DPIA: CHE COSA PREVEDONO LE LINEE GUIDA EUROPEE

Il prezioso lavoro di interpretazione e orientamento dei Garanti europei sul Regolamento generale sulla protezione dei dati (“RGPD”, ossia il Reg. UE n. 2016/679) si arricchisce di un nuovo, atteso, tassello.

Il 4 aprile 2017 sono state infatti rese disponibili le linee guida sul DPIA (Data Protection Impact Assessment), in italiano “valutazione di impatto sulla protezione dei dati”.

Elevato rischio: che vuol dire in concreto?

Uno degli elementi di maggior pregio del documento è rappresentato dallo sforzo di precisare, innanzitutto, che cosa debba intendersi per «elevato rischio per i diritti e le libertà delle persone fisiche» (cfr. art. 35.1 RGPD). Come è noto, infatti, solo quando un’attività di trattamento comporta rischio elevato diventa obbligatorio procedere al DPIA, che ha infatti uno spiccato significato preventivo. Il Regolamento, tuttavia, fornisce sul punto criteri astratti, cfr. commi 1 e 3 dell’art. 35, integrabili con i considerando 71, 75, 89-91. Ebbene, le linee guida rappresentano un primo concreto tentativo di calarli nella realtà operativa.

A questo fine vengono individuate tipologie di attività contrassegnate da diversi fattori di rischio, relativi, per esempio, alla finalità o all’oggetto del trattamento oppure agli interessati o alle modalità. È connotato da una finalità rischiosa il ricorso a schemi predittivi di comportamenti o di condizioni (es. stato di salute).

Si pensi al punteggio attribuito a un soggetto per determinarne l’affidabilità creditizia o lavorativa o la propensione a sviluppare determinate patologie. Il rischio qui è evidente: dall’attribuzione di un determinato punteggio può infatti derivare l’automatica esclusione da benefici, contratti, coperture assicurative. Esempi di rischio insito nell’oggetto del trattamento sono la raccolta di dati sensibili oppure di dati “su larga scala” (cfr. linee guida DPO) o l’incrocio di basi di dati diverse.

È invece soggettivamente rischiosa l’attività che riguardi persone vulnerabili per età, quali i minori, o per contesto, come i lavoratori di un’azienda o i pazienti di un ospedale. Il rischio riguarda le modalità quando al trattamento, per le caratteristiche con cui è svolto, non è possibile ragionevolmente sottrarsi, come nel caso di videosorveglianza sistematica di luoghi pubblici. Presenta ugualmente elementi di rischio l’utilizzo di nuove tecnologie, specie quando non possano ancora integralmente apprezzarsene le ricadute concrete (viene fatto l’esempio di alcune applicazioni all’interno dell’Internet of Things), oppure ancora il trattamento suscettibile di determinare la circolazione di informazioni anche verso Paesi terzi non sicuri.

Il criterio del “doppio rischio”

Di grande interesse è il criterio che potremmo definire del “doppio rischio”. Non basta infatti che sussista un rischio, ma questo deve essere «elevato». A tal fine i Garanti europei forniscono un criterio di facile applicabilità: un trattamento ha rischio elevato quando concorrono almeno due fattori di rischio. Ad esempio, la raccolta di informazioni estratte da social network al fine di creare profili per liste di contatti somma in sé il rischio della profilazione predittiva e quello del trattamento su larga scala, dunque determina l’obbligo di procedere al DPIA.

Il “doppio rischio” è un criterio, non una regola di diritto: potrà cioè ben darsi il caso in cui una singola attività rischiosa sia sufficiente per procedere alla valutazione d’impatto, come potrà anche accadere che la combinazione di tre fattori di rischio non determini una situazione di rischio elevato. Le linee guida, in sostanza, facilitano ma non eliminano l’esperimento di una fase di analisi preliminare volta a determinare se esistano o no le condizioni che rendono necessaria il DPIA. In questa analisi preliminare un ruolo centrale è svolto dal DPO, la cui posizione in merito all’obbligo di procedere al DPIA va documentata per successiva verifica. Nel dubbio, comunque, la valutazione di impatto va svolta, anche per non incorrere nelle elevate sanzioni previste dall’art. 83 RGPD. In attesa che i criteri applicativi siano precisati, giova notare che il massimo edittale per la violazione dell’obbligo di DPIA è fissato in € 10.000.000 o, per le imprese, nella maggior somma tra tale importo e il 2% del fatturato mondiale annuo dell’esercizio precedente.

Modalità, revisione, pubblicità

Una volta stabilito che il DPIA è dovuto, è necessario precisarne caratteristiche e modalità operative.
Qui di seguito una sintesi.

1. Il DPIA deve contenere almeno questi elementi essenziali: descrizione dei trattamenti previsti e delle finalità del trattamento, valutazione del rispetto dei principi di proporzionalità e necessità, analisi dei rischi, correttivi previsti.

Va da sé che ciascuno di questi passaggi ne presuppone logicamente altri: per esempio, non si può descrivere il trattamento senza mapparne i flussi e individuare le strutture coinvolte; non si può valutare il rispetto dei principi di proporzionalità e necessità senza affrontare un esame “by design” del trattamento; non si possono analizzare i rischi senza tenere conto del contesto concreto in cui si svolge l’attività; non si possono prevedere correttivi senza esaminare il nesso eziologico con i rischi.

2. Si rispetta un approccio di neutralità metodologica: non ci sono procedure migliori di altre, i titolari sono liberi di seguire il modus operandi che ritengono più adatto o magari già sperimentato (viene alla mente l’abrogato DPS).

3. Il DPIA dovrebbe essere sottoposto a revisione periodica almeno triennale. Più spesso nel caso in cui si registrino variazioni nei fattori di rischio. Tendenzialmente, comunque, il DPIA dovrebbe essere sottoposto a procedure di aggiornamento continuo.

4. Qual è il regime di pubblicità? Non sussistono obblighi di pubblicità, rimessa facoltativamente, anche per estratto, al titolare. Naturalmente il DPIA va documentato, dunque sarà a disposizione dell’Autorità garante e di altre Autorità competenti a richiederlo.

5. È possibile svolgere il DPIA per più attività di trattamento. Nulla osta a raggruppare insieme situazioni omogenee.

La disciplina transitoria

Tema di grande interesse e di evidente ricaduta pratica immediata è se i trattamenti in corso alla data in cui il Regolamento sarà applicativo (25 maggio 2018) saranno o no soggetti al DPIA. Il Gruppo di lavoro dei Garanti europei dà risposta negativa: solo i trattamenti cominciati a partire da quella data sono soggetti all’obbligo, ancorché sia fortemente raccomandato sottoporvi anche quelli iniziati precedentemente.

La soluzione alleggerisce nell’immediato gli oneri dei titolari, ma appare alquanto frettolosa a chi scrive. Innanzitutto, nell’art. 99 RGPD non è dato rinvenire alcuna esclusione per i trattamenti già esistenti (ma perduranti) rispetto a quelli di nuova instaurazione.

Né a chi scrive appare dirimente la precisazione contenuta all’art. 35.1 che il DPIA deve precedere il trattamento: a maggior ragione andrà fatta per quelli già in essere. Del resto, dal considerando 90 emerge che non necessariamente la valutazione deve precedere il trattamento. Un regime differenziato porrebbe peraltro delicati problemi: irragionevole trattamento di situazioni identiche o perfino il presentarsi di esiti paradossali, come l’esonero dal DPIA di un trattamento a rischio elevatissimo iniziato il 24 maggio 2018 e la soggezione invece di uno a rischio semplicemente elevato, ma cominciato il giorno successivo. Giova poi ricordare che i Garanti europei neppure prendono in considerazione – al limite anche solo per interpretarlo in senso coerente con la posizione assunta – il considerando 171 RGPD, espressamente dedicato proprio alla disciplina transitoria.

La disposizione prevede che «il trattamento già in corso alla data di applicazione del presente regolamento dovrebbe essere reso conforme al presente regolamento entro un periodo di due anni dall’entrata in vigore del presente regolamento». Occorre ricordare che il Regolamento, ai sensi dell’art. 99, registra una dissociazione tra data di entrata in vigore (24 maggio 2016) e data di applicazione (25 maggio 2018).

L’adeguamento dei trattamenti in corso, destinati a proseguire, dovrebbe avvenire perciò al più tardi alla mezzanotte del 24 maggio 2018, ossia nel biennio dall’entrata in vigore. Il considerando esclude invece l’obbligo di adeguamento per i soli trattamenti in corso che cesseranno prima della data di applicazione del Regolamento. Non pare se ne possa trarre il significato, diametralmente opposto, che i trattamenti già in corso non vadano adeguati, fatti salvi i successivi oneri di revisione periodica. Giova qui ricordare che le linee guida del Gruppo di lavoro dei Garanti europei hanno mero valore consultivo, non prescrittivo. Ciò che conta è il rispetto del testo normativo. Sotto questo profilo il considerando 171 appare coerente con l’art. 99. Il suggerimento è perciò, da parte di chi scrive, quello di sottoporre anche i trattamenti in essere al DPIA ove si preveda che questi debbano proseguire dopo il 24 maggio 2018.

Conclusioni

Il pregio delle linee guida è quello di avere fornito risposte pragmatiche a una serie di quesiti: dalle attività che possono considerarsi a rischio per i diritti e le libertà degli interessati al criterio concreto per considerare quest’ultimo elevato (“doppio rischio”), al termine massimo per procedere alla revisione, alla libertà metodologica nell’analisi del rischio. È addirittura fornito, in chiave di gradita facilitazione, uno schema essenziale di struttura del DPIA e sono indicati link a materiale informativo pubblicato da alcuni Garanti europei. Ciò che manca ancora è una lista di tipologie concrete di attività sicuramente incluse o escluse, in modo da rendere più agevole e omogenea la decisione di procedere o non procedere alla valutazione d’impatto.

Vi ricordiamo che queste tematiche saranno oggetto di approfondimento del II MODULO del MasterCourse ANORC, dedicato alla formazione della figura del DPO – Data Protection Officer, che si terrà a Milano dal 23 Maggio al 25 Maggio 2017.

Per maggiori informazioni vi invitiamo a consultare la pagina dedicata all’offerta formativa.

Cookie	Durata	Descrizione
ApplicationGatewayAffinity	session	This cookie is set by the Laravel Framework. This cookie is used for managing browsing sessions. It enables keeping the web browser traffic assigned to single server.
ARRAffinity	session	ARRAffinity cookie is set by Azure app service, and allows the service to choose the right instance established by a user to deliver subsequent requests made by that user.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ApplicationGatewayAffinityCORS	session	No description available.
ARRAffinitySameSite	session	No description available.
BIGipServerfront_contenuti_statici	session	No description
captcha-cookie	1 day	No description
cookielawinfo-checkbox-pubblicita-e-marketing	1 year	No description

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92775180_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months 8 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

DPIA: CHE COSA PREVEDONO LE LINEE GUIDA EUROPEE

Registro di protocollo annuale: serve un nuovo allegato per “salvare” questo strumento

La dematerializzazione delle ricevute dei taxi: quando l’Agenzia delle Entrate è costretta al gioco delle tre carte

Email dei lavoratori: le nuove istruzioni del Garante recepiscono le osservazioni di ANORC

Microsoft, il down è qualificabile come data breach. Le parole dell’Avv. Andrea Lisi

Vent’anni dalla Legge Stanca: l’accessibilità digitale, un imperativo giuridico ed etico anche in relazione alla protezione dei dati personali

Attacco hacker, Anorc: “La conservazione avrebbe evitato il disastro”

eIDAS 2 più vicino: raggiunto l’accordo sul portafoglio di identità digitale. Il commento di Giovanni Manca

PEC, SERC e principio di non discriminazione: ANORC scrive ad ARERA e AgID

La FES è davvero inutilizzabile in ambito fiscale e tributario?

La dematerializzazione delle ricevute dei taxi: quando l’Agenzia delle Entrate è costretta al gioco delle tre carte

Firme elettroniche: urge un confronto con AdE e AgID

La FES è davvero inutilizzabile in ambito fiscale e tributario?

Il leitmotiv della sanità di oggi è la digitalizzazione: il contributo di ANORC a Welfair Roma

Regole e responsabilità in ambito sanitario: ANORC partecipa al confronto di Welfair Roma

Nessuna eliminazione delle ‘ricette dematerializzate’, solo cambio prassi – l’intervista all’Avv. Andrea Lisi

Conservazione documentale, il Piano triennale introduce nuove attività di monitoraggio: l’importanza dei dati emersi dalle indagini di ANORC

ComoLake 2023: online gli Atti del convegno. Rivedi gli interventi del Prof. Donato Limone e dell’Avv. Andrea Lisi

Al Forum ANORC i contributi di Butti, Agid e Garante – il resoconto dell’evento alla Camera

It’s all CIO & Technology

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Cerchi altre informazioni?

Sei nel posto giusto!

+39 0832 256065

Segreteria

Direzione

PEC

Ufficio Comunicazione

Ufficio Stampa

Le nostre sedi

Lecce

Sede principale

Milano

Sede secondaria

Roma

Sede secondaria

Biella

Sede secondaria

Newsletter "La Voce digital(e)"