve consultarsi con il responsabile della protezione dei dati, qualora ne sia designato uno e se del caso, raccogliere le opinioni degli interessati o dei loro rappresentanti, e coinvolgere gli esperti competenti (esperti indipendenti, responsabile capo della sicurezza dei sistemi d’informazione (CISO), specifiche unità aziendali).
 
A supporto degli operatori che si trovano a cimentarsi nella conduzione della DPIA, La CNIL, l’Autorità francese per la protezione dei dati, ha messo a disposizione un software gratuito e liberamente scaricabile dal sito (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil) quale ausilio per i titolari per l’effettuazione della valutazione d’impatto sulla protezione dei dati (DPIA). Il software, concepito soprattutto come ausilio metodologico per le PMI, offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.
 
Che fare se la DPIA rivela la presenza di rischi residui elevati?
 
Al momento della conclusione della DPIA, laddove questa riveli la presenza di rischi residui elevati, il titolare del trattamento, ogniqualvolta non sia in grado di trovare misure sufficienti per ridurre i rischi a un livello accettabile, sarà tenuto a richiedere la consultazione preventiva dell’autorità di controllo in relazione al trattamento (articolo 36, comma 1 RGPD).
 
Quando la DPIA non è necessaria?
 
Il Gruppo Articolo 29 ritiene che una DPIA sia richiesta nei seguenti casi (WP248):
 

  • quando il trattamento non è tale da “presentare un rischio elevato per i diritti e le libertà delle persone fisiche(art. 35, comma 1 RGPD);
  • quando la natura, l’ambito di applicazione, il contesto e le finalità del trattamento sono molto simili a un trattamento per il quale è stata svolta una valutazione d’impatto sulla protezione dei dati. In tali casi, si possono utilizzare i risultati della valutazione d’impatto sulla protezione dei dati per un trattamento analogo (art.35, comma 1 RGPD);
  • quando le tipologie di trattamento sono state verificate da un’autorità di controllo prima del maggio 2018 in condizioni specifiche che non sono cambiate;
  • qualora un trattamento, effettuato a norma dell’articolo 6, comma 1, lettere c) o e) del RGPD, trovi una base giuridica nel diritto dell’Unione o nel diritto dello Stato membro, tale diritto disciplini il trattamento specifico o sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nel contesto dell’adozione di tale base giuridica (articolo 35, comma 10 del RGPD), a meno che uno Stato membro non abbia dichiarato che è necessario effettuare tale valutazione prima di procedere alle attività di trattamento;

 
L’Autorità Garante ha inoltre la facoltà di pubblicare un elenco delle tipologie di trattamento per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati.
 
 
Se pensate che questo articolo sia interessante, condividetelo sul social network che preferite.
 
Avv. Angela Fiorella
Business Development & Account Manager– Dekra Italia s.r.l.
Claims & Expertise Services
————————————————
[1] v. WP 248, rev. 01
[2] si veda quanto stabilito dal WP  248, rev.  01, in relazione ai criteri numeri 3, 7 e 8.
 

0 Comments

Leave A Comment