Privacy: quando è obbligatorio il D.P.I.A.?
Il Regolamento UE n. 679/2016, in vigore in Italia a partire dal 25 maggio 2018 introduce l’obbligo di adottare procedure di valutazione dei rischi in riferimento alla natura ed al contenuto dei dati oggetto del trattamento.
È prevista l’introduzione di un processo di valutazione d’impatto sulla protezione dei dati ed una consultazione preventiva.
L’articolo 35 del regolamento dispone quali siano i casi in cui tale valutazione di rischio è obbligatoria ed i criteri in base ai quali deve essere effettuata:
- Quando un tipo di trattamento presenta un rischio elevato per i diritti e le libertà delle persone fisiche, prima di procedere al trattamento, il titolare del trattamento effettua una valutazione delle ripercussioni dei trattamenti previsti sulla protezione dei dati personali. Stabiliti quali siano i trattamenti simili, che presentano rischi analoghi, possono essere ricompresi in una sola valutazione.
- Quando il titolare del trattamento svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, se nominato.
- La valutazione d’impatto sulla protezione dei dati è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.
Tra i criteri utili da seguire per le operazioni di trattamento che richiedono una valutazione di rischio, un esempio è l’assegnazione di un punteggio ad alcuni aspetti come:
– la salute;
– la situazione economica:
– il volume di dati;
– il trasferimento di dati al di fuori dell’ambito di applicazione del Regolamento UE n.679/2016 ovvero dell’Europa e dei suoi Stati Membri.
Questo processo di valutazione è una novità introdotta dal nuovo regolamento ed assume il nome tecnico di D.P.I.A. – Data Protection Impact Assessment- ossia processo di valutazione di impatto sulla Protezione dei dati e Consultazione Preventiva; conseguentemente all’ introduzione del D.P.I.A. troviamo la figura del D.P.O. – Data Protection Officer – ossia Responsabile della Protezione dei dati.
La D.P.I.A. si configura, quindi, come il processo di analisi dei rischi e serve a valutare le minacce e la vulnerabilità degli asset aziendali connessi all’ uso dei dati personali. La valutazione mira a stabilire il grado di rischio effettivo, così da definire il processo di gestione e le contromisure da adottare per scongiurare i rischi stessi.
Il processo di valutazione individua:
- Origine, natura, probabilità, e gravità del rischio;
- Ambito di applicazione, contesto e finalità del trattamento stesso.
Maggiore sarà il rischio del dato da trattare, maggiori saranno le conseguenze in termini di impatto per gli interessati.
La responsabilità della D.P.I.A. è posta in capo al titolare che monitora lo svolgimento affiancato dal D.P.O. ed eventualmente richiedendo l’intervento del responsabile della sicurezza dei sistemi informativi laddove sia necessario un intervento tecnico.
Il titolare dovrà quindi valutare la rischiosità del trattamento dei dati avendo ben presente se:
- si tratta di dati sensibili, nel qual caso l’alto rischio è implicito;
- il dato venga o meno diffuso pubblicamente;
- il trattamento riguarda non un singolo dato ma lo stesso unitamente ad altri;
- il trattamento sia divulgato ad un vasto numero di persone.
Sarà sempre il titolare a valutare il risultato del processo, anche mediante consultazione del D.P.O. e dei Responsabili del trattamento, così da poter identificare le misure appropriate per diminuire i rischi ed adottare costantemente ogni misura più idonea per salvaguardare i dati oggetto del trattamento.
Si espone di seguito un elenco esemplificativo che riporta alcuni esempi in cui è obbligatoria la D.P.I.A. ed in cui non lo è:
Casi di obbligatorietà:
- Trattamento di dati genetici o di salute dei pazienti in un ospedale;
- Uso di un sistema di telecamere per monitorare il comportamento di guida in autostrada;
- Materia di controllo a distanza dei lavoratori;
- Operazioni di monitoraggio effettuate dalla società sulle attività dei propri dipendenti inclusa la loro postazione di lavoro.
Casi di esonero:
- Il trattamento non presenti un rischio elevato per l’interessato;
- Sia già stato autorizzato;
- Trovi nel diritto dell’Unione o dello Stato Membro una base giuridica per la natura o finalità del trattamento;
- Sia molto simile ad un altro trattamento per cui la D.P.I.A. è già stata effettuata.