03 Mag DPIA: le linee guida del Gruppo di Lavoro Articolo 29

Il Gruppo di Lavoro Articolo 29 dei Garanti Privacy europei (“A29WP”) ha pubblicato le Linee Guida sulla valutazione di impatto sulla protezione dei dati personali, c.d. Data Protection Impact Assessment (“DPIA”), introdotta dall’art. 35 del Regolamento 679/2016 (“RGPD”).

Scopo delle Linee Guida è quello di anticipare e chiarire se e quando un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche a favore dei titolari del trattamento, dell’autorità di controllo, che dovrà redigere l’elenco dei trattamenti soggetti a tale obbligo (art. 35, comma 4 RGPD) e del Comitato europeo per la protezione dei dati. In particolare, le Linee Guida precisano che la lista dei trattamenti soggetti a DPIA, di cui al comma 3 dell’art. 35 RGPD, non è esaustiva. Pertanto, i trattamenti che non rientrano in tale elenco non necessariamente sono esenti da tale obbligo, potendo presentare un rischio simile a questi.

Al fine di individuare i trattamenti da sottoporre a un DPIA occorre considerare i seguenti elementi:

1) la valutazione, inclusa la profilazione, relativa ad aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato. Essa potrebbe riguardare una società di biotecnologia che offre test genetici per predire rischi di malattia o di salute o una società che realizza profili comportamentali o di marketing in base all’uso e alla navigazione condotta sul proprio sito;
2) un trattamento automatizzato che ha effetti giuridici o simili, che può aversi, ad esempio, se determina l’esclusione o la discriminazione verso il singolo;
3) la sorveglianza sistematica: questo tipo di monitoraggio è un criterio da considerare poiché i dati personali potrebbe essere raccolti in circostanze in cui i soggetti potrebbero non essere a conoscenza del fatto che i propri dati sono raccolti e utilizzati e perché potrebbe essere impossibile evitare tali trattamenti in spazi pubblici;
4) il trattamento di dati sensibili e giudiziari;
5) il trattamento di dati su larga scala: a tal fine occorre considerare (i) il numero dei soggetti interessati; (ii) il volume dei dati; (iii) la durata del trattamento, (iv) l’estensione geografica delle attività di trattamento;
6) se un set di dati è abbinato o combinato in modo da eccedere le ragionevoli aspettative degli interessati;
7) il trattamento di dati riguardanti persone fisiche vulnerabili, tra cui lavoratori, minori, anziani, pazienti;
8) l’uso innovativo o l’applicazione di nuove soluzioni tecnologiche o organizzative. Un DPIA, ad esempio, dovrà essere condotto per alcune applicazioni dell’Internet of Things;
9) il trasferimento dei dati fuori dall’UE;
10) l’impossibilità per i soggetti interessati di esercitare i propri diritti o di usare un servizio o un contratto (ad es.: i trattamenti effettuati in aree pubbliche che non possono essere evitate o che modificano o non consentono l’accesso a un servizio o a un contratto – ad esempio, quando una banca analizza i dati di un cliente per decidere se concedere o meno un prestito).

In linea di principio, un trattamento che soddisfa almeno due dei citati criteri deve essere sottoposto a DPIA e ciò prima dell’inizio del medesimo. Diversamente l’A29WP chiarisce che non occorre il DPIA se un trattamento:
1) non presenta un rischio per i diritti e le libertà degli interessati;
2) è simile ad un altro per il quale è già stato svolto un DPIA;
3) è escluso da tale obbligo da una disposizione normativa di uno Stato membro;
4) rientra nella lista che sarà redatta dall’Autorità di Controllo ex art. 35, comma 5 RGPD.

Anche se l’obbligo in esame è applicabile da maggio 2018, l’A29WP raccomanda di effettuare tali valutazioni d’impatto sulla protezione dei dati anche per trattamenti già in essere prima di tale data e procedere con aggiornamenti costanti, almeno ogni tre anni.

Le Linee Guida si concludono con due allegati: il primo richiama alcuni modelli di DPIA attualmente in uso, il secondo fornisce i criteri da seguire per condurre adeguatamente tale valutazione.
Se vuoi saperne di più clicca qui