La DPIA (Data Protection Impact Assessment) in cinque step

Il Regolamento UE 2016/679 (gdpr) prevede l'obbligo per il titolare del trattamento di tenere in considerazione i rischi che i trattamenti di dati possono comportare per i diritti e le libertà delle persone fisiche.

In particolare quest'onere discende da due norme:

• L’art. 24, che colloca l'analisi dei rischi insieme alle altre caratteristiche del trattamento dei dati (natura, ambito di applicazione, contesto e finalità) di cui il titolare del trattamento deve tenere conto per mettere in atto le misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è conforme al regolamento stesso;

• E l’art. 35, che prevede, invece, una specifica procedura di valutazione di impatto (DPIA) che serve a descrivere un trattamento di dati per valutarne la necessità, la proporzionalità e i relativi rischi. Si deve effettuare quando un tipo di trattamento, specie se prevede l'uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il suo scopo è stabilire misure idonee ad affrontare e minimizzare questi rischi elevati.

Quindi la valutazione di impatto è un adempimento obbligatorio che concretizza il principio di accountability, in quanto consente al titolare di dimostrare che un determinato trattamento è stato preventivamente valutato e risulta conforme agli obblighi previsti dal gdpr.

Attenzione però, “obbligatorio” non significa “formale” o meramente “burocratico” perché la dpia, se condotta correttamente è un efficace strumento di gestione del rischio: valutando prima il livello di rischio di un trattamento dei dati, il titolare del trattamento potrà adottare adeguate misure di sicurezza per mitigarlo.

Ma quando è necessaria la DPIA, Data Protection Impact Assessment? Vediamolo

Quando è necessaria la DPIA?

In conformità ai principi di privacy by design & by default di cui all’art. 25 del Reg. UE 2016/679 nel momento in cui, il titolare del trattamento introduce un nuovo trattamento di dati personali nell’ambito della propria organizzazione deve garantire che lo stesso avvenga nel rispetto alle norme sulla protezione dei dati, prevedendo, sin dalla progettazione, le adeguate misure tecniche o organizzative.

L'ottica è quella del “risk based approach” che non prevede un elenco di adempimenti precisi da effettuare ma l'analisi dell'organizzazione, in seguito alla conduzione della quale, sarà possibile procedere alla predisposizione di misure tecniche e organizzative “tailor made” che dovranno essere giustificate sulla base della preventiva analisi dei rischi.

Attenzione: la Data Protection Impact Assessment (DPIA), valutazione di impatto, non è sempre necessaria, ma solo quando, tenuto conto della natura, dell'oggetto, del contesto e delle finalità del trattamento, il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Se anche le indicazioni dei Garanti privacy europei non fossero sufficienti per sciogliere gli eventuali dubbi del titolare del trattamento sulla necessità di procedere o meno con la dpia. Allora vuol dire che è sicuramente opportuno svolgerla.

E nel caso in cui il titolare decidesse di non svolgere l'attività di valutazione deve essere in grado di comprovare e documentare le ragioni che lo hanno spinto a prendere questa decisione, altrimenti espone l'organizzazione all'irrogazione di sanzioni, anche pesanti, proprio come è accaduto all'azienda ospedaliera di Perugia che è stata sanzionata, con provvedimento n. 134 del 7 aprile 2022, dal Garante privacy per la violazione delle disposizioni previste dall'art. 35 del gdpr.

Quarantamila euro di sanzione amministrativa pecuniaria perché il trattamento dei dati personali degli interessati è stato effettuato in assenza di una preliminare valutazione d’impatto sulla protezione dei dati. L’Azienda, infatti si è avvalsa di una applicazione web utilizzata per l’acquisizione e la gestione delle segnalazioni di condotte illecite (whistleblowing) ma lo ha fatto in maniera non conforme ai principi di liceità, correttezza e trasparenza e in assenza di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento, non avendo effettuato una valutazione d’impatto sulla protezione dei dati.

Nelle sue memorie difensive, l'azienda stessa ha ammesso di non aver saputo individuare a monte la necessità dello svolgimento della dpia dato che al momento della decisione circa la necessità di adottare una valutazione d'impatto sul trattamento dei dati personali relativi alle possibili segnalazioni di condotte illecite, decise di considerare sufficiente la dpia realizzata dal fornitore del software di gestione del programma di whistleblowing.

L'ente ha poi deciso di adottare una sua specifica valutazione di impatto solo nel corso dell’istruttoria dell'autorità di controllo. Ma fino alla predisposizione di questa, il trattamento è stato effettuato in sua assenza benché fosse necessaria a individuare misure specifiche per attenuare i rischi derivanti dal trattamento; di conseguenza il trattamento stesso è avvenuto in violazione dell’art. 35 del Regolamento.

Il Garante, nel suo provvedimento, ha sottolineato come «tenuto conto delle indicazioni fornite anche a livello europeo, il trattamento dei dati personali mediante i sistemi di acquisizione gestione delle segnalazioni present[i] rischi specifici per i diritti e le libertà degli interessati, considerata anche la particolare delicatezza delle informazioni potenzialmente trattate, la “vulnerabilità” degli interessati nel contesto lavorativo, nonché lo specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore» quindi il trattamento dei dati personali effettuati in questo ambito presenta rischi specifici per i diritti e le libertà degli interessati che l'azienda avrebbe dovuto prendere in considerazione, anche in ragione dei possibili effetti ritorsivi e discriminatori che il segnalante non protetto avrebbe potuto subire.

Prima di procedere a un'attività di trattamento che può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, quindi, occorre svolgere la valutazione di impatto in quanto solo attraverso questa il titolare del trattamento può valutare e dimostrare la conformità delle attività di trattamento alle norme in materia di protezione dei dati personali e può approntare le contromisure necessarie per la minimizzazione del rischio.

Requisiti minimi di una DPIA

L’art. 35 (7) gdpr, permette di individuare i requisiti minimi necessari che la valutazione di impatto deve contenere:

• Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento. La norma allude al registro delle attività di trattamento di cui all'art. 30 del gdpr che permette al titolare del trattamento di avere uno sguardo generale su tutte le attività di trattamento svolte dall'organizzazione;

• Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità. Il titolare del trattamento, quindi deve chiarire, fin dalla fase di progettazione e fino alla conclusione del ciclo di vita dei dati, il perché i trattamenti che intende svolgere siano necessari al raggiungimento delle finalità prefissate, riducendo al minimo indispensabile la quantità di dati trattati. Questa previsione concretizza i principi di privacy by default e by design;

• Una valutazione dei rischi per i diritti e le libertà degli interessati;

• Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

Ma cosa si intende per “rischio”?

Per rischio si intende «uno scenario che descrive un evento e le sue conseguenze, stimato in termini di gravità e probabilità» e la sua valutazione/gestione presuppone un insieme coordinato di attività finalizzate prima a identificare e descrivere i rischi al quale vengono esposti i dati degli interessati e poi a gestirli: cioè a individuare le misure idonee volte a eliminare o, dove non risulti possibile, a mitigare il rischio identificato.

Ogni trattamento comporta in sé un rischio e il grado di rischio relativo ad ogni trattamento si ottiene combinando il rischio connesso alla tipologia di dati trattati (dati comuni, categorie particolari di dati, dati giudiziari, etc.) al rischio insito alle caratteristiche degli strumenti utilizzati per le attività di trattamento (il rischio di guasti degli strumenti informatici, di perdita dei supporti di memorizzazione, rischio di penetrazione nelle reti di comunicazione o errori umani e così via).

Più alto è il grado di rischio associato ad uno specifico trattamento, più le misure di sicurezza applicate, sia a livello tecnico che organizzativo, dovranno essere solide.

Come valutare il rischio?

Per capire quando si sia in presenza di questo rischio elevato occorre consultare diverse fonti:

• La prima è il gdpr stesso e in particolare l'art. 35 del gdpr nel quale la valutazione di impatto è richiesta espressamente quando c'è:

a) Una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) Il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;

c) La sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

• La seconda è costituita dalle linee guida dei Garante privacy che per forniscono dei criteri in presenza dei quali è richiesto lo svolgimento della dpia a causa del loro intrinseco alto rischio:

a) Trattamenti valutativi o di scoring, compresa la profilazione e attività predittive;

b) Decisioni automatizzate che producono significativi effetti giuridici;

c) Monitoraggio sistematico (es: videosorveglianza);

d) Trattamento di dati sensibili, giudiziari o di natura estremamente personale (es: informazioni sulle opinioni politiche o sulle condanne penali);

e) Trattamenti di dati personali su larga scala;

f) Combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale (come avviene, ad esempio, con i Big Data);

g) Dati relativi a soggetti vulnerabili (come i minori che non si ritiene siano in grado di opporsi o acconsentire in consapevole al trattamento dei propri dati personali, anziani, soggetti con patologie psichiatriche, ecc.);

h) Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es: riconoscimento facciale, impronte digitali, ecc.);

i) Trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (es: screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

La dpia è necessaria in presenza di almeno due di questi criteri, ma il titolare può decidere di condurla comunque anche in presenza di uno solo di essi.

Visti i requisiti minimi necessari che la dpia deve avere, i titolari del trattamento possono scegliere diverse metodologie per il suo svolgimento, a patto che siano conformi ai criteri fissati nelle Linee Guida WP248.

5 step per la stesura della DPIA?

Si potrebbero ipotizzare i seguenti step:

Primo Step: descrizione del trattamento previsto

In questa prima fase deve essere definito il contesto in cui la valutazione deve essere condotta. Deve essere descritta la tipologia di dati personali trattati, come si sviluppa il trattamento, definendo i tempi di conservazione dei dati e quali sono gli strumenti utilizzati per effettuare il trattamento.

In questa fase il titolare deve stabilire, in sostanza, se, in base al trattamento da svolgere e alle sue caratteristiche, ricorra o meno la necessità stessa di effettuare una valutazione di impatto.

Secondo step: valutazione della necessità e della proporzionalità.

In questa fase da un lato occorre rappresentare gli scopi del trattamento (sono determinati, espliciti e legittimi?) e se i dati raccolti siano adeguati, pertinenti, e limitati a quanto necessario in relazione alle finalità perseguite. Dall'altro occorre chiarire come gli interessati siano informati del trattamento dei loro dati e come possano esercitare i propri diritti.

Devono altresì essere stabiliti (in un contratto!) gli obblighi dei responsabili del trattamento.

Terzo step: gestione, per ciascun trattamento, dei rischi per i diritti e le libertà degli interessati (per dimostrarne la conformità)

Questa fase prevede che vengano determinate l'origine (quindi le possibili fonti), la natura e la gravità dei rischi, per valutare l'impatto che questi potrebbero avere per i diritti e le libertà delle persone fisiche in caso di perdita di riservatezza, integrità e disponibilità dei dati.

Occorre individuare le possibili minacce e la probabilità con le quale queste si possano avverare per determinare le cd. contromisure.

Quarto step: misure previste per affrontare i rischi

Occorre descrivere quali siano le misure previste dal titolare per affrontare i rischi elevati connessi al trattamento. Dopo aver valutato l'impatto dei rischi e la di accadimento delle minacce, si potrà valutare globalmente il rischio e, se questo dovesse essere classificato come molto alto, sarà necessario applicare misure tecnico-organzzative adeguate a minimizzare la gravità del rischio e la probabilità di accadimento delle minacce.

Quinto step: monitoraggio e riesame

 La dpia è una procedura dinamica. Nel caso il rischio, nonostante le misure adottate, resti elevato, il titolare del trattamento potrà:

• Valutare la possibilità di una consultazione preventiva con l'Autorità Garante (ex art. 36 gdpr), trasmettendogli una copia della dpia;

• Riprogettare o interrompere il trattamento, consultandosi con il proprio dpo. Tra i compiti del data protection officer c'è proprio quello di fornire un parere circa la valutazione di impatto e di monitorarne lo svolgimento;

• Eventualmente, raccogliere, ai sensi dell'art. 53 (9) gdpr, le opinioni degli interessati e dei loro rappresentanti sul trattamento previsto. Questa valutazione deve tenere conto della natura, del contesto e delle finalità che il titolare del trattamento persegue ma soprattutto dell'impatto che ne può derivare agli interessati.

Una volta eseguita la valutazione di impatto occorre ricordare che le risultanze di questa e tutta la relativa documentazione, non va chiusa in un cassetto: non è una procedura che si attua una tantum ma va periodicamente aggiornata e rivista, in particolare nei casi in cui il rischio preso in considerazione in termini di probabilità o gravità, si modifichi.

Fra gli obblighi previsti dalla normativa sulla protezione dei dati non è prevista la pubblicazione della dpia che quindi rimane una scelta discrezionale del titolare del trattamento. Potrebbe essere una buona prassi pubblicarne delle parti o una sintesi per dimostrare l'accountability e la trasparenza del titolare del trattamento.

Infine non condurre la dpia nei casi in cui risulta obbligatorio farlo (quindi in caso di rischio elevato insito nel trattamento) o non svolgere la valutazione in base alle indicazioni contenute nell'art. 35 gdpr o non consultare preventivamente l'autorità garante in caso di rischio elevato persistente possono esporre l'organizzazione, in quanto violazioni al principio di responsabilizzazione, a sanzioni amministrative pecuniarie (come abbiamo visto nel caso dell'azienda ospedaliera di Perugia).

– Marina Mirabella, Avvocato e collaboratrice di CyberAcademy